• Article

Le groupe de sécurité Tout le monde a le droit de créer des dossiers publics de haut niveau

[Cette rubrique est destinée à résoudre un problème spécifique signalé par l'outil Exchange Server Analyzer Tool. Ne l'appliquez qu'à des systèmes sur lesquels l'outil Exchange Server Analyzer Tool a été exécuté et qui ont rencontré ce problème spécifique. L'outil Exchange Server Analyzer Tool, disponible sous forme de téléchargement gratuit, collecte à distance des données de configuration de chaque serveur de la topologie et les analyse automatiquement. Il génère un rapport qui détaille les problèmes de configuration importants, les problèmes potentiels et les paramètres du produit qui ne sont pas définis par défaut. En suivant ces recommandations, vous pouvez accroître les performances, l'évolutivité, la fiabilité et la disponibilité. Pour plus d'informations sur l'outil ou pour télécharger les versions les plus récentes, consultez la rubrique sur les analyseurs Microsoft Exchange à l'adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Dernière rubrique modifiée : 2006-12-04

L'outil Microsoft® Exchange Server Analyzer Tool interroge le service d'annuaire Active Directory® pour déterminer si l'identificateur de sécurité (SID) du groupe de sécurité Tout le monde est répertorié dans l'attribut ntSecurityDescriptor de l'objet de l'organisation Exchange. Si Exchange Server Analyzer détecte que le SID du groupe Tout le monde est présent dans l'attribut ntSecurityDescriptor de l'objet de l'organisation, un avertissement s'affiche. Cet avertissement indique que le groupe Tout le monde ne s'est pas vu refuser le droit de créer des dossiers publics de haut niveau.

Dans Exchange 2000 Server, le droit de créer des dossiers publics de haut niveau est accordé par défaut. Cependant, si la version Exchange Server 2003 de ForestPrep ou la version Exchange Server 2007 de PrepareAD est exécutée, le groupe de sécurité Tout le monde se voit refuser le droit de créer des dossiers publics de haut niveau. La fonctionnalité de refus est exécutée comme une mesure de sécurité. En autorisant le groupe de sécurité Tout le monde à créer des dossiers publics de haut niveau, votre organisation peut devenir vulnérable aux attaques par déni de service.

Par conséquent, il est recommandé de refuser le droit de créer des dossiers publics de haut niveau au groupe de sécurité Tout le monde. Si vous disposez d'Exchange Server 2003 ou d'Exchange Server 2007, vous devez exécuter la version Exchange Server 2003 de ForestPrep ou la version Exchange Server 2007 de PrepareAD. Vous pouvez exécuter la version Exchange Server 2003 de ForestPrep dans un environnement Exchange 2000 Server. Toutefois, les installations ultérieures d'Exchange 2000 Server rétabliront les autorisations permettant au groupe de sécurité Tout le monde de créer des dossiers publics de haut niveau.

Si vous ne disposez ni d'Exchange Server 2003 ni d'Exchange Server 2007, vous pouvez définir cette autorisation manuellement. Rappelez-vous que les installations ultérieures d'Exchange 2000 Server rétabliront ces autorisations. Par conséquent, vous devez configurer manuellement cette autorisation après chaque installation d'Exchange 2000 Server. Avant de définir cette autorisation, vous devez activer l'onglet Sécurité pour qu'il s'affiche dans le Gestionnaire système Exchange en ajoutant l'entrée ShowSecurityPage au Registre sur l'ordinateur Exchange Server.

importantImportant :
Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, assurez-vous de comprendre comment le restaurer en cas de problème. Pour plus d'informations sur la façon de procéder, voir la rubrique d'aide sur la restauration du Registre dans Regedit.exe ou Regedt32.exe.

Pour ajouter l'entrée ShowSecurityPage au Registre

  1. Ouvrez un Éditeur du Registre, comme Regedit.exe ou Regedt32.exe.

  2. Naviguez jusqu'à : HKEY_CURRENT_USER\Software\Microsoft\Exchange\ExAdmin

  3. Cliquez sur Modifier, sur Nouveau, puis sur Valeur DWORD.

  4. Entrez ShowSecurityPage comme nom de la nouvelle valeur et appuyez sur ENTRÉE.

  5. Double-cliquez sur ShowSecurityPage, entrez 1 dans le champ Données de la valeur, puis cliquez sur OK.

Pour refuser manuellement au groupe de sécurité Tout le monde le droit de créer des dossiers publics de haut niveau dans un environnement Exchange 2000 Server

  1. Ouvrez le Gestionnaire système Exchange.

  2. Cliquez avec le bouton droit sur Nom_Organisation, puis cliquez sur Propriétés.

  3. Sur la page Propriétés de Nom_Organisation, cliquez sur l'onglet Sécurité.

  4. Sous l'onglet Sécurité, sélectionnez Tout le monde dans Noms de groupes ou d'utilisateurs. Dans la zone Permissions for Everyone, faites défiler jusqu'à l'autorisation Create top-level public folder, désactivez la case à cocher dans la colonne Autoriser et cliquez sur Appliquer.

Avant de modifier le Registre et pour plus d'informations sur la procédure de modification du Registre, voir l'article 256986 de la Base de connaissances Microsoft sur la description du Registre de Microsoft Windows (https://go.microsoft.com/fwlink/?linkid=3052&kbid=256986).

Pour plus d'informations sur l'exécution d'Exchange Server 2003 ForestPrep, voir le Guide de déploiement de Microsoft Exchange Server 2003 (https://go.microsoft.com/fwlink/?LinkId=47569).

Pour plus d'informations sur l'exécution d'Exchange Server 2007 PrepareAD, consultez la page « Procédure de préparation d'Active Directory et de domaines » (https://go.microsoft.com/fwlink/?LinkId=78453).

Pour plus d'informations sur la manière de refuser au groupe de sécurité Tout le monde le droit de créer un dossier public de haut niveau dans Exchange 2000 Server, consultez l'article 328808 de la Base de connaissances Microsoft, « COMMENT FAIRE : Suppression de l'autorisation de création de dossiers publics de niveau supérieur sous Exchange 2000 Server » (https://go.microsoft.com/fwlink/?LinkId=3052&kbid=328808).