Comment Exchange masque l'appartenance au groupe dans Active Directory

Exchange 2000 utilise un descripteur de sécurité de Windows 2000 pour limiter l'accès à l'appartenance au groupe. Le connecteur Active Directory (ADC) et le service de mise à jour de destinataire sont responsables de la mise à jour ces descripteurs de sécurité pour les groupes masqués appartenances.

Exchange Server 5.5 possède son propre service d'annuaire, il est chargé de définir comment les utilisateurs peuvent parcourir des attributs et qui a le droit pour lire ou écrire certaines propriétés. Cela permet à Exchange Server 5.5 déterminer si une personne peut voir l'appartenance à un groupe, car le code qui illustre cet attribut via MAPI (Messaging Application Programming Interface) ou LDAP (Lightweight Directory Access Protocol) passe par l'intermédiaire du système de sécurité Exchange Server 5.5.

Dans Exchange 2000, Active Directory remplace le répertoire Exchange Server, afin que le système de sécurité pour les requêtes LDAP appartient à Windows 2000. Windows 2000 permet de contrôler l'accès à plusieurs niveaux, y compris les autorisations de paramètre sur un attribut unique. Pour cette raison, Exchange 2000 utilise le descripteur de sécurité de Windows 2000 pour contrôler qui est et n'a pas le droit pour afficher les membres d'un groupe.

Exchange 2000 et Windows 2000, vous devez prendre certaines précautions pour garantir que les autorisations sont correctement définies. Par exemple, tous les serveurs Exchange 2000 installé dans votre organisation doivent l'autorisation d'afficher l'appartenance au groupe, même si l'option Masquer les membres de ce groupe est activée. Dans le cas contraire, ces serveurs ne peut pas développer l'appartenance au groupe et remettre les messages adressés à ce groupe.

Pour donner aux utilisateurs de Exchange 2000 et aux administrateurs une sécurité maximale possible, Exchange 2000 dépend le connecteur Active Directory et le service de mise à jour de destinataire pour vous assurer que ces autorisations sont définies correctement.

Gestion des listes de distribution répliquées à partir de Exchange Server 5.5

Si vous installez Exchange 2000 dans une topologie en mode mixte, avec un ou plusieurs ordinateurs Exchange Server 5.5, vous devez le connecteur Active Directory pour répliquer vos entrées à partir de l'annuaire Exchange Server 5.5 vers Active Directory et vice versa. Pour cette raison, si vous répliquez une liste de distribution (DL) est masquée dans Exchange Server 5.5, l'appartenance doit être ainsi masquées dans Active Directory.

Pour cela, lorsque le connecteur Active Directory effectue la réplication d'une liste de distribution masquée à partir d'Exchange Server 5.5, il détecte que l'attribut hide-dl-appartenance dans le répertoire Exchange Server 5.5 a la valeur TRUE, et il assigne un ensemble d'entrées de contrôle d'accès (ACE) sur le descripteur de sécurité dans Active Directory. Ces ACE sera dans un format non canonique, ce qui signifie qu'au moins un refusé QU'ACE suivra une ACE autorisée.

Pour déterminer les entités de sécurité sont autorisés à lire ou écrire d'appartenance, le connecteur Active Directory lit l'attribut msExchServerGlobalGroups à partir de l'entrée de conteneur d'organisation dans Active Directory et extrait la liste d'identificateurs de sécurité (SID constituant la partie non canonique du descripteur de sécurité). Cela permet en effet à tous les ordinateurs Exchange Server accéder à l'appartenance au groupe, indépendamment de si l'appartenance est masqué.

Prenons l'exemple suivant. Votre organisation possède plusieurs serveurs Exchange 2000 sur deux domaines différents, DomA et DomB. Le programme d'installation d'Exchange 2000 crée deux groupes nommés «DomA\Domain EXServers» et «DomB\Domain EXServers». L'attribut msExchServerGlobalGroups contiendra deux valeurs, qui seront les SID de ces deux groupes.

Le descripteur de sécurité finale de ce groupe, une fois que le connecteur Active Directory le réplique vers Active Directory sera :


Le connecteur Active Directory ajoute le premier à l'entrée de contrôle d'accès tiers dans le tableau ci-dessus. Ainsi, lorsque le sous-système de sécurité Windows évalue cette autorisation, elle accordera les deux «Domain EXServers» le droit de lire et écrire l'appartenance, mais personne.

Lorsque vous ouvrez le composant logiciel enfichable MMC (Microsoft Management Console) d'ordinateurs Active Directory Users et et que vous cliquez sur Fonctionnalités avancées dans le menu affichage, vous pouvez voir l'onglet sécurité sur chaque entrée. Si vous sélectionnez le groupe qui contient le descripteur de sécurité non canonique, vous recevez message d'erreur suivantes :
En fait, le sous-système de sécurité Windows sait comment interpréter des formats non canoniques, mais l'utilisateur interface ne vous autorise pas à modifier. Pas même l'administrateur pourra afficher ou modifier l'appartenance à un groupe qui possède l'attribut hideDLMembership dans Active Directory égale à TRUE. Pour cela, vous devez être membre du groupe de sécurité «Domain EXServers».

Le service de mise à jour de destinataire

Il existe deux scénarios qui ne sont pas traités par la solution ci-dessus :

• Que se passe-t-il si le connecteur Active Directory est en cours d'exécution avant le premier serveur Exchange 2000 est installé ?
• Si vous ajoutez un nouveau domaine avec Exchange 2000 à votre organisation, comment doit elle être ajouté à la liste des serveurs sur le descripteur de sécurité non canonique ?

La réponse pour les deux questions est le service de mise à jour de destinataire.

Le service de mise à jour de destinataire a le travail de surveillance des modifications sur Active Directory et effectue les actions en fonction de ces modifications. Essentiellement, elle ajoute, supprime et modifie les adresses de messagerie, de listes d'adresses et d'autres attributs pour les entrées à extension messagerie, telles que les utilisateurs, contacts, groupes et des dossiers publics. Mais il sait également lorsqu'un nouveau serveur ou un nouveau domaine est ajouté au réseau.

En particulier, si vous ajoutez un nouveau serveur Exchange 2000 à un domaine qui n'a pas déjà un serveur Exchange 2000, il recherchera tous les groupes avec la condition "hideDLMembership = TRUE," et réinitialiser le descripteur de sécurité capable de satisfaire les exigences de nouveau pour le descripteur de sécurité non canonique.

Ceci fonctionne également pour les modifications manuelles ou par programmation à l'aide de l'interface LDAP. Si l'attribut hideDLMembership est modifiée en vrai ou faux, le service de mise à jour de destinataire vous remarquerez qu'et ajoute ou supprime la partie non canonique du descripteur de sécurité. Cela permet aux entreprises d'écrire leur propre application pour modifier le statut d'un groupe de membre masqué sans compromettre la sécurité.

Éviter les problèmes de latence lors de la modification d'état du groupe masqué

Le service de mise à jour de destinataire peut prendre de quelques secondes à quelques minutes pour identifier une nouvelle modification dans Active Directory, en fonction de différentes conditions. Pour cette raison, si vous sélectionnez un groupe à l'aide du composant logiciel enfichable MMC Active Directory utilisateurs et ordinateurs, l'extension Exchange pour ce composant logiciel enfichable fournira action immédiate si vous choisissez de masquer les membres de ce groupe.

Pour masquer l'appartenance au groupe à l'aide du composant logiciel enfichable MMC Active Directory utilisateurs et ordinateurs :

1. Cliquez sur le groupe dont vous souhaitez masquer l'appartenance.
2. Cliquez avec le bouton droit sur le groupe, puis cliquez sur Tâches Exchange.
3. Suivez les instructions de l'Assistant, puis cliquez sur Masquer les membres.

Dans le cas d'un environnement d'un contrôleur de domaine, cela immédiatement modifier le descripteur de sécurité de ce groupe et empêcher quiconque d'afficher ses informations d'appartenance. Toutefois, pour un environnement de contrôleurs de domaines multiples, vous devez attendre pour la réplication Active Directory à terminer.