XADM : Des messages d'erreur Exchange 2000 sont générés en raison de problèmes liés au droit SeSecurityPrivilege et à Policytest

Il se peut que vous soyez dans l'incapacité d'installer les bases de données du magasin d'informations Exchange 2000. En outre, un ou plusieurs des messages d'erreur suivants peuvent être enregistrés dans le journal d'événements de l'application :

Ce problème peut se produire si le droit "Gérer l'audit et le journal de sécurité" (SeSecurityPrivilege) a été supprimé pour le groupe de domaines local Serveurs Exchange Enterprise ou sur une partie ou l'ensemble des contrôleurs de domaine.

Lors de l'installation du premier ordinateur Exchange dans un domaine ou de l'exécution du programme d'installation Exchange avec le commutateur /domainprep, le groupe de serveurs Exchange Enterprise reçoit le droit SeSecurityPrivilege.

En cas de suppression ultérieure du droit SeSecurityPrivilege, les ordinateurs Exchange qui utilisent des contrôleurs de domaine dans le domaine arrêtent de fonctionner, mais pas immédiatement. Ces problèmes deviennent manifestes lors de l'expiration des intervalles entre deux actualisations de la sécurité Kerberos ou lorsque les services Exchange sont redémarrés sur des serveurs particuliers.

Pour résoudre ce problème, servez-vous de l'utilitaire Policytest.exe pour contrôler l'état du droit SeSecurityPrivilege sur l'ensemble des contrôleurs de domaine d'un domaine spécifique. L'utilitaire Policytest.exe est inclus sur le CD-ROM d'installation d'Exchange 2000.

Pour déterminer si un serveur Exchange 2000 Enterprise dispose ou non du droit SeSecurityPrivilege sur un contrôleur de domaine, procédez comme suit :

1. Ouvrez une session sur le contrôleur de domaine en tant qu'administrateur de domaine, puis démarrez la console Stratégie de sécurité des contrôleurs de domaine. (Par défaut, cette console se trouve dans le menu Démarrer, sous le groupe Outils d'administration.)
2. Développez Paramètres de sécurité, puis Stratégies locales. Développez Attribution des droits utilisateur, puis ouvrez les propriétés de Gérer l'audit et le journal de sécurité .

Vous pouvez accorder le droit SeSecurityPrivilege directement à des serveurs Exchange 2000 Enterprise, ou vous pouvez exécuter à nouveau le programme d'installation d'Exchange 2000 avec le commutateur /domainprep pour accorder automatiquement le droit SeSecurityPrivilege.

Si vous exécutez Setup.exe avec le commutateur /domainprep, vous n'interrompez pas le service sur les ordinateurs Exchange existants. Un autre avantage de cette méthode est qu'elle contrôle et restaure les autres droits et appartenances de groupe par défaut qui peuvent avoir été modifiés.

Si le groupe Serveurs Exchange Enterprise s'est vu récemment accorder le droit SeSecurityPrivilege, cette modification ne prend effet qu'après que la stratégie de sécurité a été actualisée sur le contrôleur de domaine. L'intervalle de temps nécessaire à l'actualisation de la stratégie de sécurité dépend de la topologie et de la configuration du domaine. Par défaut, une duplication de stratégie sur d'autres contrôleurs de domaine se fait dans l'intervalle de cinq minutes, l'application de la modification de stratégie nécessitant cinq minutes supplémentaires.

Même si un domaine particulier ne contient aucun ordinateur Exchange, les ordinateurs Exchange présents dans d'autres domaines peuvent utiliser les contrôleurs de domaine de ce domaine. Si vous voulez que Exchange 2000 soit en mesure d'effectuer des consultations de catalogue globales et d'apporter des modifications au conteneur de configurations lorsqu'il utilise ces contrôleurs de domaine, procédez comme suit pour le domaine concerné :

1. À partir du CD-ROM d'installation d'Exchange 2000, exécutez le programme d'installation avec le commutateur /domainprep (Setup.exe /domainprep). Cela configure les groupes et les droits appropriés pour les communications Exchange inter-domaines.
2. Dans l'Administrateur système Exchange, créez un service de mise à jour de destinataires pour le domaine. Ce service a la charge, pour chaque domaine, de garnir le groupe local Serveurs Exchange Enterprise avec des groupes globaux provenant d'autres domaines. Il a également d'autres tâches à sa charge.

Le groupe Serveurs Exchange Enterprise est un groupe de domaines local. Ce groupe prend en charge les communications inter-domaines nécessaires entre les ordinateurs Exchange et entre Exchange et Active Directory. L'appartenance au groupe Serveurs Exchange Enterprise doit inclure les groups globaux Serveurs de domaine Exchange de chaque domaine où il existe des ordinateurs Exchange.

Le droit SeSecurityPrivilege est nécessaire pour prendre en charge les différentes fonctions de sécurité Exchange, comme la possibilité de signaler quels comptes Windows sont utilisés pour accéder aux boîtes à lettres.

Par défaut, après avoir installé un domaine, le seul compte ayant les droits SeSecurityPrivilege est le groupe Administrateurs intégré pour chaque domaine. Si vous réappliquez le modèle Security.inf au domaine, le droit SeSecurityPrivilege est restauré sur sa valeur par défaut. Il y a d'autres possibilités pour supprimer les droits du groupe Serveurs Exchange Enterprise. D'autres outils d'audit et de configuration de la sécurité peuvent restaurer la stratégie. Les administrateurs Active Directory qui suivent les recommandations générales de sécurité peuvent également supprimer le groupe Serveurs Exchange Enterprise.

Si le droit SeSecurityPrivilege est restauré plusieurs fois de suite, et que vous ne pouvez pas en déterminer la cause, vous pouvez analyser les modifications apportées à la stratégie de sécurité des contrôleurs de domaine :

1. Sur chaque contrôleur de domaine, modifiez les paramètres de taille et de substitution pour le journal de sécurité autant que nécessaire pour prendre en charge le volume croissant d'informations de journalisation.
   
   AVERTISSEMENT : si vous activez l'option Arrêter immédiatement le système si l'enregistrement des audits de sécurité est impossible dans la section Options de sécurité de la stratégie du contrôleur de domaine par défaut, le contrôleur de domaine s'arrête immédiatement en cas de saturation du journal de sécurité.
2. Démarrez la console Stratégie de sécurité des contrôleurs de domaine.
3. Développez Stratégies locales, Stratégie d'audit, puis activez audit des Succès pour les Modifications d'accès Active Directory et de stratégie.

Après avoir suivi la procédure ci-dessus, des messages d'événement ID 608 (compte ajouté) et ID 609 (compte supprimé) sont enregistrés en cas de changements de stratégie apportés au contrôleur de domaine. La catégorie de ces deux messages d'événement est Stratégie. La source de ces messages est Sécurité. Les messages ID 608 sont de ce type : CONSEIL : dans l'Observateur d'événements, cliquez avec le bouton droit sur l'objet Journal de sécurité. Cliquez sur Afficher, puis recherchez le mot "SeSecurityPrivilege" (sans les guillemets) dans la boîte de dialogue Rechercher.

Le système effectuant lui-même le changement de stratégie, vous ne pouvez par utiliser la journalisation Stratégie pour déterminer le compte utilisateur à l'origine de la modification. Cependant, la journalisation Accès Active Directory identifie ce compte utilisateur.

En général, un changement de stratégie d'un contrôleur de domaine résulte dans un événement Accès Active Directory immédiat sur le contrôleur de domaine objet du changement, suivi, plusieurs minutes après, par un événement Changement de stratégie. Ce deuxième événement se produit lors de l'actualisation effective de la stratégie et de son application au contrôleur de domaine. La stratégie étant dupliquée sur les autres contrôleurs de domaine, elle est actualisée et appliquée au bout de plusieurs minutes, et un événement Changement de stratégie est également enregistré sur ces serveurs.

Après avoir trouvé une modification aux paramètres SeSecurityPrivilege, remontez dans le journal Sécurité pour rechercher des événements Accès Active Directory qui contiennent un champ Utilisateur contenant un utilisateur autre que le compte SYSTEM ou qu'un compte SERVERNAME$, comme par exemple : Le champ "Nom de l'utilisateur client" dans le message d'événement précédent identifie le compte d'utilisateur à l'origine de la modification. Le champ "Nom de l'objet" identifie la stratégie qui a été modifiée.

Dans l'exemple précédent, le nom de la stratégie dans Active Directory est : Vous pouvez utiliser la commande LDIFDE pour résoudre les noms de stratégie en une forme plus conviviale, de façon à vous assurer que l'événement est bien associé à la stratégie pour laquelle vous effectuez un suivi des modifications : Le fichier Policies.ldf file identifie chaque stratégie et son nom convivial dans un format semblable à celui-ci : Pour éviter tout refus par inadvertance du droit SeSecurityPrivilege à des serveurs Exchange 2000 Enterprise, vous pouvez créer une stratégie personnalisée pour l'application du droit SeSecurityPrivilege par les contrôleurs de domaine :

1. Démarrez la console MMC (Microsoft Management Console) du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2. Ouvrez les propriétés du conteneur Contrôleurs de domaine.
3. Cliquez sur l'onglet Stratégie de groupe, puis sur Nouveau. Attribuez un nom à la nouvelle stratégie ("Droits d'audit de DOMAIN_NAME", par exemple).
4. Cette étape est facultative. Elle permet de charger la stratégie plus rapidement. Cliquez avec le bouton droit sur le nouvelle stratégie, cliquez sur Propriétés, puis désactivez l'option Configuration utilisateur.
5. Cliquez sur la nouvelle stratégie, puis sur Modifier. Développez Configuration ordinateur, Paramètres Windows, puis développez Paramètres de sécurité. Développez Stratégies locales, développez Attribution des droits utilisateur, puis configurez tous les comptes qui requièrent le droit SeSecurityPrivilege.
   
   IMPORTANT : tous les paramètres que vous configurez dans cette stratégie remplacent les paramètres correspondants dans les autres stratégies au lieu de les fusionner avec ceux-ci. Les options non configurées continuent à s'appliquer à partir des autres stratégies.
6. Paramétrez la nouvelle stratégie sur une priorité plus élevée que celle de la stratégie du contrôleur de domaine par défaut. Si vous ne le faites pas, la stratégie n'aura aucun effet puisque la stratégie par défaut configure le même paramètre.