Présentation de la coexistence des autorisations avec Exchange 2007
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Le modèle d’autorisations de Microsoft Exchange Server 2010 a été amélioré par rapport aux modèles utilisés dans les versions antérieures d’Exchange. Exchange 2010 inclut des autorisations de contrôle d’accès basé sur un rôle (RBAC) qui remplacent le modèle d’autorisation d’entrée de contrôle d’accès (ACE) Active Directory de Microsoft Exchange Server 2007. RBAC est le mécanisme d’autorisation utilisé pour la plupart des tâches de gestion d’Exchange 2010. Ce mécanisme couvre les domaines de gestion suivants :
Environnement de ligne de commande Exchange Management Shell
Panneau de configuration Exchange
Console de gestion Exchange (EMC)
Services Web Exchange
MAPI sur le composant intermédiaire
Pour plus d’informations sur la procédure de planification de la coexistence entre Exchange 2010 et les versions antérieures d’Exchange, consultez la rubrique Présentation de la mise à niveau vers Exchange 2010.
Souhaitez-vous rechercher les tâches de gestion liées aux autorisations ? Consultez la rubrique Gestion des autorisations.
Autorisations Exchange 2010
Le modèle d’autorisations RBAC d’Exchange 2010 se caractérise par des groupes de rôles de gestion auxquels sont affectés un ou plusieurs rôles de gestion. Les rôles de gestion contiennent des autorisations qui permettent aux administrateurs de réaliser diverses tâches dans l’organisation Exchange. Les administrateurs sont ajoutés en tant que membres des groupes de rôles et se voient accorder toutes les autorisations inhérentes aux rôles. Le tableau ci-après fournit un exemple décrivant les groupes de rôles, certains rôles qui leur sont attribués et le type d’utilisateur susceptible d’être membre du groupe de rôles.
Exemples de groupes de rôles et de rôles dans Exchange 2010
Groupe de rôles de gestion | Rôles de gestion | Membres de ce groupe de rôles |
---|---|---|
Gestion de l’organisation |
Voici quelques-uns des rôles affectés à ce groupe de rôles :
|
Les utilisateurs chargés de gérer l’organisation Exchange 2010 entière doivent être membres de ce groupe. À quelques exceptions près, les membres de ce groupe de rôles peuvent gérer quasiment tous les aspects de l’organisation Exchange 2010. Par défaut, le compte d’utilisateur servant à la préparation d’Active Directory pour Exchange 2010 est membre de ce groupe de rôles. Pour obtenir des informations détaillées sur ce groupe de rôles, ainsi qu’une liste complète des rôles qui lui sont attribués, consultez la rubrique Gestion de l’organisation. |
Afficher uniquement la gestion de l’organisation |
Les rôles suivants sont affectés à ce groupe de rôles :
|
Les utilisateurs qui consultent la configuration de l’organisation Exchange 2010 complète doivent être membres de ce groupe. Ces utilisateurs doivent pouvoir afficher la configuration du serveur et les informations sur les destinataires. Ils doivent également être capables de réaliser des fonctions d’analyse sans qu’il soit possible de modifier la configuration de l’organisation ou des destinataires. Pour plus d’informations sur ce groupe de rôles, consultez la rubrique Gestion de l’organisation en affichage seul. |
Gestion des destinataires |
Les rôles suivants sont affectés à ce groupe de rôles :
|
Les utilisateurs chargés de gérer des destinataires dans l’organisation Exchange 2010, notamment des boîtes aux lettres, des contacts et des groupes de distribution, doivent être membres de ce groupe de rôles. Ces utilisateurs peuvent créer des destinataires, modifier ou supprimer des destinataires existants ou encore déplacer des boîtes aux lettres. Pour obtenir des informations détaillées sur ce groupe de rôles, ainsi qu’une liste complète des rôles qui lui sont attribués, consultez la rubrique Gestion des destinataires. |
Gestion du serveur |
Voici quelques-uns des rôles affectés à ce groupe de rôles :
|
Les utilisateurs qui gèrent la configuration du serveur Exchange, notamment des connecteurs de réception, des certificats, des bases de données et des répertoires virtuels, doivent être membres de ce groupe de rôles. Ils peuvent modifier la configuration du serveur Exchange, créer des bases de données et redémarrer et manipuler des files d’attente de transport. Pour obtenir des informations détaillées sur ce groupe de rôles, ainsi qu’une liste complète des rôles qui lui sont attribués, consultez la rubrique Gestion du serveur. |
Gestion de la découverte |
Les rôles suivants sont affectés à ce groupe de rôles :
|
Les utilisateurs qui effectuent des recherches de boîtes aux lettres pour des actes de procédure ou qui configurent des conservations légales, doivent être membres de ce groupe de rôles. Voici un exemple de groupe de rôles susceptible de contenir des administrateurs non Exchange (par exemple, le personnel du service juridique). Le personnel juridique peut accomplir ses tâches sans l’intervention d’administrateurs Exchange. Pour obtenir des informations détaillées sur ce groupe de rôles, ainsi qu’une liste complète des rôles qui lui sont attribués, consultez la rubrique Gestion de la détection. |
Ce tableau montre qu’Exchange 2010 offre un niveau de contrôle plus détaillé des autorisations que vous accordez à vos administrateurs. Vous pouvez choisir parmi 11 groupes de rôles différents dans Exchange 2010. Pour obtenir une liste complète des groupes de rôles et des autorisations accordées, consultez la rubrique Groupes de rôles intégrés.
Parce qu’Exchange 2010 inclut de nombreux groupes de rôles et qu’une personnalisation supplémentaire est possible en créant des groupes de rôles avec différentes combinaisons de rôles, la manipulation des listes de contrôle d’accès dans des objets Active Directory n’est désormais plus nécessaire et n’aura une incidence. Les listes de contrôle d’accès ne sont plus employées pour appliquer des autorisations à des administrateurs individuels ou des groupes dans Exchange 2010. Toutes les tâches, notamment la création d’une boîte aux lettres par un administrateur ou l’accès d’un utilisateur à une boîte aux lettres, sont gérées via le contrôle d’accès basé sur un rôle (RBAC). Le contrôle d’accès basé sur un rôle (RBAC) autorise la tâche, puis Exchange l’exécute pour le compte de l’utilisateur s’il est autorisé. Exchange exécute la tâche dans le groupe de sécurité universel du sous-système approuvé Exchange. À quelques exceptions près, toutes les listes de contrôle d’accès dans des objets Active Directory auxquels Exchange 2010 doit accéder sont autorisées dans le groupe de sécurité universel du sous-système approuvé Exchange. Cet aspect change fondamentalement le mode de gestion des autorisations dans Exchange 2007.
Les autorisations accordées à un utilisateur dans Active Directory sont distinctes des autorisations accordées à l’utilisateur par le contrôle d’accès basé sur un rôle (RBAC) lorsque l’utilisateur en question fait appel aux outils de gestion Exchange 2010.
Pour plus d’informations sur le contrôle d’accès basé sur un rôle (RBAC), consultez la rubrique Présentation du contrôle d'accès basé sur un rôle.
Autorisations Exchange 2007
Le modèle administratif d’Exchange 2007 exploite les forêts Active Directory pour définir des limites de sécurité. Aucune autorisation de sécurité n’est isolée dans une forêt particulière. Les propriétaires de forêts et les administrateurs d’entreprise peuvent toujours accéder à l’ensemble des ressources d’un domaine. Dans Exchange 2007, vous devrez éventuellement accorder des droits d’administrateur d’entreprise et de domaine de niveau supérieur uniquement de façon temporaire.
Exchange 2007 fournit les rôles d’administrateur prédéfinis suivants :
Rôle Administrateur de l’organisation Exchange Ce rôle accorde des autorisations pour contrôler tous les aspects de l’organisation Exchange 2007. De plus, un administrateur exerçant ce rôle peut octroyer des autorisations à d’autres administrateurs Exchange. Ce rôle est affecté au compte que vous utilisez pour installer Exchange 2007.
Rôle Administrateur Exchange Affichage seul Ce rôle accorde des autorisations pour afficher la configuration d’Exchange. Toutefois, un administrateur auquel ce rôle a été affecté ne peut pas modifier des objets dans l’organisation Exchange 2007.
Rôle Administrateur des destinataires Exchange Ce rôle accorde des autorisations pour gérer les destinataires de messages électroniques. Un administrateur exerçant ce rôle peut modifier des éléments liés à Exchange pour les utilisateurs, les groupes, les contacts et les groupes de distribution.
Rôle Administrateur Exchange Server Ce rôle accorde des autorisations pour gérer un serveur spécifique. Cependant, ce rôle n’octroie pas d’autorisations pour effectuer des actions ayant un impact global sur l’organisation Exchange 2007.
Rôle Administrateur de dossiers publics Exchange Ce rôle a été ajouté à Exchange 2007 Service Pack 1**.** Il accorde des autorisations pour gérer des dossiers publics dans l’organisation Exchange 2007.
Ce modèle d'autorisations utilise les groupes universels de sécurité pour tous les rôles, à l'exception du rôle d'administrateur de serveur Exchange. Lorsque vous exécutez la commande Exchange 2007Setup /PrepareAD, le programme d'installation crée les groupes universels de sécurité dans le domaine racine et leur confère une portée englobant la forêt entière. Des listes de contrôle d’accès sont affectées aux groupes de sécurité universels pour gérer les objets Exchange dans Active Directory.
Dans Exchange 2007, vous pouvez différencier les administrateurs en leur attribuant divers rôles. Les autorisations sont affectées directement à l’utilisateur ou au groupe de sécurité universel dont l’utilisateur est membre. Toutes les actions de l’utilisateur sont entreprises dans le cadre de son compte Active Directory. Le tableau ci-après répertorie les rôles d’administrateur Exchange 2007 ainsi que les autorisations Exchange correspondantes.
Rôles d’administrateur Exchange 2007
Rôle d’administrateur | Membres | Membre de | Autorisations Exchange |
---|---|---|---|
Administrateur de l’organisation Exchange |
Compte d’administrateur ou compte utilisé pour installer le premier serveur Exchange 2007 |
Administrateur des destinataires Exchange Groupe local d’administrateurs de <nom de serveur> |
Contrôle total du conteneur Microsoft Exchange dans Active Directory |
Administrateur Exchange Affichage seul |
Administrateurs des destinataires Exchange Administrateurs Exchange Server (<nom de serveur>) |
Administrateurs des destinataires Exchange Administrateurs Exchange Server |
Accès en lecture au conteneur Microsoft Exchange dans Active Directory. Accès en lecture à tous les domaines Windows ayant des destinataires Exchange |
Administrateur des destinataires Exchange |
Administrateurs de l’organisation Exchange |
Administrateurs Exchange Affichage seul |
Contrôle total des propriétés Exchange sur les objets utilisateur Active Directory |
Administrateur Exchange Server |
Administrateurs de l’organisation Exchange |
Administrateurs Exchange Affichage seul Groupe local d’administrateurs de <nom de serveur> |
Contrôle total de Exchange <nom de serveur> |
Exchange Server |
Chaque compte d’ordinateur Exchange 2007 |
Administrateurs Exchange Affichage seul |
Spécial |
Administrateur de dossiers publics Exchange |
Administrateurs de l’organisation Exchange |
Administrateurs Exchange Affichage seul |
Contrôle total de la gestion de tous les dossiers publics (droit étendu de création d’un dossier public de premier niveau accordé) |
Si vous souhaitez créer des affectations d’autorisations à un niveau plus détaillé, vous pouvez modifier les listes de contrôle d’accès sur des objets Exchange 2007 individuels, tels que des listes d’adresses ou des bases de données. Vous devez ajouter le groupe d'utilisateurs ou de sécurité dont l'utilisateur est membre directement à l'ACL. Ensuite, les actions sont exécutées dans le contexte de l'utilisateur particulier.
Pour plus d’informations sur la procédure de gestion des autorisations dans Exchange 2007, consultez la page Configuration des autorisations dans Exchange Server 2007.
Coexistence des autorisations dans Exchange 2010 et Exchange 2007
Parce que les modèles d’autorisations d’Exchange 2010 et d’Exchange 2007 sont différents, les affectations d’autorisations Exchange 2010 sont distinctes de celles d’Exchange 2007. Ce principe vaut même si les deux versions d'Exchange sont installées dans la même forêt. Sans configuration supplémentaire, les administrateurs Exchange 2010 ne disposent pas des autorisations requises pour gérer des serveurs Exchange 2007 et les administrateurs Exchange 2007 ne disposent pas des autorisations requises pour gérer des serveurs Exchange 2010. Vous devez réfléchir aux questions suivantes :
Souhaitez-vous accorder aux administrateurs Exchange 2010 le droit de gérer des serveurs Exchange 2007 ?
Souhaitez-vous accorder aux administrateurs Exchange 2007 le droit de gérer des serveurs Exchange 2010 ?
Souhaitez-vous personnaliser les autorisations Exchange 2010 pour les rendre compatibles avec toutes les autorisations que vous avez définies dans les listes de contrôle d’accès Exchange 2007 ?
Octroi d’autorisations Exchange 2010 à des administrateurs Exchange 2007
Si vous souhaitez que les administrateurs Exchange 2007 gèrent des serveurs Exchange 2010, vous devez ajouter les administrateurs Exchange 2007 en tant que membres d’un ou de plusieurs groupes de rôles Exchange 2010. Vous pouvez ajouter soit des utilisateurs, soit des groupes de sécurité universels à des groupes de rôles. Les autorisations accordées aux groupes de rôles sont ensuite appliquées aux utilisateurs ou aux groupes de sécurité universels que vous avez ajoutés en tant que membres.
Important : |
---|
Si vous utilisez des groupes de sécurité Active Directory globaux ou de domaine local, vous devez les redéfinir en tant que groupes de sécurité universels si votre intention est de les ajouter comme membres d’un groupe de rôles Exchange 2010. Exchange 2010 prend uniquement en charge les groupes de sécurité universels. |
Le tableau qui suit décrit le mappage entre les rôles d’administrateur Exchange 2007 et les groupes de rôles Exchange 2010.
Rôles d’administrateur Exchange 2007 et groupes de rôles Exchange 2010
Rôle d’administrateur Exchange 2007 | Groupe de rôles Exchange 2010 |
---|---|
Administrateur de l’organisation Exchange |
Gestion de l’organisation |
Administrateur des destinataires Exchange |
Gestion des destinataires |
Administrateur Exchange Server |
Gestion du serveur |
Administrateur Exchange Affichage seul |
Afficher uniquement la gestion de l’organisation |
Exchange Server |
Aucun groupe de rôles équivalent dans Exchange 2010 (Pour plus d’informations sur la création de groupes de rôles personnalisés, consultez la rubrique Créer un groupe de rôles.) |
Administrateur de dossiers publics Exchange |
Gestion des dossiers publics |
Si tous vos administrateurs Exchange 2007 sont des membres de l’un des trois rôles d’administrateur Exchange 2007, vous pouvez ajouter les membres de chaque groupe d’administration à leur groupe de rôles Exchange 2010 équivalent. Par exemple, pour accorder à tous les administrateurs de l’organisation Exchange 2007 un accès total aux objets Exchange 2010, ajoutez le groupe de sécurité universel des administrateurs de l’organisation Exchange au groupe de rôles Gestion de l’organisation.
Pour plus d’informations sur la procédure d’ajout d’utilisateurs et de groupes de sécurité universels à des groupes de rôles, consultez la rubrique Ajouter des membres un groupe de rôles.
Si vous modifiez des listes de contrôle d’accès dans des objets Exchange 2007 pour accorder des autorisations plus granulaires à des administrateurs Exchange 2007 et si vous souhaitez leur accorder des autorisations similaires pour des serveurs Exchange 2010, procédez comme suit :
Examinez les personnalisations des listes de contrôle d’accès qui ont été effectuées dans les objets Exchange 2007 et recherchez les administrateurs auxquels des autorisations ont été accordées pour chaque objet.
Classez chaque objet Exchange 2007. Par exemple, déterminez si l’objet est une base de données, un serveur ou un objet de destinataire.
Mappez les objets au groupe de rôles Exchange 2010 correspondant. Pour obtenir une liste des groupes de rôles intégrés, consultez la rubrique Groupes de rôles intégrés.
Ajoutez les utilisateurs ou les groupes de sécurité universels pour chaque type d’objet aux groupes de rôles Exchange 2010 correspondants. Pour plus d’informations sur la procédure d’ajout d’utilisateurs et de groupes de sécurité universels à des groupes de rôles, consultez la rubrique Ajouter des membres un groupe de rôles.
Une fois ces étapes terminées, les administrateurs Exchange 2007 seront membres du groupe de rôles spécifique qui est mappé aux objets Exchange 2010 appropriés. Les administrateurs Exchange 2007 peuvent faire appel aux outils de gestion Exchange 2010 pour gérer les serveurs et les destinataires Exchange 2010.
Important : |
---|
En règle générale, la gestion des serveurs et des destinataires Exchange 2007 est effectuée au moyen des outils de gestion Exchange 2007 ; celle des serveurs et des destinataires Exchange 2010 est accomplie à l’aide des outils de gestion Exchange 2010. |
Si les groupes de rôles intégrés ne vous procurent pas l’ensemble précis des autorisations que vous souhaitez accorder à certains administrateurs, vous pouvez créer des groupes de rôles personnalisés. Lorsque vous créez un groupe de rôle personnalisé, vous pouvez choisir les rôles que vous souhaitez y ajouter. Vous pouvez définir les fonctionnalités spécifiques dont vous souhaitez confier la gestion aux membres du groupe de rôles. Par exemple, si vous voulez que seuls les administrateurs gèrent les groupes de distribution, créez un groupe de rôles personnalisé, puis sélectionnez uniquement le rôle Groupes de distribution. Les membres de ce groupe de rôles personnalisé ne pourront plus alors gérer que des groupes de distribution. Pour plus d’informations sur la création de groupes de rôles personnalisés, consultez la rubrique Créer un groupe de rôles.
Si vous accordez des autorisations sélectives pour certains objets Exchange 2007 (par exemple, vous autorisez les administrateurs à gérer seulement des bases de données spécifiques), et si vous souhaitez appliquer la même configuration à vos serveurs Exchange 2010, consultez la section « Recréation de la personnalisation des listes de contrôle d’accès Exchange 2007 à l’aide d’étendues de gestion dans Exchange 2010 » plus loin dans cette rubrique.
Octroi d’autorisations Exchange 2007 à des administrateurs Exchange 2010
Si vous souhaitez que les administrateurs Exchange 2010 gèrent les serveurs Exchange 2007, ajoutez les administrateurs Exchange 2010 aux groupes de sécurité universels ou au groupe de sécurité qui correspond au rôle d’administrateur Exchange 2007 en question. Si vous disposez de paramètres personnalisés pour les listes de contrôle d’accès, vous pouvez également ajouter les administrateurs aux listes de contrôle d’accès appropriées. Les groupes de rôles sont des groupes de sécurité universels. Vous pouvez donc les ajouter directement aux groupes de sécurité universels du rôle d’administrateur Exchange 2007.
Une fois cette opération terminée, les administrateurs Exchange 2010 feront partie du ou des rôles d’administrateur Exchange 2007 appropriés. Les administrateurs Exchange 2010 peuvent faire appel aux outils de gestion Exchange 2007 pour gérer les serveurs et les destinataires Exchange 2007.
Recréation de la personnalisation des listes de contrôle d’accès Exchange 2007 à l’aide d’étendues de gestion dans Exchange 2010
Dans Exchange 2007, lorsque vous souhaitez restreindre les personnes autorisées à administrer une banque de boîtes aux lettres spécifique ou des utilisateurs en particulier, ou bien à contrôler dans quelle banque les boîtes aux lettres sont créées, vous devez modifier les listes de contrôle d’accès dans les objets à restreindre. Exchange 2010 offre les mêmes fonctionnalités, mais n’impose pas de modifier toutes les listes de contrôle d’accès. Il utilise pour cela les étendues de gestion qui sont un composant du contrôle d’accès basé sur un rôle (RBAC).
Les étendues de gestion fournissent des étendues intégrées et personnalisées pour définir les objets pouvant être gérés par les administrateurs. En appliquant des étendues de gestion, vous pouvez définir les destinataires à administrer, les bases de données de boîtes aux lettres dans lesquelles les boîtes aux lettres peuvent être créées, ainsi que les destinataires ou les serveurs dont la gestion sera confiée à un petit groupe d’administrateurs et personne d’autre.
Vous pouvez créer les types d’étendues de gestion suivants :
Étendue relative prédéfinie Les étendues relatives prédéfinies sont disponibles dans Exchange 2010. Vous pouvez déterminer ce qu’un utilisateur peut voir et modifier. Par exemple, les étendues relatives prédéfinies permettent de déterminer si les utilisateurs voient uniquement leurs données personnelles ou les informations sur toute l’organisation.
Destinataire Les étendues de destinataire contrôlent les destinataires qu’un administrateur peut créer, modifier ou supprimer. Elles peuvent être fondées sur une unité d’organisation, un filtre de destinataire, ou les deux. Les filtres de destinataire précisent les critères auxquels un destinataire doit répondre pour être inclus dans l’étendue. Par exemple, vous pouvez créer une étendue de filtre de destinataire qui comprend tous les utilisateurs dans un site géographique donné ou un service en particulier. Vous pouvez même combiner des unités d’organisation et des filtres de destinataire afin qu’ils correspondent uniquement à des utilisateurs d’une unité d’organisation précise travaillant sous la direction d’un responsable spécifique.
Serveur Les étendues de serveur contrôlent les serveurs qu’un administrateur peut gérer. Vous pouvez définir des listes de serveurs ou des filtres de serveur. Les listes de serveurs permettent de définir une liste statique de serveurs qu’il est possible de gérer. Les filtres de serveur fonctionnent de la même manière que les filtres de destinataire puisqu’ils permettent de définir des critères de correspondance. Par exemple, vous pouvez créer une étendue de serveur qui correspond à tous les serveurs sur un site Active Directory en particulier.
Base de données Les étendues de base de données contrôlent les bases de données qu’un administrateur peut gérer. Elles peuvent aussi déterminer les bases de données dans lesquelles il est possible de créer ou de déplacer des boîtes aux lettres. Tout comme les étendues de serveur, vous pouvez les définir comme des listes ou des filtres. Par exemple, vous pouvez créer une liste ou un filtre dont les administrateurs peuvent se servir pour créer ou déplacer des boîtes aux lettres dans des bases de données de boîtes aux lettres spécifiques gérées par une filiale bien précise.
Exclusif Vous pouvez également créer des étendues de destinataire, de serveur et de base de données sous la forme d’étendues exclusives. Les étendues exclusives fonctionnent de la même manière que les entrées de contrôle d’accès refusé dans les listes de contrôle d’accès. Si un élément quelconque correspond à une étendue exclusive, seuls les administrateurs à qui une étendue exclusive a été attribuée peuvent gérer cet objet. Cela est vrai, même si une autre étendue non exclusive correspond à ce même objet. Cette fonctionnalité est particulièrement utile lorsque vous souhaitez autoriser quelques personnes dignes de confiance à gérer la boîte aux lettres d’un responsable. Même si une autre étendue de destinataire plus large et régulière inclut la boîte aux lettres du responsable, les administrateurs à qui cette étendue régulière plus large a été attribuée ne pourront pas gérer cette boîte aux lettres, sauf si une étendue exclusive leur a également été attribuée.
Les étendues de gestion sont utilisées conjointement avec des rôles de gestion, des attributions de rôle de gestion et des groupes de rôles de gestion afin de contrôler les personnes autorisées à gérer des objets, la nature de ces objets et la manière dont ils sont stockés. Pour plus d’informations, consultez les rubriques suivantes :
Pour créer le même modèle d’autorisations dans Exchange 2010 au moyen d’étendues de gestion que vous auriez définies à l’aide de listes de contrôle d’accès personnalisées, vous devez dresser un inventaire des listes de contrôle d’accès que vous avez personnalisées, puis créer des étendues de gestion qui leur correspondent. Les propriétés filtrables disponibles dans les objets destinataire, serveur et base de données peuvent vous être utiles pour créer des étendues de gestion comprenant les objets dont chacune d’entre elles devra contrôler l’accès. Pour plus d’informations sur les propriétés à utiliser dans le cadre des étendues de gestion, consultez la rubrique Présentation des filtres d'attribution du rôle de gestion.
Pour plus d’informations sur la procédure de création d’étendues de gestion, consultez la rubrique Créer une étendue normale ou exclusive.
© 2010 Microsoft Corporation. Tous droits réservés.