Permissions Exchange 2003 et Exchange 2010
On peut discerner deux types de permissions pour Exchange :
· Les permissions administratives
· Les permissions utilisateurs
Les permissions administratives
Ce sont des permissions utilisées pour administrer Exchange, principalement des jeux de permissions positionnées sur les objets Exchange de la partition configuration.
· Exchange 2003 : gérées avec l'Assistant Délégation d'administration Exchange dans le Gestionnaire système Exchange
https://technet.microsoft.com/fr-fr/library/bb125081(EXCHG.65).aspx
· Exchange 2010 : RBAC Avec RBAC, on peut contrôler quelle ressource les administrateurs peuvent configurer et quelles fonctionnalités les utilisateurs peuvent utiliser.
https://technet.microsoft.com/fr-fr/library/dd298183.aspx
Les permissions utilisateurs
Les permissions clientes peuvent être positionnées en 2 endroits :
Dans l'AD :
· Exchange 2003 :
o Onglet sécurité de l'utilisateur (ADUC)
o Onglet Exchange avancé de l’utilisateur (ADUC)
o Pas d’export simple (des scripts existent)
· Exchange 2010 :
o Get-ADPermission, Add-ADPermission (également en console EMC)
o Get-MailboxPermission, Add-MailboxPermission
Dans Outlook
Ce sont les délégations ou permissions store. Elles sont directement stockées dans les bases Exchange et n'apparaissent pas dans l'AD
· Exchange 2003 :
o On peut les exporter et les importer avec l'outil Pfdavadmin qui utilise DAV pour accéder aux boîtes. Ceci permet de faire un audit des délégations d'une manière centralisée.
· Exchange 2010 :
o Get-MailboxFolderPermission,
Add-MailboxFolderPermission (nouveau en Exchange 2010)
Récapitulatif des permissions utilisateurs :
| Exchange 2003 | Exchange 2010 |
|
AD |
Onglet sécurité de l'utilisateur |
Get-ADPermission |
AD |
Onglet Exchange avancé |
Get-MailboxPermission |
Outlook |
Pfdavadmin |
Get-MailboxFolderPermission |
Les dossiers publics
· Permissions administratives :
o Exchange 2003 : Gestionnaire système Exchange
o Exchange 2010 : Get/Add-PublicFolderAdministrativePermission
· Permissions utilisateurs :
o Exchange 2003 : Gestionnaire système, Pfdavadmin
o Exchange 2010 : Get/Add-PublicFolderClientPermission
L'audit des actions administrateur
En Exchange 2010, il existe une possibilité d’auditer les commandes exécutées par les administrateurs Exchange dans Powershell, l’interface graphique EMC.
https://technet.microsoft.com/fr-fr/library/dd335144.aspx
On peut spécifier les commandes auditées et tous les audits sont envoyés à une boîte aux lettres.
L'audit des accès aux boîtes aux lettres
Il est commun à toutes les versions : https://support.microsoft.com/default.aspx?scid=kb;EN-US;274317
Il faut augmenter les diagnostics. Les informations suivantes sont générées :
Event ID: 1009
Description: DOMAIN\User1 logged on as /o=ORG/ou=SITE/cn=Recipients/cn=User1.
Event ID: 1013
Description: DOMAIN\User1 was validated as /o=ORG/ou=SITE/cn=Recipients/cn=User1 and logged on to /o=ORG/ou=SITE/cn=Recipients/cn=User2.
Event ID: 1016
Description: NT User DOMAIN\User1 logged on to User2 mailbox, and is not the primary Windows NT account on this mailbox.
Event ID: 1029
Description: /O=ORG/OU=SITE/CN=RECIPIENTS/CN=USER1 failed an operation because the user did not have the following access rights:
'Create Subfolder'
The distinguished name of the owning mailbox is /O=ORG/OU=SITE/CN=RECIPIENTS/CN=USER2. The folder ID is in the data section of this event.
Remarque :
Excepté pour RBAC qui est un nouveau modèle de permissions administratives, les permissions Exchange 2007 sont similaires à celles d’Exchange 2010.