Permissions Exchange 2003 et Exchange 2010


On peut discerner deux types de permissions pour Exchange :

·       Les permissions administratives

·       Les permissions utilisateurs

 

Les permissions administratives

Ce sont des permissions utilisées pour administrer Exchange, principalement des jeux de permissions positionnées sur les objets Exchange de la partition configuration.

·       Exchange 2003 : gérées avec l'Assistant Délégation d'administration Exchange dans le Gestionnaire système Exchange
http://technet.microsoft.com/fr-fr/library/bb125081(EXCHG.65).aspx

·       Exchange 2010 : RBAC Avec RBAC, on peut contrôler quelle ressource les administrateurs peuvent configurer et quelles fonctionnalités les utilisateurs peuvent utiliser.
http://technet.microsoft.com/fr-fr/library/dd298183.aspx

 

Les permissions utilisateurs
Les permissions clientes peuvent être positionnées en 2 endroits :

Dans l'AD :

·       Exchange 2003 :

o   Onglet sécurité de l'utilisateur (ADUC)

o   Onglet Exchange avancé de l’utilisateur (ADUC)

o   Pas d’export simple (des scripts existent)

·       Exchange 2010 :

o   Get-ADPermission, Add-ADPermission (également en console EMC)

o   Get-MailboxPermission, Add-MailboxPermission

Dans Outlook

Ce sont les délégations ou permissions store. Elles sont directement stockées dans les bases Exchange et n'apparaissent pas dans l'AD

·       Exchange 2003 :

o   On peut les exporter et les importer avec l'outil Pfdavadmin qui utilise DAV pour accéder aux boîtes. Ceci permet de faire un audit des délégations d'une manière centralisée.

·       Exchange 2010 :

o   Get-MailboxFolderPermission,
Add-MailboxFolderPermission (nouveau en Exchange 2010)

 

Récapitulatif des permissions utilisateurs :

  Exchange 2003

Exchange 2010

AD

Onglet sécurité de l'utilisateur

Get-ADPermission

AD

Onglet Exchange avancé

Get-MailboxPermission

Outlook

Pfdavadmin

Get-MailboxFolderPermission

 

Les dossiers publics

·       Permissions administratives :

o   Exchange 2003 : Gestionnaire système Exchange

o   Exchange 2010 : Get/Add-PublicFolderAdministrativePermission

·       Permissions utilisateurs :

o   Exchange 2003 : Gestionnaire système, Pfdavadmin

o   Exchange 2010 : Get/Add-PublicFolderClientPermission

 

L'audit des actions administrateur
En Exchange 2010, il existe une possibilité d’auditer les commandes exécutées par les administrateurs Exchange dans Powershell, l’interface graphique EMC.
http://technet.microsoft.com/fr-fr/library/dd335144.aspx
On peut spécifier les commandes auditées et tous les audits sont envoyés à une boîte aux lettres.

 

L'audit des accès aux boîtes aux lettres
Il est commun à toutes les versions :
http://support.microsoft.com/default.aspx?scid=kb;EN-US;274317

Il faut augmenter les diagnostics. Les informations suivantes sont générées :

Event ID: 1009
Description: DOMAIN\User1 logged on as /o=ORG/ou=SITE/cn=Recipients/cn=User1. 

Event ID: 1013
Description: DOMAIN\User1 was validated as /o=ORG/ou=SITE/cn=Recipients/cn=User1 and logged on to /o=ORG/ou=SITE/cn=Recipients/cn=User2. 

Event ID: 1016
Description: NT User DOMAIN\User1 logged on to User2 mailbox, and is not the primary Windows NT account on this mailbox. 

Event ID: 1029
Description: /O=ORG/OU=SITE/CN=RECIPIENTS/CN=USER1 failed an operation because the user did not have the following access rights:
'Create Subfolder'
The distinguished name of the owning mailbox is /O=ORG/OU=SITE/CN=RECIPIENTS/CN=USER2. The folder ID is in the data section of this event.

Remarque :
Excepté pour RBAC qui est un nouveau modèle de permissions administratives, les permissions Exchange 2007 sont similaires à celles d’Exchange 2010.

Comments (0)

Skip to main content