Planification et application d'un modèle d'autorisations divisées

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2008-02-05

Les organisations qui appliquent un modèle d'autorisations divisées veulent généralement restreindre les autorisations spécifiques octroyées aux administrateurs afin de renforcer la responsabilisation et la sécurité. Dans Microsoft Exchange Server 2007, les autorisations relatives aux attributs d'expéditeur Exchange sont regroupées. Cela minimise la configuration d'autorisation manuelle que vous devez effectuer pour séparer les autorisations Exchange d'autres autorisations administratives.

Par défaut, seuls les administrateurs d'organisation Exchange peuvent gérer les données de configuration et de destinataire Exchange. Toutefois, pour gérer la création, la modification et la suppression d'objets dans un domaine spécifique, ces administrateurs doivent également appartenir au groupe de sécurité Opérateurs de compte Windows ou à un groupe de sécurité d'un niveau supérieur. Pour plus d'informations sur l'octroi des autorisations Opérateurs de compte, consultez la page relative à l'aide du produit Windows Server 2003.

Contrôle d'accès

Pour gérer les attributs liés à Exchange sur des objets dans le contexte d'appellation des domaines de la forêt, les autorisations de modification doivent être accordées au groupe Administrateurs de serveur Exchange. Pour ce faire, modifiez le descripteur de sécurité sur l'objet contenant les attributs.

Un descripteur de sécurité contient deux listes de contrôle d'accès (ACL). Une ACL est une liste d'objets utilisateur ou groupe de sécurité dont l'accès à une ressource ou à un objet est accordé ou refusé. Les ACL permettent d'appliquer des autorisations spécifiques à l'objet entier, un jeu de propriétés de l'objet ou une propriété individuelle d'un objet. Il y a deux types d'ACL dans le descripteur de sécurité d'un objet :

  • Listes de contrôle d'accès discrétionnaire (DACL)   Ces listes identifient les utilisateurs et groupes qui se voient attribuer ou refuser des autorisations d'accès sur un objet. Si une liste de contrôle d'accès n'identifie pas explicitement un utilisateur ou un groupe auquel appartient un utilisateur, l'accès à cet objet est refusé à l'utilisateur. Par défaut, une liste de contrôle d'accès discrétionnaire est contrôlée par le propriétaire d'un objet ou la personne ayant créé l'objet, et contient des entrées de contrôle d'accès (ACE) qui déterminent l'accès de l'utilisateur à l'objet.

  • Listes de contrôle d'accès système (SACL)   Ces listes identifient les utilisateurs et groupes à auditer lorsqu'ils parviennent à accéder ou non à un objet. Par défaut, une liste de contrôle d'accès système est contrôlée par le propriétaire d'un objet ou la personne ayant créé l'objet. Une liste de contrôle d'accès système contient des ACE qui déterminent s'il est nécessaire d'enregistrer une tentative réussie ou échouée d'accès à un objet par un utilisateur doté d'une autorisation spécifique, telle que Contrôle total ou Lecture.

Une ACE est une entrée dans la liste de contrôle d'accès discrétionnaire d'un objet qui accorde des autorisations à un utilisateur ou un groupe. Une entrée de contrôle d'accès est également une entrée dans la liste de contrôle d'accès système d'un objet qui spécifie les événements de sécurité à auditer pour un utilisateur ou un groupe.

Application des autorisations

Une forêt de service d'annuaire Active Directory comprend un ou plusieurs domaines qui partagent une configuration commune et une limite de schéma. Au sein de ces domaines, les objets peuvent être organisés en conteneurs appelés unités d'organisation (UO). Les administrateurs de chaque organisation doivent concevoir une structure d'unités d'organisation conforme aux besoins de leur entreprise et qui optimise la délégation des autorisations d'administration.

Pour plus d'informations sur la conception d'une structure d'unités d'organisation, consultez les pages relatives aux meilleures pratiques de conception Active Directory pour la gestion des réseaux Windows et aux meilleures pratiques pour la délégation de l'administration d'Active Directory.

Lors de la conception d'un modèle de délégation, l'application des autorisations peut être effectuée selon plusieurs méthodes. Cette rubrique décrit deux méthodes :

  • l'application des autorisations au niveau du domaine ;

  • l'application des autorisations au niveau de l'UO.

Application des autorisations au niveau du domaine

Lorsque vous appliquez des autorisations déléguées au niveau du domaine, tous les objets héritent des autorisations. Cela inclut les utilisateurs, les contacts, les groupes, les domaines DNS et les ordinateurs. Dans les contrôleurs de domaine qui exécutent Microsoft Windows 2000 Server, l'ajout d'une entrée de contrôle d'accès (ACE) pouvant être héritée au niveau du domaine entraîne la modification de la liste d'accès de contrôle discrétionnaire pour chaque objet dans le domaine. En fonction du nombre d'entrées de contrôle d'accès et du nombre d'objets dans le domaine, ces modifications peuvent entraîner une surcharge ACL (entrées de contrôle d'accès superflues sur des objets qui augmentent la taille de la liste de contrôle d'accès). Une surcharge ACL augmente la taille physique du fichier Ntds.dit dans les contrôleurs de domaine du domaine. Cela peut provoquer des problèmes de performance d'Active Directory.

Dans les contrôleurs de domaine qui exécutent Microsoft Windows Server 2003, un descripteur de sécurité unique est stocké une seule fois au lieu d'être stocké pour chaque objet qui en hérite. Cette modification réduit la redondance des données et la croissance de la base de données liées à la modification des entrées de contrôle d'accès pouvant être héritées.

Application des autorisations au niveau de l'UO

La pratique recommandée consiste à appliquer les autorisations sur une UO parente. Cela permet d'appliquer des autorisations aux objets de classe spécifique contenus dans l'unité d'organisation et à leurs conteneurs enfants. Cette méthode requiert de placer tous les objets gérés dans une UO parente. Les exigences de votre entreprise peuvent empêcher votre organisation d'appliquer cette méthode. Si c'est le cas, vous pouvez appliquer les autorisations sur plusieurs UO.

Procédure d'application des autorisations

Microsoft intègre deux outils permettant d'appliquer des autorisations :

  • ADSI Edit (AdsiEdit.msc)

  • DSACLS (Dsacls.exe)

Ces deux outils sont inclus sur le CD Windows Server 2003 dans Support\Outils. Plusieurs produits tiers peuvent également être utilisés pour appliquer des autorisations.

Notes

Une modification incorrecte des attributs des objets Active Directory dans le cadre de l'utilisation d'ADSI (Active DirectoryService Interfaces) Edit, de SDACLS, de l'outil LDP (ldp.exe) ou d'un client LDAP (Lightweight Directory Access Protocol) version 3 peut provoquer des problèmes sérieux. Ces problèmes peuvent nécessiter de réinstaller Windows Server et /ou Exchange 2007. La modification des attributs d'objet Active Directory relève de votre responsabilité.

Pour plus d'informations sur l'utilisation de l'Éditeur ADSI, consultez la page relative à l'utilisation d'ADSI Edit pour appliquer des autorisations.

La pratique recommandée pour l'application des autorisations dans Exchange 2007 consiste à utiliser la cmdlet Add-ADPermission dans l'environnement de ligne de commande Exchange Management Shell. Pour plus d'informations, consultez la rubrique Add-ADPermission. Pour plus d'informations sur l'environnement de ligne de commande Exchange Management Shell, consultez la rubrique Utilisation d'Exchange Management Shell.

Exemples d'application d'autorisations

En raison de l'utilisation de jeux de propriétés dans Exchange 2007, l'application d'un modèle d'autorisations divisées requiert moins d'ACE que dans les versions précédentes d'Exchange Server.

Pour qu'un administrateur Exchange 2007 puisse gérer les propriétés relatives à la messagerie, il doit disposer des autorisations suivantes dans la partition de domaine :

  • Accès en écriture aux jeux de propriétés suivants :

    • informations personnelles Exchange ;

    • informations Exchange.

  • Accès en écriture aux attributs suivants :

    • legacyExchangeDN

    • displayName

    • adminDisplayName

    • displayNamePrintable

    • publicDelegates

    • garbageCollPeriod

    • textEncodedORAddress

    • showInAddressBook

    • proxyAddresses

    • mail

  • Autorisation de création pour les objets msExchDynamicDistributionList ;

  • Autorisation de suppression pour les objets msExchDynamicDistributionList ;

  • Autorisation de contrôle total pour les objets msExchDynamicDistributionList ;

  • Autorisation de lecture générique. Cela inclut les autorisations de lecture, Lister le contenu, Lister l'objet et Lire toutes les propriétés.

Outre ces autorisations, l'administrateur des destinataires doit également disposer des autorisations suivantes dans l'organisation Exchange :

  • Rôle Administrateur Affichage seul d'Exchange ou d'un rôle supérieur

    Notes

    Certaines opérations, telles que le déplacement de boîtes aux lettres, requièrent de disposer du rôle Administrateur de serveur Exchange ou d'un rôle supérieur.

  • Accès en écriture aux attributs msExchLastAppliedRecipientFilter et msExchRecipientFilterFlags sur le conteneur des listes d'adresses dans l'organisation Exchange. Ces autorisations sont requises pour que l'administrateur des destinataires puisse exécuter la cmdlet Update-AddressList.

  • Accès en écriture aux attributs msExchLastAppliedRecipientFilter et msExchRecipientFilterFlags sur le conteneur des stratégies de destinataire dans l'organisation Exchange. Ces autorisations sont requises pour que l'administrateur des destinataires puisse exécuter la cmdlet Update-EmailAddressPolicy.

  • Droit étendu d'accès au service de mise à jour de destinataire sur le groupe d'administration Exchange 2007. Ce droit étendu est requis car dans Exchange 2007, les informations relatives à l'adresse sont affectées au destinataire lors du processus de configuration.

Notes

Ces autorisations permettent de gérer les attributs spécifiques aux administrateurs Exchange. Les administrateurs Exchange ne peuvent pas gérer les attributs créés en dehors d'Exchange sauf si les autorisations appropriées leur sont déléguées.

Utilisation de l'environnement de ligne de commande Exchange Management Shell pour appliquer des autorisations

Cette section fournit un exemple d'utilisation de l'environnement de ligne de commande Exchange Management Shell pour déléguer des autorisations.

Les commandes de cet exemple permettent aux administrateurs du groupe de sécurité OU1AdminGroup d'activer ou de désactiver la messagerie pour des destinataires, de gérer les adresses de messagerie et d'afficher les noms pour les utilisateurs, groupes et contacts inclus dans la hiérarchie d'UO Container1 de la forêt Contoso.com contenant l'organisation Exchange ContosoOrg.

Si vous voulez effectuer ces tâches dans votre organisation, exécutez les commandes suivantes pour chaque conteneur auquel vous voulez autoriser l'accès. Remplacez le nom de domaine, l'organisation Exchange et les informations de compte par vos propres informations de domaine.

Vous devez exécuter les commandes suivantes dans cet ordre pour accorder les autorisations.

  1. Exécutez la commande suivante pour gérer les attributs relatifs à Exchange sur les objets dans l'UO.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights ReadProperty, WriteProperty -Properties Exchange-Information, Exchange-Personal-Information, legacyExchangeDN, displayName, adminDisplayName, displayNamePrintable, publicDelegates, garbageCollPeriod, textEncodedORAddress, showInAddressBook, proxyAddresses, mail

  2. Exécutez la commande suivante pour octroyer l'autorisation de lecture générique pour tous les objets dans l'UO.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericRead

  3. Exécutez les commandes suivantes pour octroyer l'autorisation permettant de gérer les groupes de distribution dynamiques dans l'UO :

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -InheritanceType Descendents -InheritedObjectType msExchDynamicDistributionList
Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights CreateChild, DeleteChild -ChildObjectTypes msExchDynamicDistributionList

    Pour Exchange 2007 Service Pack 1 (SP1), exécutez la commande suivante :

    ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -ChildObjectTypes msExchDynamicDistributionList

  4. Exécutez la commande suivante pour octroyer au groupe de sécurité OU1AdminGroup le droit étendu d'accès au service de mise à jour de destinataire.

    Add-ADPermission -Identity "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Contoso\OU1AdminGroup " -InheritedObjectType ms-Exch-Exchange-Server -ExtendedRights ms-Exch-Recipient-Update-Access -InheritanceType Descendents

  5. Exécutez les commandes suivantes pour octroyer au groupe de sécurité OU1AdminGroup la possibilité de mettre à jour les listes d'adresses et les stratégies d'adresse de messagerie.

    Add-ADPermission -Identity "CN=Address Lists Container,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags
Add-ADPermission -Identity "CN=Recipient Policies,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags

Si l'opération réussit, chaque commande génère les ACE ajoutées à l'objet.

Utilisation de DSACLS pour appliquer des autorisations

Cette section fournit un exemple d'utilisation de DSACLS (Dsacls.exe) pour appliquer des autorisations.

DSACLS est un outil de ligne de commande qui permet d'interroger et de modifier les autorisations et attributs de sécurité des objets Active Directory. DSACLS fait partie des outils de support Windows Server 2003. Utiliser cet outil de ligne de commande revient à utiliser l'onglet Sécurité des composants logiciels enfichables Windows 2000 Server Active Directory, tels que les Ordinateurs et utilisateurs Active Directory et Sites et services Active Directory.

Les commandes de cet exemple permettent aux administrateurs du groupe de sécurité OU1AdminGroup d'activer ou de désactiver la messagerie pour des destinataires, de gérer les adresses de messagerie et d'afficher les noms pour les utilisateurs, groupes et contacts inclus dans la hiérarchie d'UO OUContainer1 de la forêt Contoso.com contenant l'organisation Exchange ContosoOrg.

Notes

DSACLS est sensible à la casse. Vous devez être précis quant à la syntaxe utilisée dans DSACLS car tous les caractères sont transmis littéralement. Cela inclut les espaces vides et les retours chariots. Si DSACLS renvoie des erreurs, vérifiez que la commande est correcte ou essayez de fractionner la commande en segments plus petits. Pour plus d'informations sur l'utilisation de DSACLS, consultez l'article 281146 de la Base de connaissances Microsoft relatif à l'utilisation de Dsacls.exe dans Windows Server 2003 et Windows 2000.

Vous devez exécuter les commandes suivantes dans cet ordre pour accorder les autorisations.

  1. Connectez-vous à un ordinateur dans la forêt dans laquelle les outils de support Windows sont installés en utilisant un compte permettant d'effectuer les tâches, tel qu'un compte Administrateur de domaine. Remplacez le nom de domaine, l'organisation Exchange et les informations de compte par vos propres informations de domaine.

  2. Ouvrez une fenêtre d'invite de commandes et tapez les commandes suivantes pour gérer les attributs relatifs à Exchange sur les objets de l'UO.

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:T /G "Contoso\OU1AdminGroup:RPWP;legacyExchangeDN" "Contoso\OU1AdminGroup:RPWP;displayName" "Contoso\OU1AdminGroup:RPWP;adminDisplayName" "Contoso\OU1AdminGroup:RPWP;displayNamePrintable" "Contoso\OU1AdminGroup:RPWP;publicDelegates" "Contoso\OU1AdminGroup:RPWP;garbageCollPeriod" "Contoso\OU1AdminGroup:RPWP;textEncodedORAddress" "Contoso\OU1AdminGroup:RPWP;showInAddressBook" "Contoso\OU1AdminGroup:RPWP;proxyAddresses" "Contoso\OU1AdminGroup:RPWP;mail" "Contoso\OU1AdminGroup:RPWP;Exchange Personal Information" "Contoso\OU1AdminGroup:RPWP;Exchange Information" "Contoso\OU1AdminGroup:CCDC;msExchDynamicDistributionList" "Contoso\OU1AdminGroup:GR;"

  3. Ouvrez une fenêtre d'invite de commandes et tapez la commande suivante pour octroyer les droits appropriés permettant de gérer les groupes de distribution dynamiques dans l'UO.

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:GA;; msExchDynamicDistributionList"

  4. Ouvrez la fenêtre d'invite de commandes et tapez la commande suivante pour octroyer au groupe de sécurité OU1AdminGroup le droit étendu d'accès au service de mise à jour de destinataire.

    dsacls "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:CA;Access Recipient Update Service;msExchExchangeServer"

  5. Ouvrez la fenêtre d'invite de commandes, puis tapez les commandes suivantes pour octroyer au groupe de sécurité OU1AdminGroup la possibilité de mettre à jour les listes d'adresses et les stratégies d'adresse de messagerie.

    dsacls "CN=Address Lists Container, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"
dsacls "CN=Recipient Policies, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"

Si l'opération réussit, la commande génère le descripteur de sécurité Windows révisé et indique The command completed successfully dans l'invite de commandes.

Configuration du script d'autorisations divisées

Un script disponible dans le répertoire \Exchange Server\Scripts peut vous aider à configurer votre modèle d'autorisations divisées.

À l'aide de l'environnement de ligne de commande Exchange Management Shell, vous pouvez exécuter le script suivant :

  • ConfigureSplitPerms.ps1   Vous pouvez utiliser le script ConfigureSplitPerms.ps1 pour configurer les autorisations nécessaires mentionnées dans cette rubrique.

Pour plus d'informations sur la création de scripts, consultez la rubrique Utilisation d'Exchange Management Shell.

Pour plus d'informations

Pour plus d'informations sur les autorisations divisées, les attributs en relation avec Exchange et les tâches en relation avec les utilisateurs, les contacts et les groupes, consultez la rubrique Référence du modèle d'autorisations divisées.