Considérations relatives aux autorisations

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-07-12

Lors de la planification de l'intégration de Microsoft Exchange Server 2007 dans votre structure de service d'annuaire Active Directory, prenez en considération le modèle administratif de votre organisation. Exchange 2007 offre une certaine flexibilité concernant l'attribution des autorisations aux administrateurs. Dans la plupart des cas, il est conseillé de prendre en considération la manière dont les fonctionnalités suivantes d'Active Directory et d'Exchange 2007 affectent l'organisation des rôles d'administration :

  • Un administrateur unique peut exécuter des tâches pour Microsoft Windows Server 2003 et pour Exchange.

  • Vous pouvez fractionner les autorisations entre des administrateurs Exchange et des administrateurs Windows.

  • Vous pouvez isoler les rôles d'administrateur Exchange et les rôles d'administrateur Windows à l'aide d'une forêt de ressources Exchange.

Les sections de cette rubrique décrivent la flexibilité de la configuration des autorisations et les rôles d'administration disponibles dans Exchange 2007.

Présentation du modèle d'autorisations divisées Exchange et Active Directory

Dans de nombreuses organisations Microsoft Exchange, en particulier des organisations de taille moyenne à grande, il peut y avoir plusieurs administrateurs Exchange. Comme ces administrateurs peuvent exécuter un ensemble spécifique de tâches administratives, Exchange Server 2007 offre des rôles d'administrateur prédéfinis et un modèle d'autorisations divisées que vous pouvez utiliser pour configurer des autorisations spécifiques dans Active Directory pour divers rôles d'administration au sein de votre organisation. Dans Exchange 2007, les autorisations relatives aux attributs d'expéditeur Exchange sont regroupées. Cela minimise la configuration d'autorisation manuelle que vous devez effectuer pour séparer les autorisations Exchange d'autres autorisations administratives. Pour plus d'informations sur la planification et la mise en œuvre de votre modèle d'autorisation, consultez la rubrique suivante :

Modifications apportées au modèle de sécurité et d'autorisations

Le modèle de sécurité et d'autorisations d'Exchange Server 2003 a changé pour Exchange 2007. Cette section fournit des informations sur les modifications apportées au modèle d'autorisations d'Exchange et décrit les différences.

Jeux de propriétés

Un jeu de propriétés est un groupement d'attributs Active Directory. Vous pouvez contrôler l'accès à ce groupement d'attributs Active Directory en définissant une entrée de contrôle d'accès (ACE) au lieu d'une entrée de contrôle d'accès pour chaque propriété. Le jeu de propriétés qui regroupe tous les attributs de destinataire Exchange est appelé informations de messagerie.

Notes

Les groupes de sécurité Exchange Server 2003 qui avaient l'autorisation d'accéder aux propriétés de destinataire sur des serveurs Exchange Server 2003 ont l'autorisation d'accéder au jeu de propriétés d'informations de messagerie Exchange 2007 tant que vous utilisez Exchange 2007 Setup.Com or Setup.Com avec le paramètre /PrepareAD pour mettre à jour le schéma Active Directory.

Pour plus d'informations sur les jeux de propriétés, consultez la rubrique Jeux de propriétés dans Exchange 2007.

Modèle de sécurité et d'autorisations Exchange 2003

Pour simplifier la gestion des autorisations, Exchange Server 2003 fournissait des rôles de sécurité prédéfinis qui étaient disponibles dans l'Assistant Délégation d'administration Exchange 2003. Ces rôles constituaient un ensemble d'autorisations normalisées qui pouvaient être appliquées au niveau de l'organisation ou du groupe d'administration.

Dans Exchange 2003, les rôles de sécurité suivants étaient disponibles via l'Assistant Délégation dans le Gestionnaire système Exchange :

  • Administrateur intégral Exchange

  • Administrateur Exchange

  • Administrateur Exchange - Affichage seul

Ce modèle comprend les limites suivantes :

  • Manque de spécificité. Le groupe Administrateurs Exchange était trop important et certains clients voulaient gérer leur modèle de sécurité et d'autorisations au niveau du serveur individuel.

  • Rôles de sécurité Exchange Server 2003 semblant ne présenter que de très légères différences.

  • Absence de séparation claire entre l'administration des utilisateurs et des groupes par les administrateurs Windows (Active Directory) et les administrateurs des destinataires Exchange. Par exemple, pour exécuter des tâches Exchange en relation avec le destinataire, il fallait octroyer aux administrateurs Exchange des autorisations de haut niveau (autorisations Opérateur de compte sur les domaines Windows).

Modèle de sécurité et d'autorisations Exchange 2007

Pour améliorer la gestion de vos rôles d'administrateur Exchange (appelés « groupes de sécurité » dans Exchange 2003), les fonctions nouvelles ou améliorées suivantes ont été intégrées dans le modèle de sécurité et d'autorisations Exchange :

  • Nouveaux rôles d'administrateur qui sont similaires aux groupes de sécurité intégrés d'Windows Server. Pour plus d'informations sur les rôles d'administrateur, consultez la section « Rôles d'administrateur dans Exchange 2007 », plus loin dans cette rubrique.

  • Vous pouvez utiliser la console de gestion Exchange (précédemment Gestionnaire système Exchange) et l'environnement de ligne de commande Exchange Management Shell pour afficher, ajouter et supprimer des membres de tout rôle administrateur.

Rôles d'administrateur dans Exchange Server 2007

Exchange 2007 comprend les groupes prédéfinis suivants qui gèrent les données de configuration d'Exchange :

  • Administrateurs d'organisation Exchange

  • Administrateurs des destinataires Exchange

  • Administrateurs Exchange - Affichage seul

  • Administrateur de dossiers publics Exchange (Nouveautés d'Exchange Server 2007 Service Pack 1)

Durant la phase Setup /PrepareAD Exchange (phase de préparation de l'organisation similaire à Exchange 2003 ForestPrep), ces rôles d'administrateur Exchange (à l'exception des administrateurs de serveur Exchange) sont créés dans une nouvelle unité d'organisation (UO) du groupe de sécurité Microsoft Exchange située dans le domaine où la commande /PrepareAD a été exécutée.

Lorsque vous ajoutez un rôle d'administrateur à un utilisateur, ce dernier hérite des autorisations liées à ce rôle. Ces rôles d'administrateur disposent des autorisations de gérer des données Exchange dans Active Directory. Ces groupes peuvent gérer trois types de données Exchange :

  • Données globales   Il s'agit de données dans un conteneur de configuration Active Directory qui ne sont pas associées à un serveur particulier. Ces données incluent notamment des stratégies de boîte aux lettres, des listes d'adresses et une configuration de messagerie unifiée Exchange. Les données globales ont généralement un impact sur l'ensemble d'une organisation et peuvent en affecter tous les utilisateurs. Il est conseillé de ne permettre qu'à un petit nombre d'utilisateurs de confiance de configurer ou modifier des données globales.

  • Données de destinataires   Les destinataires dans Exchange sont des objets utilisateurs Active Directory qui peuvent recevoir ou envoyer des messages électroniques. Les données de destinataires sont, par exemple, des contacts à extension messagerie, des groupes de distribution, des boîtes aux lettres et des types de destinataires spécifiques tels que des objets proxy Dossier public.

  • Données de serveur   Les données de serveur Exchange sont contenues dans Active Directory sous le noeud du serveur spécifié. Ces données incluent, par exemple, des connecteurs de réception, des répertoires virtuels, des paramètres par serveur, ainsi que des données de boîte aux lettres et de groupe de stockage.

Rôle Administrateurs d'organisation Exchange

Le rôle Administrateurs d'organisation Exchange donne aux administrateurs un accès illimité à l'ensemble des propriétés et objets Exchange dans l'organisation Exchange. Durant l'installation d'Exchange, dans le domaine racine, Setup /PrepareAD crée le groupe de sécurité Active Directory nommé Administrateurs d'organisation Exchange dans le conteneur Groupes de sécurité Microsoft Exchange d'Utilisateurs et ordinateurs Active Directory.

Lorsque vous ajoutez un utilisateur au rôle Administrateurs d'organisation Exchange, cet utilisateur devient membre du rôle Administrateur nommé Administrateurs d'organisation Exchange. Exchange 2007 crée ce rôle durant la préparation d'Active Directory. Les membres du rôle Administrateurs d'organisation Exchange ont les autorisations suivantes :

  • Propriétaires de l'organisation Exchange dans le conteneur de configuration d'Active Directory. En tant que propriétaires, les membres du rôle contrôlent totalement les données d'organisation Exchange du conteneur de configuration dans Active Directory et le groupe Administrateurs de serveur Exchange local.

  • Accès en lecture à tous les conteneurs d'utilisateurs de domaine dans Active Directory. Exchange octroie cette autorisation durant l'installation du premier serveur Exchange 2007 dans le domaine, pour chaque domaine au sein de l'organisation. Ces autorisations sont octroyées aux membres du rôle Administrateur des destinataires Exchange.

  • Accès en écriture à tous les attributs spécifiques à Exchange dans tous les conteneurs d'utilisateurs de domaine dans Active Directory. Exchange 2007 octroie cette autorisation durant l'installation du premier serveur Exchange 2007 dans le domaine, pour chaque domaine au sein de l'organisation. Ces autorisations sont octroyées aux membres du rôle Administrateur des destinataires Exchange.

  • Propriétaire de toutes les données de configuration du serveur local. En tant que propriétaires, les membres contrôlent totalement le serveur Exchange local. Exchange 2007 octroie cette autorisation durant l'installation de chaque serveur Exchange.

Les utilisateurs membres du rôle Administrateurs d'organisation Exchange disposent du niveau le plus élevé d'autorisations dans l'organisation Exchange. Toutes les tâches qui affectent l'ensemble de l'organisation Exchange requièrent une appartenance à ce groupe. Les tâches requérant des autorisations d'Administrateur d'organisation Exchange incluent, par exemple, la création ou la suppression de connecteurs, la modification de stratégies de serveur et la modification de paramètres de configuration globaux.

Notes

Lorsque vous installez Exchange 2007, le programme d'installation ajoute le rôle Administrateurs d'organisation Exchange au groupe Administrateurs local sur lequel sur lequel vous installez Exchange. Sachez que le groupe Administrateurs local sur un contrôleur de domaine dispose d'autorisations différentes de celle du groupe Administrateurs local sur un serveur membre. Si vous installez Exchange 2007 sur un contrôleur de domaine, les utilisateurs membres du rôle Administrateurs d'organisation Exchange disposent d'autorisations Windows supplémentaires par rapport à celles dont ils disposent si vous installez Exchange 2007 sur un ordinateur qui n'est pas contrôleur de domaine.

Rôle Administrateurs des destinataires Exchange

Le rôle Administrateurs des destinataires Exchange dispose des autorisations nécessaires pour modifier toute propriété Exchange d'un utilisateur, d'un contact, d'un groupe, d'une liste de distribution dynamique ou d'un objet Dossier public Active Directory. Durant l'exécution de la commande Setup /PrepareAD d'Exchange, le rôle Administrateur des destinataires Exchange est créé dans le conteneur de groupes de sécurité Microsoft Exchange dans Active Directory. Ce rôle permet également de gérer les paramètres de boîte aux lettres de messagerie unifiée et les paramètres de boîte aux lettres d'accès au client. Les membres du rôle Administrateurs des destinataires de l'organisation Exchange ont les autorisations suivantes :

  • Accès en lecture à tous les conteneurs d'utilisateurs de domaine dans Active Directory lorsque la commande Setup /PrepareDomain a été exécutée dans ces domaines.

  • Accès en écriture à tous les attributs spécifiques à Exchange sur les conteneurs d'utilisateurs de domaine dans Active Directory lorsque la commande Setup /PrepareDomain a été exécutée dans ces domaines.

  • Appartenance au rôle Administrateurs Affichage seul d'Exchange.

Les utilisateurs membres du rôle Administrateurs des destinataires Exchange n'ont pas d'autorisations sur les domaines où la commande Setup /PrepareDomain n'a pas été exécutée. Lorsque vous ajoutez un nouveau domaine Exchange, veillez à exécuter la commande Setup /PrepareDomain dans le nouveau domaine pour octroyer des autorisations aux rôles d'administrateur Exchange dans ce domaine.

Rôle Administrateurs de serveur Exchange

Le rôle Administrateurs de serveur Exchange n'a accès qu'aux données de configuration Exchange du serveur local, soit dans Active Directory, soit sur l'ordinateur physique sur lequel Exchange 2007 est installé. Les utilisateurs membres du rôle Administrateurs de serveur Exchange disposent des autorisations nécessaires pour administrer un serveur particulier mais pas de celles nécessaires pour exécuter des opérations qui ont un impact global au sein de l'organisation Exchange.

Exchange 2007 crée ce rôle d'administrateur en cours d'installation. Les membres du rôle Administrateur de serveur Exchange ont les autorisations suivantes :

  • Propriétaire de toutes les données de configuration du serveur local. En tant que propriétaires, les membres du rôle contrôlent totalement les données de configuration du serveur local.

  • Administrateur local sur l'ordinateur sur lequel Exchange est installé.

  • Membres du rôle Administrateurs Affichage seul d'Exchange.

Administrateurs Exchange - Affichage seul

Le rôle Administrateurs Affichage seul d'Exchange dispose d'un accès en lecture seule à toute l'arborescence de l'organisation Exchange dans le conteneur de configuration Active Directory et d'un accès en lecture seule à tous les conteneurs de domaine Windows qui ont des destinataires Exchange.

Durant l'exécution de la commande Setup /PrepareAD d'Exchange, le rôle Administrateurs Affichage seul d'Exchange est créé dans le conteneur de groupes de sécurité Microsoft Exchange dans Active Directory.

Administrateurs de dossiers publics Exchange

Nouveautés d'Exchange 2007 Service Pack 1 (SP1)

Le rôle Administrateurs de dossiers publics Exchange a des autorisations administratives pour gérer tous les dossiers publics. Le rôle Administrateur bénéficie des droits étendus pour « Créer un dossier public de premier niveau ». Les membres de ce rôle peuvent créer ou supprimer des dossiers publics et gérer leurs paramètres, tels que les réplicas, les quotas, les limites d'âge, les autorisations administratives et les autorisations client. Ce rôle Administrateur peut activer la messagerie des dossiers publics mais ne peut en modifier les propriétés relatives au destinataire du courrier, telles que les adresses proxy. Cette fonctionnalité requiert l'appartenance au rôle Administrateurs des destinataires Exchange.

Récapitulatif des rôles et autorisations d'administrateur

Le tableau ci-après répertorie les rôles d'administrateur Exchange 2007 ainsi que les autorisations Exchange qui y sont associées.

Rôle d'administrateur Membres Membre de Autorisations Exchange

Administrateurs d'organisation Exchange

Administrateur, ou le compte utilisé pour installer le premier serveur Exchange 2007

Administrateur des destinataires Exchange

Groupe local d'administrateurs de <Nom de serveur>

Contrôle total du conteneur Microsoft Exchange dans Active Directory

Administrateurs des destinataires Exchange

Administrateurs d'organisation Exchange

Administrateurs Exchange - Affichage seul

Contrôle total des propriétés Exchange sur l'objet utilisateur Active Directory

Administrateurs de serveur Exchange

 

Administrateurs Exchange - Affichage seul

Groupe local d'administrateurs de <Nom de serveur>

Contrôle total de <Nom de serveur> Exchange

Administrateurs Exchange - Affichage seul

Administrateurs des destinataires Exchange

Administrateurs de dossiers publics Exchange

Administrateurs des destinataires Exchange

Administrateurs de serveur Exchange

Accès en lecture au conteneur Microsoft Exchange dans Active Directory.

Accès en lecture à tous les domaines Windows qui ont des destinataires Exchange.

Serveurs Exchange

Chaque compte d'ordinateur Exchange 2007

Administrateurs Exchange - Affichage seul

Spécial

Administrateurs de dossiers publics Exchange

Administrateurs d'organisation Exchange

Administrateurs Affichage seul d'Exchange.

Possibilité de gérer administrativement les dossiers publics.

Attributs du carnet d'adresses

Exchange utilise de nombreux attributs pour stocker les données Exchange. Exchange utilise également d'autres attributs de destinataire éventuellement utilisés par d'autres applications prenant en charge les annuaires qui exploitent les données Exchange. Par conséquent, ces attributs n'ont pas été ajoutés aux jeux de propriété spécifiques à Exchange. Ces attributs peuvent résider dans d'autres ensembles de propriétés créés lors de l'installation d'Active Directory ou n'appartenir à aucun jeu de propriétés.

Les attributs répertoriés dans le tableau suivant correspondent aux données fournies aux utilisateurs finaux via Microsoft Office Outlook dans la liste d'adresses globale (LAG). Si un administrateur Exchange veut pouvoir mettre à jour ces attributs et n'est pas membre d'un groupe de sécurité associé à un domaine, tel que le groupe Opérateurs de compte, l'administrateur Active Directory doit octroyer l'autorisation de lecture/écriture.

S'applique à l'objet Emplacement dans la console de gestion Exchange Attribut Description

Utilisateur, Contact

Onglet Informations utilisateur ou Informations de contact des propriétés de l'utilisateur ou du contact

givenName

Prénom

Utilisateur, Contact

Onglet Informations utilisateur ou Informations de contact des propriétés de l'utilisateur ou du contact

initials

Initiale intermédiaire

Utilisateur, Contact

Onglet Informations utilisateur ou Informations de contact des propriétés de l'utilisateur ou du contact

sn

Nom de famille

Utilisateur, Contact

Onglet Informations utilisateur ou Informations de contact des propriétés de l'utilisateur ou du contact

info

Champ Notes

Utilisateur, Contact

Onglet Adresse et téléphone des propriétés de l'utilisateur ou du contact

streetAddress

Adresse

Utilisateur, Contact

Onglet Adresse et téléphone des propriétés de l'utilisateur ou du contact

l

Ville

Utilisateur, Contact

Onglet Adresse et téléphone des propriétés de l'utilisateur ou du contact

st

Département/Région

Utilisateur, Contact

Onglet Adresse et téléphone des propriétés de l'utilisateur ou du contact

postalCode

Code postal

Utilisateur, Contact

Onglet Adresse et téléphone des propriétés de l'utilisateur ou du contact

countryCode

Pays

Utilisateur, Contact

Onglet Adresse et téléphone des propriétés de l'utilisateur ou du contact

telephoneNumber

Téléphone professionnel

Utilisateur, Contact

Uniquement disponible dans l'environnement de ligne de commande Exchange Management Shell

otherTelephoneNumber

Autre téléphone professionnel

Utilisateur, Contact

Onglet Adresse et téléphone des propriétés de l'utilisateur ou du contact

pager

Récepteur de radiomessagerie

Utilisateur, Contact

Onglet Adresse et téléphone des propriétés de l'utilisateur ou du contact

facsimileTelephoneNumber

Télécopie

Utilisateur, Contact

Onglet Adresse et téléphone des propriétés de l'utilisateur ou du contact

homePhone

Téléphone personnel

Utilisateur, Contact

Uniquement disponible dans l'environnement de ligne de commande Exchange Management Shell

otherHomePhone

Autre téléphone personnel

Utilisateur, Contact

Onglet Adresse et téléphone des propriétés de l'utilisateur ou du contact

mobile

Téléphone mobile

Utilisateur, Contact

Uniquement disponible dans l'environnement de ligne de commande Exchange Management Shell

otherfacsimileTelephoneNumber

Autre numéro de télécopie

Contact

Uniquement disponible dans l'environnement de ligne de commande Exchange Management Shell

telephoneAssistant

Téléphone Assistant(e)

Contact

ADSI (Active Directory Service Interfaces) Edit/LDAP

telephoneAssistant

Téléphone Assistant(e)

Utilisateur, Contact

Onglet Organisation des propriétés de l'utilisateur ou du contact

title

Titre

Utilisateur, Contact

Onglet Organisation des propriétés de l'utilisateur ou du contact

company

Société

Utilisateur, Contact

Onglet Organisation des propriétés de l'utilisateur ou du contact

department

Service

Utilisateur, Contact

Onglet Organisation des propriétés de l'utilisateur ou du contact

physicalDeliveryOfficeName

Bureau

Utilisateur, Contact

Onglet Organisation des propriétés de l'utilisateur ou du contact

manager

Responsable

Utilisateur, Contact

Onglet Organisation des propriétés de l'utilisateur ou du contact

directReports

Collaborateurs

Utilisateur, Contact

Uniquement disponible dans l'environnement de ligne de commande Exchange Management Shell

msExchAssistantName

Nom de l'assistant(e)

Groupe

Onglet Informations sur le groupe des propriétés du groupe

managedBy

Propriétaire de groupe

Groupe

Onglet Informations sur le groupe des propriétés du groupe

info

Champ Notes

Pour plus d'informations

Pour plus d'informations sur la délégation d'autorisations à l'aide des rôles d'administration Exchange, consultez la rubrique Add-ExchangeAdministrator.

Pour plus d'informations sur la préparation d'Active Directory et de vos domaines pour Exchange 2007, consultez la rubrique Procédure de préparation d'Active Directory et de domaines.