Scénario
Prenons l’exemple du scénario suivant :
-
Vous utilisez Exchange Server avec le modèle d’autorisations partagées installé par défaut pour Exchange Server.
-
Les entrées du contrôle d’accès sont placées dans la forêt Active Directory. Exchange Server dispose alors d’un niveau élevé d’autorisation d’annuaire.
Cause
Exchange Server est une application de services d’annuaire. Par conséquent, il doit pouvoir modifier les attributs liés aux objets Exchange Server. Cela inclut la possibilité de modifier les listes de contrôle d’accès discrétionnaire (DACL) dans certaines instances. Ces objets pouvant exister n’importe où dans la hiérarchie du domaine, Exchange Server octroie les droits aux serveurs qui exécutent Exchange Server à la racine du domaine afin de garantir que les droits sont transmis à l’ensemble des objets applicables.
À l’heure actuelle, Exchange Server n’utilise pas l’indicateur Hériter uniquement lorsque la propagation DACL est évaluée. Cela ne s’applique pas au modèle d’autorisations fractionnées Active Directory. Dans une configuration d’autorisations partagées, Exchange Server applique un modèle d’autorisations qui n’autorise pas les serveurs à créer ou à modifier les principaux de sécurité dans l’annuaire.
Statut
Grâce à ce comportement inhérent au produit, les administrateurs Exchange peuvent gérer les attributs liés aux objets conformément à leur rôle d’administrateur Exchange. Les administrateurs Exchange sont censés pouvoir créer des comptes d’utilisateur et des boîtes aux lettres, ainsi que réaffecter des objets de type boîte aux lettres si Exchange Server est exécuté dans le modèle d’autorisations partagées.
Résolution
Microsoft a évalué les droits octroyés aux serveurs qui exécutent Exchange Server et aux administrateurs Exchange dans les scénarios identifiés. Microsoft a ainsi déterminé qu’il est possible d’apporter des modifications afin de diminuer les autorisations octroyées dans un domaine Active Directory. Les modifications à apporter aux autorisations varient selon la version utilisée d’Exchange Server.
La procédure décrite dans cette section rétablit un profil courant d’autorisation d’annuaire diminuée pour tous les environnements.
Pour résoudre ce problème dans Exchange Server 2013 ou une version ultérieure, les clients doivent installer la mise à jour cumulative suivante en fonction de leur environnement :
-
Exchange Server 2019 : mise à jour cumulative 1
-
Exchange Server 2016 : mise à jour cumulative 12
-
Exchange Server 2013 : mise à jour cumulative 22
Les environnements dans lesquels Exchange Server 2013 ou une version ultérieure est utilisé nécessitent le package de mise à jour cumulative mis à jour pour pouvoir exécuter manuellement /PrepareAD dans une forêt Active Directory dans laquelle Exchange Server est installé ou dans laquelle le schéma d’annuaire a été préparé pour héberger les serveurs exécutant Exchange Server. De plus, les clients qui utilisent plusieurs domaines dans une seule forêt doivent exécuter /PrepareDomain dans tous les domaines de la forêt pour diminuer les autorisations octroyées à Exchange Server et aux administrateurs Exchange.
Remarque L’opération /PrepareDomain est exécutée automatiquement dans le domaine Active Directory dans lequel /PrepareAD est exécuté. Il se peut toutefois qu’elle ne mette pas à jour les autres domaines de la forêt. C’est pourquoi un administrateur de domaine doit exécuter /PrepareDomain dans les autres domaines de la forêt.
Pour plus d’informations sur les commutateurs /Prepare utilisés par Exchange Server, consultez l’article Préparer Active Directory et les domaines pour Exchange Server.
Les opérations de préparation dans ces mises à jour cumulatives mises à jour apportent les modifications ci-dessous dans l’environnement Active Directory.
Exchange Server 2016 et versions ultérieures
L’objet AdminSDHolder dans le domaine est mis à jour pour supprimer l’entrée de contrôle d’accès (ACE) « Autoriser » qui octroie le droit « DACL d’écriture » au groupe « Sous-système approuvé Exchange » pour les types d’objets hérités « Groupe ».
Exchange Server 2013 et versions ultérieures
L’entrée de contrôle d’accès (ACE) « Autoriser » qui octroie le droit « DACL d’écriture » au groupe « Autorisations Windows Exchange » pour les types d’objets hérités « Utilisateur » et « INetOrgPerson » est mise à jour pour inclure l’indicateur « Hériter uniquement » dans l’objet racine du domaine.
Exchange Server 2010
Les clients qui utilisent Exchange Server 2010 doivent appliquer les mises à jour manuelles suivantes à leur environnement à l’aide de l’outil LDP.
-
Démarrez l’outil LDP (dans la zone Exécuter, tapez ldp.exe, puis appuyez sur Entrée).
-
Connectez-vous à l’espace de noms de domaine à mettre à jour. (Dans le menu File (Fichier), cliquez sur Connect (Se connecter).)
-
Établissez une liaison à l’espace de noms de domaine à l’aide des informations d’identification d’administrateur de domaine. (Dans le menu File (Fichier), cliquez sur Bind (Lier).)
-
Affichez l’arborescence à l’aide du nom unique de base correspondant à la racine du contexte de domaine à mettre à jour. (Dans le menu View (Affichage), cliquez sur Tree (Arborescence).)
Par exemple :
-
Ouvrez les listes de contrôle d’accès du domaine. (Cliquez avec le bouton droit sur le domaine, cliquez sur Advanced (Avancé), puis sur Security Descriptor (Descripteur de sécurité).)
-
Recherchez les deux entrées de contrôle d’accès (ACE) « Autoriser » qui octroient le droit « DACL d’écriture » au groupe « Autorisations Windows Exchange » pour les types d’objets hérités « Utilisateur » et « INetOrgPerson ».
Remarque Ne triez pas la liste, sous peine de modifier l’ordre ACL. -
Modifiez chaque entrée pour ajouter l’indicateur « Hériter uniquement ». Pour cela, double-cliquez sur l’objet souhaité, sélectionnez l’indicateur correspondant, puis cliquez sur OK.
-
Vérifiez que l’opération a réussi sur chaque entrée ACE. Cliquez ensuite sur Mettre à jour.
