Présentation des autorisations fractionnées
S'applique à : Exchange Server 2010
Dernière rubrique modifiée : 2009-12-06
Les organisations qui séparent la gestion des objets Microsoft Exchange Server 2010 et des objets Active Directory utilisent un modèle d’autorisations divisées. Les autorisations divisées permettent aux organisations d’attribuer des autorisations spécifiques et des tâches correspondantes à des groupes spécifiques au sein de l’organisation. Cette séparation du travail aide à maintenir les normes et les flux de travail et contribue au contrôle des modifications dans l’organisation.
Le plus haut niveau d’autorisations divisées est la séparation de la gestion Exchange et Active Directory. De nombreuses organisations possèdent deux groupes : les administrateurs qui gèrent l’infrastructure Exchange de l’organisation, y compris les serveurs et les destinataires, et les administrateurs qui gèrent l’infrastructure Active Directory. C’est une séparation importante pour nombre d’organisations car l’infrastructure Active Directory s’étend souvent sur plusieurs endroits, domaines, services, applications et même sur plusieurs forêts Active Directory. Les administrateurs Active Directory doivent s’assurer que les changements apportés à Active Directory n’ont pas de répercussion néfaste sur d’autres services. Par conséquent, généralement, seul un petit groupe d’administrateurs a l’autorisation de gérer l’infrastructure.
Cela dit, l’infrastructure de Exchange, y compris les serveurs et les destinataires, peut aussi être complexe et exiger des connaissances spéciales. En outre, Exchange stocke des informations extrêmement confidentielles sur l’activité de l’organisation. Les administrateurs Exchange peuvent potentiellement accéder à ces informations. En limitant le nombre d’administrateurs Exchange, l’organisation limite le nombre de personnes pouvant apporter des changements à la configuration d’Exchange et pouvant accéder aux informations sensibles.
Les autorisations divisées font généralement la distinction entre la création des principaux de sécurité dans Active Directory, tels que les utilisateurs et les groupes de sécurité, et la configuration de ces objets. Cela permet de réduire les risques d’accès non autorisés au réseau en contrôlant qui peut créer des objets qui y donnent accès. La plupart du temps, seuls les administrateurs Active Directory peuvent créer des principaux de sécurité alors que les autres administrateurs, tels que les administrateurs Exchange, peuvent gérer les attributs spécifiques des objets Active Directory existants.
Afin de prendre en charge les divers besoins liés à la séparation de la gestion de Exchange et Active Directory, Exchange 2010 vous donne le choix entre un modèle d’autorisations partagées et un modèle d’autorisations divisées. Par défaut, Exchange 2010 a un modèle d’autorisations partagées.
Contenu de cette rubrique
- Explication du contrôle de l’accès basé sur un rôle et d’Active Directory
- Autorisations partagées
- Autorisations divisées
Explication du contrôle de l’accès basé sur un rôle et d’Active Directory
Pour comprendre les autorisations divisées, vous devez d’abord comprendre le fonctionnement d’un modèle d’autorisations du contrôle de l’accès basé sur un rôle (RBAC) Exchange 2010 avec Active Directory. Le modèle RBAC maîtrise qui peut effectuer les actions, et sur quels objets ces actions peuvent être effectuées. Pour plus d’informations sur les divers composants RBAC évoqués dans ce sujet, consultez la rubrique Présentation du contrôle d'accès basé sur un rôle.
Dans Exchange 2010, toutes les tâches effectuées sur les objets Exchange doivent passer par la console de gestion Exchange, l’environnement de ligne de commande Exchange Management Shell, ou l’interface d’administration Web Exchange. Chacun de ces outils de gestion utilise le RBAC pour autoriser toutes les tâches effectuées.
RBAC est un composant qui existe sur chaque serveur exécutant Exchange 2010. RBAC vérifie si l’utilisateur effectuant l’action y est autorisé.
- Si ce n’est pas le cas, RBAC met l’action en échec.
- Si l’utilisateur a l’autorisation, RBAC vérifie s’il est bien autorisé à effectuer l’action sur l’objet spécifique demandé :
- Si l’utilisateur est autorisé, RBAC permet à l’action de continuer.
- Si l’utilisateur n’est pas autorisé, RBAC n’autorise pas la poursuite de l’action.
Si RBAC autorise une action, celle-ci est effectuée dans le contexte du groupe de sécurité universel du sous-système approuvé Exchange et non pas dans le contexte de l’utilisateur. Le groupe de sécurité universel du sous-système approuvé Exchange est un groupe universel de sécurité disposant de l’accès en lecture et écriture à tous les objets associés à Exchange dans l’organisation Exchange. C’est aussi un membre des groupes de sécurité locaux des administrateurs et le groupe universel de sécurité des autorisations Windows Exchange qui permettent à Exchange de créer et de gérer des objets Active Directory.
.gif "Dd638106.Caution(fr-fr,EXCHG.140).gif") Attention : |
|---|
| Le groupe de sécurité universel du sous-système approuvé Exchange ne doit être retiré d’aucun groupe de sécurité ni des listes de contrôle d’accès d’un objet. Pour fonctionner, Exchange repose sur le groupe de sécurité universel du sous-système approuvé Exchange. En enlevant le groupe de sécurité universel du sous-système approuvé Exchange d’un groupe ou d’une liste de contrôle d’accès d’un objet, vous risqueriez de causer des dommages irréparables à votre organisation Exchange. |
Il faut bien comprendre que les autorisations Active Directory d’un utilisateur n’importent pas lors de l’utilisation des outils de gestion Exchange. Si l’utilisateur a l’autorisation, via RBAC, d’effectuer une action dans les outils de gestion Exchange, il peut effectuer l’action quelles que soient ses autorisations Active Directory. À l’inverse, si un utilisateur est un Administrateur d’entreprise dans Active Directory mais n’est pas autorisé à effectuer une action telle que la création d’une boîte aux lettres dans les outils de gestion Exchange, l’action échouera car l’utilisateur n’a pas les autorisations requises selon RBAC.
.gif "Dd638106.important(fr-fr,EXCHG.140).gif") Important : |
|---|
| Bien que le modèle des autorisations RBAC ne s’applique pas à l’outil de gestion des utilisateurs et ordinateurs Active Directory, ceux-ci ne peuvent pas gérer la configuration Exchange. Ainsi, même si un utilisateur a l’accès pour modifier quelques attributs sur les objets Active Directory, tels que le nom complet de l’utilisateur, il doit employer les outils de gestion Exchange, et doit donc disposer de l’autorisation RBAC, pour gérer les attributs Exchange. |
Retour au début
Autorisations partagées
Le modèle des autorisations partagées est le modèle par défaut de Exchange 2010. Vous n’avez pas besoin de changer quoi que ce soit si c’est le modèle d’autorisations que vous souhaitez utiliser. Ce modèle ne sépare pas la gestion des objets Exchange et Active Directory du cadre des outils de gestion Exchange. Il permet aux administrateurs utilisant les outils de gestion Exchange de créer des principaux de sécurité dans Active Directory.
Le tableau suivant répertorie les rôles permettant la création de principaux de sécurité dans Exchange et les groupes de rôles de gestion auxquels ils sont affectés par défaut.
Rôles de gestion du principal de sécurité
| Rôle de gestion | Groupe de rôles |
|---|---|
Seuls les groupes de rôles, les utilisateurs ou les groupes de sécurité universels affectés au rôle Création de destinataires de message peuvent créer des principaux de sécurité tels que les utilisateurs Active Directory. Par défaut, ce rôle est attribué aux groupes de rôles Gestion de l’organisation et Gestion des destinataires. Par conséquent, les membres de ces groupes de rôles peuvent créer des principaux de sécurité.
Seuls les groupes de rôles, les utilisateurs ou les groupes de sécurité universels affectés au rôle Création et appartenance au groupe de sécurité peuvent créer des groupes de sécurité ou gérer leur appartenance. Par défaut, ce rôle est attribué uniquement au groupe de rôles Gestion de l’organisation. Par conséquent, seuls les membres du groupe de rôles Gestion de l’organisation peuvent créer ou gérer l’appartenance des groupes de sécurité.
Vous pouvez attribuer les rôles Création du destinataire, Création et appartenance au groupe de sécurité aux autres groupes de rôles, utilisateurs ou groupes de sécurité si vous voulez permettre à d’autres de créer des principaux de sécurité.
Pour permettre la gestion des principaux de sécurité existants dans Exchange 2010, le rôle Destinataires de message est attribué par défaut aux groupes de rôles Gestion de l’organisation et Gestion des destinataires. Seuls les groupes de rôles, les utilisateurs ou les groupes de sécurité universels affectés au rôle Destinataires de message peuvent gérer des principaux de sécurité existants. Si vous souhaitez que d’autres groupes de rôles, d’autres utilisateurs ou d’autres groupes de sécurité universels puissent gérer les principaux de sécurité existants, vous devez leur attribuer le rôle de Destinataires de message.
Pour plus d’informations sur l’ajout de rôles à des groupes de rôles, à des utilisateurs ou à des groupes de sécurité universels, voir les rubriques suivantes :
- Ajouter un rôle à un groupe de rôles
- Ajouter un rôle à un utilisateur ou un groupe de sécurité universel
Si vous êtes passé à un modèle d’autorisations divisées et que vous voulez retourner à un modèle d’autorisations partagées, consultez la rubrique Configurer Exchange 2010 pour les autorisations partagées.
Retour au début
Autorisations divisées
Si votre organisation sépare la gestion Exchange de la gestion Active Directory, vous devrez configurer Exchange pour qu’il prenne en charge le modèle d’autorisations divisées. Si vous l’avez configuré correctement, seuls les administrateurs à qui vous avez donné l’autorisation de créer des principaux de sécurité, les administrateurs Active Directory par exemple, pourront le faire et seuls les administrateurs Exchange seront en mesure de modifier les attributs Exchange sur les principaux de sécurité existants.
Le tableau suivant répertorie les rôles permettant la création de principaux de sécurité dans Exchange et les groupes de rôles de gestion auxquels ils sont affectés par défaut.
Rôles de gestion du principal de sécurité
| Rôle de gestion | Groupe de rôles |
|---|---|
Par défaut, les membres des groupes de rôles Gestion de l’organisation et Gestion des destinataires peuvent créer des principaux de sécurité. Vous devez transférer la capacité de création des principaux de sécurité à partir des groupes de rôles intégrés vers un nouveau groupe de rôles que vous créez.
Pour configurer un modèle d’autorisations divisées, vous devez procéder comme suit :
- Créez un groupe de rôles qui contiendra les administrateurs Active Directory pouvant créer des principaux de sécurité.
- Créez des attributions normales et de rôles de délégation entre le rôle Création du destinataire de message et le nouveau groupe de rôles.
- Créez des attributions normales et de rôles de délégation entre le rôle Création et appartenance au groupe de sécurité et le nouveau groupe de rôles.
- Supprimez les attributions de rôle ordinaires et de gestion de délégation entre le rôle Création de destinataires de message et les groupes de rôles Gestion de l’organisation et Gestion des destinataires.
- Supprimez les attributions de rôle ordinaires et de délégation entre le rôle Création et appartenance au groupe de sécurité et le groupe de rôles Gestion de l’organisation.
Une fois que vous aurez fait cela, seuls les membres du nouveau groupe de rôles que vous créez pourront créer des principaux de sécurité tels que des boîtes aux lettres. Le nouveau groupe pourra uniquement créer les objets. Il ne pourra pas configurer les attributs Exchange sur le nouvel objet. Un administrateur Active Directory devra créer l’objet puis un administrateur Exchange devra configurer les attributs Exchange sur l’objet. Les administrateurs Exchange ne pourront pas utiliser les cmdlets suivantes :
- New-Mailbox
- New-MailUser
- New-MailContact
- New-LinkedUser
- Remove-Mailbox
- Remove-MailUser
- Remove-MailContact
- Remove-LinkedUser
- Add-MailboxPermission
- Add-MailboxFolderPermission
Toutefois, les administrateurs Exchange pourront créer et gérer des objets spécifiques à Exchange, tels que les règles de transport, les groupes de distribution, etc.
Si vous souhaitez que le nouveau groupe de rôles puisse gérer les attributs Exchange sur le nouvel objet, il faut alors lui attribuer le rôle Destinataires de message.
Pour plus d’informations sur la configuration du modèle des autorisations divisées, consultez la rubrique Configurer Exchange 2010 pour les autorisations de partage.
Retour au début