Configurer Exchange Server pour les autorisations fractionnées
Les autorisations fractionnées permettent à deux groupes distincts, tels que les administrateurs Active Directory et les administrateurs Exchange, de gérer leurs services, objets et attributs respectifs. Les administrateurs Active Directory gèrent les principaux de sécurité, tels que les utilisateurs, qui fournissent les autorisations permettant d'accéder à une forêt Active Directory. Les administrateurs Exchange gèrent les attributs relatifs à Exchange sur les objets Active Directory, ainsi que la création et la gestion d'objets spécifiques à Exchange.
Exchange Server 2016 et Exchange Server 2019 offrent les types de modèles d’autorisations fractionnées suivants :
Autorisations de fractionnement RBAC : les autorisations permettant de créer des principaux de sécurité dans la partition de domaine Active Directory sont contrôlées par le Access Control basé sur les rôles (RBAC). Seuls les membres des groupes de rôles appropriés peuvent créer des principaux de sécurité.
Autorisations de fractionnement Active Directory : les autorisations de création de principaux de sécurité dans la partition de domaine Active Directory sont complètement supprimées de tout utilisateur, service ou serveur Exchange. Aucune option n'est fournie dans le contrôle RBAC pour créer des principaux de sécurité. Dans Active Directory, ces derniers doivent être créés à l'aide des outils de gestion Active Directory.
Le modèle que vous choisissez va dépendre de la structure et des besoins de votre organisation. Choisissez la procédure ci-après qui s'applique au modèle que vous souhaitez configurer. Nous vous recommandons d'utiliser le modèle d'autorisations fractionnées RBAC. En effet, ce modèle s'avère sensiblement plus souple tout en assurant le même niveau de séparation de l'administration que les autorisations fractionnées Active Directory.
Pour plus d’informations sur les autorisations partagées et fractionnées, consultez Fractionner les autorisations dans Exchange Server.
Pour plus d'informations sur les groupes de rôle de gestion, les rôles de gestion et la délégation des attributions de rôles de gestion, voir les rubriques suivantes :
- Présentation du contrôle d'accès basé sur un rôle
- Présentation des groupes de rôles de gestion
- Présentation des rôles de gestion
- Présentation des attributions de rôles de gestion
Ce qu'il faut savoir avant de commencer
Durée d'exécution estimée de chaque procédure : 5 minutes
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Autorisations fractionnées Active Directory » de la rubrique Autorisations pour la gestion des rôles.
Le modèle d’autorisations que vous sélectionnez sera appliqué à tous les serveurs Exchange 2010 ou ultérieur de votre organisation.
Pour télécharger la dernière version d’Exchange, consultez Mises à jour pour Exchange Server.
Pour ouvrir l’environnement de ligne de commande Exchange Management Shell, consultez Ouvrir l’environnement de ligne de commande Exchange Management Shell.
Conseil
Vous rencontrez des difficultés ? Demandez de l’aide sur les forums Exchange Server.
Passer aux autorisations fractionnées RBAC
Une fois que vous avez basculé vers les autorisations de fractionnement RBAC, seuls les administrateurs Active Directory peuvent créer des principaux de sécurité Active Directory. Cela signifie que les administrateurs Exchange ne pourront pas utiliser les cmdlets suivantes :
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
Les administrateurs Exchange pourront uniquement gérer les attributs Exchange sur les entités de sécurité Active Directory existants. Toutefois, ils pourront créer et gérer des objets spécifiques à Exchange, tels que des règles de flux de courrier (également appelées règles de transport) et des groupes de distribution. Pour plus d’informations, consultez la section « Autorisations de fractionnement RBAC » dans Fractionner les autorisations dans Exchange Server.
Pour configurer Exchange pour les autorisations fractionnées, vous devez attribuer le rôle Création de destinataire de messagerie et le rôle Création et appartenance de groupe de sécurité à un groupe de rôles qui contient des membres qui sont des administrateurs Active Directory. Vous devez ensuite supprimer les attributions entre ces rôles et tout groupe de rôles ou groupe de sécurité universelle qui contient les administrateurs d'Exchange.
Pour configurer les autorisations de fractionnement RBAC, procédez comme suit :
Si votre organisation est actuellement configurée pour les autorisations fractionnées Active Directory, procédez comme suit :
Sur le serveur cible, ouvrez Explorateur de fichiers, cliquez avec le bouton droit sur le fichier image ISO Exchange, puis sélectionnez Monter. Notez la lettre de lecteur de DVD virtuel qui est affectée.
Ouvrez une fenêtre d’invite de commandes Windows. Par exemple :
- Appuyez sur la touche Windows + « R » pour ouvrir la boîte de dialogue Exécuter, tapez cmd.exe, puis appuyez sur OK.
- Appuyez sur Démarrer. Dans la zone Recherche, saisissez Invite de commandes, puis, dans la liste des résultats, sélectionnez Invite de commandes.
Dans la fenêtre Invite de commandes, exécutez la commande suivante pour désactiver les autorisations de fractionnement Active Directory :
Remarque
Le commutateur /IAcceptExchangeServerLicenseTerms précédent ne fonctionnera pas à partir des Exchange Server 2016 et Exchange Server septembre 2019 Mises à jour cumulatives (UC) de septembre 2021. Vous devez maintenant utiliser /IAcceptExchangeServerLicenseTerms_DiagnosticDataONou /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF pour les installations sans surveillance et par script.
Les exemples ci-dessous utilisent le commutateur /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. C’est à vous de modifier le commutateur vers /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
Redémarrez tous les serveurs Exchange de votre organisation ou attendez que le jeton d’accès Active Directory soit répliqué sur tous vos serveurs Exchange.
Effectuez les étapes suivantes dans Exchange Management Shell :
Créez un groupe de rôles pour les administrateurs Active Directory. Non seulement la commande crée le groupe de rôles, mais elle crée aussi des attributions de rôle ordinaire entre le nouveau groupe de rôles et les rôles Création du destinataire de messagerie et Création du groupe de sécurité et appartenance.
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
Remarque
Pour que les membres de ce groupe de rôles puissent créer des attributions de rôle, ajoutez le rôle de gestion des rôles. Vous n'avez pas à vous en occuper à ce stade. Toutefois, si vous souhaitez toujours attribuer le rôle Création du destinataire de messagerie ou le rôle Création du groupe de sécurité et appartenance à d'autres utilisateurs de rôle, le rôle de gestion des rôles doit être attribué à ce nouveau groupe de rôles. La procédure ci-après permet de configurer le groupe de rôles des administrateurs Active Directory en tant que seul groupe de rôles habilité à déléguer ces rôles.
Créez des attributions de rôles de délégation entre le nouveau groupe de rôles et le rôle Création de destinataire de messagerie et le rôle Création et appartenance de groupe de sécurité en exécutant les commandes suivantes :
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
Ajoutez des membres au nouveau groupe de rôles en exécutant la commande suivante :
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
Remplacez la liste des délégués sur le nouveau groupe de rôles afin que seuls les membres du groupe de rôles puissent ajouter ou supprimer des membres en exécutant la commande suivante :
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
Importante
Les membres du groupe de rôles Gestion de l'organisation, ou ceux auxquels est attribué le rôle de gestion des rôles, soit directement soit via un autre groupe de rôles ou groupe de sécurité universelle, peuvent ignorer ce contrôle de sécurité des délégués. Si vous souhaitez empêcher tout administrateur Exchange de s'ajouter au nouveau groupe de rôles, vous devez supprimer l'attribution de rôle entre le rôle de gestion des rôles et les administrateurs Exchange, puis l'attribuer à un autre groupe.
Recherchez toutes les attributions de rôles régulières et de délégation au rôle Création de destinataire de messagerie en exécutant la commande suivante :
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
Supprimez toutes les attributions de rôles régulières et de délégation au rôle Création de destinataire de messagerie qui ne sont pas associées au nouveau groupe de rôles ou à d’autres groupes de rôles, groupes de contrôle utilisateur ou affectations directes que vous souhaitez conserver en exécutant la commande suivante.
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
Remarque
Pour supprimer l'ensemble des attributions de rôle ordinaire et de délégation du rôle Création du destinataire de messagerie dont dispose un utilisateur de rôle autre que le groupe des administrateurs Active Directory, exécutez la commande suivante. Le commutateur WhatIf vous permet de voir quelles attributions de rôles seront supprimées. Supprimez le commutateur WhatIf et réexécutez la commande pour supprimer les attributions de rôles.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
Recherchez toutes les attributions de rôles régulières et de délégation au rôle Création et appartenance de groupe de sécurité en exécutant la commande suivante.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
Supprimez toutes les attributions de rôle régulières et délégantes au rôle Création et appartenance de groupe de sécurité qui ne sont pas associées au nouveau groupe de rôles ou à d’autres groupes de rôles, groupes de contrôle utilisateur ou affectations directes que vous souhaitez conserver en exécutant la commande suivante :
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
Remarque
Vous pouvez utiliser la commande présentée dans la remarque précédente pour supprimer toutes les attributions de rôle ordinaire et de délégation concernant le rôle de création du groupe de sécurité et appartenance associées à tout utilisateur de rôle autre que le groupe de rôle des administrateurs Active Directory, comme indiqué dans l'exemple ci-après.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques suivantes :
- New-RoleGroup
- New-ManagementRoleAssignment
- Add-RoleGroupMember
- Set-RoleGroup
- Get-ManagementRoleAssignment
- Remove-ManagementRoleAssignment
Passer aux autorisations fractionnées Active Directory
Vous pouvez configurer votre organisation Exchange pour les autorisations fractionnées Active Directory. Les autorisations fractionnées Active Directory suppriment totalement les autorisations permettant aux administrateurs et serveurs Exchange de créer des principaux de sécurité Active Directory ou de modifier des attributs non-Exchange sur ces objets. Une fois cette opération terminée, seuls les administrateurs Active Directory pourront créer les principaux de sécurité Active Directory. Cela signifie que les administrateurs Exchange ne pourront pas utiliser les cmdlets suivantes :
- Add-DistributionGroupMember
- New-DistributionGroup
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-DistributionGroup
- Remove-DistributionGroupMember
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
- Update-DistributionGroupMember
Les administrateurs et les serveurs Exchange pourront uniquement gérer les attributs Exchange sur les principaux de sécurité Active Directory existants. Cependant, ils seront en mesure de créer et de gérer des objets spécifiques d'Exchange, comme des règles de transport et des plans de numérotation de messagerie unifiée.
Avertissement
Une fois que vous activé les autorisations fractionnées Active Directory, les administrateurs et les serveurs Exchange ne peuvent plus créer de principaux de sécurité dans Active Directory ni gérer l'appartenance au groupe de distribution. Pour effectuer ces tâches, utilisez les outils de gestion Active Directory en vous assurant de bénéficier des autorisations Active Directory nécessaires. Avant d’apporter cette modification, vous devez comprendre l’impact qu’elle aura sur vos processus d’administration et les applications tierces qui s’intègrent à Exchange et au modèle d’autorisations RBAC.
Pour plus d’informations, consultez la section « Autorisations fractionnées Active Directory » dans Fractionner les autorisations dans Exchange Server.
Pour passer des autorisations partagées ou de fractionnement RBAC aux autorisations de fractionnement Active Directory, procédez comme suit :
Sur le serveur cible, ouvrez Explorateur de fichiers, cliquez avec le bouton droit sur le fichier image ISO Exchange, puis sélectionnez Monter. Notez la lettre de lecteur de DVD virtuel qui est affectée.
Dans une fenêtre d’invite de commandes Windows, exécutez la commande suivante pour activer les autorisations de fractionnement Active Directory :
Remarque
Le commutateur /IAcceptExchangeServerLicenseTerms précédent ne fonctionnera pas à partir des Exchange Server 2016 et Exchange Server septembre 2019 Mises à jour cumulatives (UC) de septembre 2021. Vous devez maintenant utiliser /IAcceptExchangeServerLicenseTerms_DiagnosticDataONou /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF pour les installations sans surveillance et par script.
Les exemples ci-dessous utilisent le commutateur /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. C’est à vous de modifier le commutateur vers /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
Si vous avez plusieurs domaines Active Directory dans votre organisation, vous devez soit exécuter
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain
dans chaque domaine enfant qui contient des serveurs ou des objets Exchange, soit exécuterSetup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains
à partir d’un site qui dispose d’un serveur Active Directory de chaque domaine.Redémarrez tous les serveurs Exchange de votre organisation ou attendez que le jeton d’accès Active Directory soit répliqué sur tous vos serveurs Exchange.