Réduction des autorisations requises pour exécuter Exchange Server lorsque vous utilisez le modèle d’autorisations partagées

S’applique à
Exchange Server 2010 Exchange Server 2013 Exchange Server 2016 Exchange Server 2019

Scénario

Prenons le scénario suivant :

  • Vous exécutez Exchange Server à l’aide du modèle d’autorisations partagées installé par défaut pour Exchange Server.
  • Access Control entrées sont placées dans le forêt Active Directory. Cela donne Exchange Server un niveau élevé d’autorisation de répertoire.

Cause

Exchange Server est une application prenant en charge les services d’annuaire. Par conséquent, il doit être en mesure de modifier les attributs liés aux objets Exchange Server activés. Cela inclut la possibilité de modifier les listes de Access Control discrétionnaires (DACL) dans certains cas. Étant donné que ces objets peuvent exister n’importe où dans la hiérarchie de domaine, Exchange Server accorde des droits aux serveurs qui exécutent Exchange Server à la racine du domaine. Cela permet de s’assurer que les droits sont transmis à tous les objets applicables.

Exchange Server n’utilise pas actuellement l’indicateur Hériter uniquement lors de l’évaluation de la propagation DACL. Cela ne s’applique pas au modèle d’autorisations fractionnées Active Directory. Dans une configuration d’autorisations fractionnées, Exchange Server applique un modèle d’autorisations qui n’accorde pas aux serveurs la possibilité de créer ou de modifier des principaux de sécurité dans le répertoire.

État

Ce comportement est normal. Il offre aux administrateurs Exchange la possibilité de gérer les attributs sur Exchange Server objets qui sont cohérents avec leur rôle d’administrateur Exchange. Les administrateurs Exchange sont censés être en mesure de créer des comptes d’utilisateur et des boîtes aux lettres, et de réaffecter des objets de type boîte aux lettres en tant que boîtes aux lettres de ressources ou boîtes aux lettres partagées si Exchange Server s’exécute dans le modèle d’autorisations partagées.

Résolution

Microsoft a évalué les droits accordés aux serveurs qui exécutent Exchange Server et aux administrateurs Exchange dans les scénarios identifiés. Microsoft a déterminé qu’il est possible d’apporter des modifications qui réduisent les autorisations accordées dans un domaine Active Directory. Les modifications d’autorisation réelles varient en fonction de la version de Exchange Server utilisée.

La procédure décrite dans cette section renvoie tous les environnements à un profil d’autorisation de répertoire commun et réduit.

Pour résoudre ce problème sur Exchange Server 2013 ou une version ultérieure, les clients doivent installer la mise à jour cumulative suivante, en fonction de leur environnement :

Les environnements dans lesquels Exchange Server 2013 ou une version ultérieure est en cours d’utilisation nécessitent que le package de mise à jour cumulative mis à jour exécute manuellement /PrepareAD dans tout forêt Active Directory dans lequel Exchange Server est installé ou dans lequel le schéma d’annuaire a été préparé pour héberger les serveurs qui s’exécutent Exchange Server. En outre, les clients qui utilisent plusieurs domaines dans une même forêt devront exécuter /PrepareDomain dans tous les domaines de la forêt pour réduire les autorisations accordées à Exchange Server et aux administrateurs Exchange.

Note L’opération /PrepareDomain s’exécute automatiquement dans le domaine Active Directory dans lequel /PrepareAD est exécuté. Toutefois, il peut ne pas être en mesure de mettre à jour d’autres domaines dans la forêt. Pour cette raison, un administrateur de domaine doit exécuter /PrepareDomain dans d’autres domaines de la forêt.

Pour plus d’informations sur les commutateurs /Prepare utilisés par Exchange Server, consultez Préparer Active Directory et les domaines pour Exchange Server.

Les opérations de préparation dans ces mises à jour cumulatives mises à jour apportent les modifications suivantes à l’environnement Active Directory.

Exchange Server 2016 et versions ultérieures

L’objet AdminSDHolder sur le domaine est mis à jour pour supprimer l’ACE « Allow » qui accorde au groupe « Sous-système approuvé Exchange » le droit « Write DACL » sur les types d’objets hérités « Group ».

Exchange Server 2013 et versions ultérieures

L’entrée Access Control « Allow » (ACE) qui accorde au groupe « Exchange Windows Permissions » le droit « Write DACL » aux types d’objets hérités « User » et « INetOrgPerson » est mise à jour pour inclure l’indicateur « Inherit Only » sur l’objet racine du domaine.

Exchange Server 2010

Les clients qui exécutent Exchange Server 2010 doivent appliquer les mises à jour manuelles suivantes à leur environnement à l’aide de l’outil LDP.

  1. Démarrez l’outil LDP (Dans la zone Exécuter , tapez ldp.exe, puis appuyez sur Entrée).

  2. Connectez-vous à l’espace de noms de domaine que vous souhaitez mettre à jour. (Dans le menu Fichier , cliquez sur Se connecter.)

  3. Liez à l’espace de noms de domaine à l’aide des informations d’identification de domaine Administration. (Dans le menu Fichier , cliquez sur Lier.)

  4. Affichez l’arborescence à l’aide du nom de domaine de base qui correspond à la racine du contexte de domaine à mettre à jour. (Dans le menu Affichage , cliquez sur Arborescence.)
    Par exemple :

    Arborescence

  5. Ouvrez les listes de Access Control de domaine. (Cliquez avec le bouton droit sur domaine, cliquez sur Avancé, puis sur Descripteur de sécurité.)

    Listes de Access Control de domaine

  6. Recherchez les deux AIC « Allow » qui accordent le droit « Write DACL » au groupe « Exchange Windows Permissions » sur les types d’objets hérités « User » et « INetOrgPerson » :

    Descripteur de sécurité

    Note Ne triez pas la liste. Cela modifie l’ordre de la liste de contrôle d’accès.

  7. Modifiez chaque entrée pour ajouter l’indicateur « Hériter uniquement ». Pour ce faire, double-cliquez sur l’objet, sélectionnez l’indicateur, puis cliquez sur OK.

    entrée Access Control

  8. Vérifiez que l’opération a réussi sur chaque ACE. Cliquez ensuite sur Mettre à jour.

    Descripteur de sécurité