Présentation des autorisations fractionnées

S’applique à : Exchange Server 2013

Les organisations qui séparent la gestion des objets Microsoft Exchange Server 2013 et des objets Active Directory utilisent ce que l’on appelle un modèle d’autorisations fractionnées. Les autorisations fractionnées permettent aux organisations d’attribuer des autorisations spécifiques et des tâches associées à des groupes spécifiques au sein de l’organisation. Cette séparation du travail permet de maintenir les normes et les flux de travail, et de contrôler les changements dans l’organisation.

Le niveau le plus élevé d'autorisations fractionnées est la séparation de la gestion Exchange et de la gestion Active Directory. De nombreuses organisations ont deux groupes : les administrateurs qui gèrent l’infrastructure Exchange de l’organisation, y compris les serveurs et les destinataires, et les administrateurs qui gèrent l’infrastructure Active Directory. Il s’agit d’une séparation importante pour de nombreuses organisations, car l’infrastructure Active Directory couvre souvent de nombreux emplacements, domaines, services, applications et même forêts Active Directory. Les administrateurs d'Active Directory doivent s'assurer que les modifications apportées à Active Directory n'ont pas d'impact négatif sur les autres services. Par conséquent, en règle générale, seul un petit groupe d’administrateurs est autorisé à gérer cette infrastructure.

En même temps, l’infrastructure pour Exchange, y compris les serveurs et les destinataires, peut également être complexe et nécessiter des connaissances spécialisées. En outre, Exchange stocke des informations extrêmement confidentielles sur l’activité de l’organisation. Les administrateurs Exchange peuvent potentiellement accéder à ces informations. En limitant le nombre d'administrateurs Exchange, l'organisation limite qui peut apporter des modifications à la configuration Exchange et qui peut accéder aux informations sensibles.

Les autorisations fractionnées font généralement une distinction entre la création de principaux de sécurité dans Active Directory, tels que les utilisateurs et les groupes de sécurité, et la configuration ultérieure de ces objets. Cela permet de réduire le risque d’accès non autorisé au réseau en contrôlant qui peut créer des objets qui lui accordent l’accès. Le plus souvent, seuls les administrateurs Active Directory peuvent créer des principaux de sécurité, tandis que d’autres administrateurs, tels que les administrateurs Exchange, peuvent gérer des attributs spécifiques sur des objets Active Directory existants.

Pour prendre en charge les différents besoins pour séparer la gestion d’Exchange et d’Active Directory, Exchange 2013 vous permet de choisir si vous souhaitez un modèle d’autorisations partagées ou un modèle d’autorisations fractionnées. Exchange 2013 propose deux types de modèles d’autorisations fractionnées : RBAC et Active Directory. Exchange 2013 utilise par défaut un modèle d’autorisations partagées.

Explication de la Access Control basée sur les rôles et d’Active Directory

Pour comprendre les autorisations fractionnées, vous devez comprendre comment le modèle d’autorisations basées sur le Access Control rôle (RBAC) dans Exchange 2013 fonctionne avec Active Directory. Le modèle RBAC contrôle qui peut effectuer les actions et sur quels objets ces actions peuvent être effectuées. Pour plus d’informations sur les différents composants de RBAC abordés dans cette rubrique, consultez Présentation des Access Control basées sur les rôles.

Dans Exchange 2013, toutes les tâches effectuées sur des objets Exchange doivent être effectuées via l’environnement de ligne de commande Exchange Management Shell ou l’interface du Centre d’administration Exchange (EAC). Ces deux outils de gestion utilisent RBAC pour autoriser toutes les tâches effectuées.

RBAC est un composant qui existe sur chaque serveur exécutant Exchange 2013. RBAC vérifie si l’utilisateur effectuant une action est autorisé à le faire :

  • Si l’utilisateur n’est pas autorisé à effectuer l’action, RBAC n’autorise pas l’action à continuer.

  • Si l’utilisateur est autorisé à effectuer l’action, RBAC vérifie si l’utilisateur est autorisé à effectuer l’action sur l’objet spécifique demandé :

    • Si l’utilisateur est autorisé, RBAC autorise l’action à poursuivre.

    • Si l’utilisateur n’est pas autorisé, RBAC n’autorise pas l’action à continuer.

Si RBAC permet à une action de continuer, l’action est effectuée dans le contexte du sous-système approuvé Exchange et non dans le contexte de l’utilisateur. Le sous-système approuvé Exchange est un groupe de sécurité universel (USG) hautement privilégié qui dispose d’un accès en lecture/écriture à chaque objet lié à Exchange dans l’organisation Exchange. Il est également membre du groupe de sécurité local Administrateurs et du groupe usg Autorisations Windows Exchange, qui permet à Exchange de créer et de gérer des objets Active Directory.

Avertissement

N’apportez aucune modification manuelle à l’appartenance au groupe de sécurité du sous-système approuvé Exchange. En outre, ne l’ajoutez pas ou ne le supprimez pas des listes de contrôle d’accès aux objets (ACL). En apportant vous-même des modifications au groupe usg du sous-système approuvé Exchange, vous pouvez causer des dommages irréparables à votre organisation Exchange.

Il est important de comprendre que les autorisations Active Directory dont dispose un utilisateur lors de l’utilisation des outils de gestion Exchange n’ont pas d’importance. Si l’utilisateur est autorisé, via RBAC, à effectuer une action dans les outils de gestion Exchange, l’utilisateur peut effectuer l’action indépendamment de ses autorisations Active Directory. À l’inverse, si un utilisateur est un Administration d’entreprise dans Active Directory mais n’est pas autorisé à effectuer une action, telle que la création d’une boîte aux lettres, dans les outils de gestion Exchange, l’action échoue, car l’utilisateur ne dispose pas des autorisations requises en fonction du contrôle d’accès en fonction du contrôle d’accès en fonction du rôle.

Importante

Bien que le modèle d’autorisations RBAC ne s’applique pas à l’outil de gestion Utilisateurs et ordinateurs Active Directory, Utilisateurs et ordinateurs Active Directory ne pouvez pas gérer la configuration Exchange. Ainsi, bien qu’un utilisateur puisse avoir accès à la modification de certains attributs sur des objets Active Directory, tels que le nom d’affichage d’un utilisateur, l’utilisateur doit utiliser les outils de gestion Exchange et doit donc être autorisé par RBAC pour gérer les attributs Exchange.

Autorisations partagées

Le modèle d’autorisations partagées est le modèle par défaut pour Exchange 2013. Vous n’avez rien à modifier s’il s’agit du modèle d’autorisations que vous souhaitez utiliser. Ce modèle ne sépare pas la gestion des objets Exchange et Active Directory dans les outils de gestion Exchange. Il permet aux administrateurs qui utilisent les outils de gestion Exchange de créer des principaux de sécurité dans Active Directory.

Le tableau suivant présente les rôles qui permettent la création de principaux de sécurité dans Exchange et les groupes de rôles de gestion auxquels ils sont affectés par défaut.

Rôle de gestion Groupe de rôles
Rôle Création de destinataires de message Gestion de l'organisation

Gestion des destinataires

Création du groupe de sécurité et rôle de membre Gestion de l'organisation

Seuls les groupes de rôles, les utilisateurs ou les groupes de contrôle utilisateur auxquels le rôle Création de destinataire de messagerie est attribué peuvent créer des principaux de sécurité tels que des utilisateurs Active Directory. Par défaut, les groupes de rôles Gestion de l’organisation et Gestion des destinataires se voient attribuer ce rôle. Par conséquent, les membres de ces groupes de rôles peuvent créer des principaux de sécurité.

Seuls les groupes de rôles, les utilisateurs ou les groupes de sécurité qui se voient attribuer le rôle Création et appartenance de groupe de sécurité peuvent créer des groupes de sécurité ou gérer leurs appartenances. Par défaut, seul le groupe de rôles Gestion de l’organisation se voit attribuer ce rôle. Par conséquent, seuls les membres du groupe de rôles Gestion de l’organisation peuvent créer ou gérer l’appartenance à des groupes de sécurité.

Vous pouvez attribuer le rôle Création de destinataire de messagerie et le rôle Création et appartenance de groupe de sécurité à d’autres groupes de rôles, utilisateurs ou groupes de sécurité utilisateur si vous souhaitez que d’autres utilisateurs puissent créer des principaux de sécurité.

Pour activer la gestion des principaux de sécurité existants dans Exchange 2013, le rôle Destinataires de la messagerie est attribué aux groupes de rôles Gestion de l’organisation et Gestion des destinataires par défaut. Seuls les groupes de rôles, les utilisateurs ou les groupes de sécurité utilisateur auxquels le rôle Destinataires de messagerie est attribué peuvent gérer les principaux de sécurité existants. Si vous souhaitez que d’autres groupes de rôles, utilisateurs ou groupes de sécurité utilisateur puissent gérer les principaux de sécurité existants, vous devez leur attribuer le rôle Destinataires du courrier.

Pour plus d’informations sur l’ajout de rôles à des groupes de rôles, des utilisateurs ou des groupes de sécurité utilisateur, consultez les rubriques suivantes :

Si vous avez basculé vers un modèle d’autorisations fractionnées et que vous souhaitez revenir à un modèle d’autorisations partagées, voir Configurer Exchange 2013 pour les autorisations partagées.

Fractionner les autorisations

Si votre organisation sépare la gestion d’Exchange et la gestion Active Directory, vous devez configurer Exchange pour prendre en charge le modèle d’autorisations fractionnées. Une fois correctement configurés, seuls les administrateurs pour lesquels vous souhaitez créer des principaux de sécurité, tels que les administrateurs Active Directory, pourront le faire et seuls les administrateurs Exchange pourront modifier les attributs Exchange sur les principaux de sécurité existants. Ce fractionnement des autorisations est également à peu près le même que celui des partitions de domaine et de configuration dans Active Directory. Les partitions sont également appelées contextes de nommage. La partition de domaine stocke les utilisateurs, les groupes et d’autres objets pour un domaine spécifique. La partition de configuration stocke les informations de configuration à l’échelle de la forêt pour les services qui ont utilisé Active Directory, tels qu’Exchange. Les données stockées dans la partition de domaine sont généralement gérées par les administrateurs Active Directory, bien que les objets puissent contenir des attributs spécifiques à Exchange qui peuvent être gérés par les administrateurs Exchange. Les données stockées dans la partition de configuration sont gérées par les administrateurs pour chaque service respectif qui stocke les données dans cette partition. Pour Exchange, il s’agit généralement d’administrateurs Exchange.

Exchange 2013 prend en charge les deux types d’autorisations fractionnées suivants :

  • Autorisations de fractionnement RBAC : les autorisations pour créer des principaux de sécurité dans la partition de domaine Active Directory sont contrôlées par RBAC. Seuls les serveurs Exchange, les services et les membres des groupes de rôles appropriés peuvent créer des principaux de sécurité.

  • Autorisations de fractionnement Active Directory : les autorisations de création de principaux de sécurité dans la partition de domaine Active Directory sont complètement supprimées de tout utilisateur, service ou serveur Exchange. Aucune option n'est fournie dans le contrôle RBAC pour créer des principaux de sécurité. Dans Active Directory, ces derniers doivent être créés à l'aide des outils de gestion Active Directory.

    Importante

    Bien que les autorisations de fractionnement Active Directory puissent être activées ou désactivées en exécutant le programme d’installation sur un ordinateur sur lequel Exchange 2013 est installé, la configuration des autorisations fractionnées Active Directory s’applique aux serveurs Exchange 2013 et Exchange 2010. Toutefois, cela n’a pas d’impact sur les serveurs Microsoft Exchange Server 2007.

Si votre organisation choisit d’utiliser un modèle d’autorisations fractionnées au lieu d’autorisations partagées, nous vous recommandons d’utiliser le modèle d’autorisations fractionnées RBAC. Le modèle d’autorisations fractionnées RBAC offre beaucoup plus de flexibilité tout en offrant la même séparation d’administration que les autorisations de fractionnement Active Directory, à l’exception du fait que les serveurs et services Exchange peuvent créer des principaux de sécurité dans le modèle d’autorisations fractionnées RBAC.

Vous êtes invité à indiquer si vous souhaitez activer les autorisations de fractionnement Active Directory pendant l’installation. Si vous choisissez d’activer les autorisations de fractionnement Active Directory, vous pouvez uniquement passer aux autorisations partagées ou aux autorisations de fractionnement RBAC en réexécutant le programme d’installation et en désactivant les autorisations fractionnées Active Directory. Ce choix s’applique à tous les serveurs Exchange 2010 et Exchange 2013 de l’organisation.

Les sections suivantes décrivent plus en détail les autorisations de fractionnement RBAC et Active Directory.

Autorisations fractionnées RBAC

Le modèle de sécurité RBAC modifie les attributions de rôles de gestion par défaut pour séparer les personnes autorisées à créer des principaux de sécurité dans la partition de domaine Active Directory de celles qui administrent les données de l’organisation Exchange dans la partition de configuration Active Directory. Les principaux de sécurité, tels que les utilisateurs dotés de boîtes aux lettres et associés à des groupes de distribution, peuvent être créés par des administrateurs qui sont membres des rôles Création de destinataires de message et Création et appartenance au groupe de sécurité. Ces autorisations restent distinctes des autorisations requises pour créer des principaux de sécurité en dehors des outils de gestion Exchange. Les administrateurs Exchange qui ne sont pas affectés aux rôles Création de destinataire de messagerie ou Création de groupe de sécurité et Appartenance peuvent toujours modifier les attributs liés à Exchange sur les principaux de sécurité. Active Directory administrateurs ont également la possibilité d’utiliser les outils de gestion Exchange pour créer des principaux de sécurité Active Directory.

Les serveurs Exchange et le sous-système approuvé Exchange disposent également des autorisations nécessaires pour créer des principaux de sécurité dans Active Directory pour le compte des utilisateurs et des programmes tiers qui s’intègrent à RBAC.

Les autorisations de fractionnement RBAC sont un bon choix pour votre organisation si les conditions suivantes sont remplies :

  • Votre organisation n’exige pas que la création du principal de sécurité soit effectuée uniquement à l’aide des outils de gestion Active Directory et uniquement des utilisateurs auxquels des autorisations Active Directory spécifiques sont attribuées.

  • Votre organisation autorise les services, tels que les serveurs Exchange, à créer des principaux de sécurité.

  • Vous souhaitez simplifier le processus requis pour créer des boîtes aux lettres, des utilisateurs à extension messagerie, des groupes de distribution et des groupes de rôles en autorisant leur création à partir des outils de gestion Exchange.

  • Vous souhaitez gérer l’appartenance des groupes de distribution et des groupes de rôles dans les outils de gestion Exchange.

  • Vous avez des programmes tiers qui exigent que les serveurs Exchange puissent créer des principaux de sécurité en leur nom.

Si votre organisation nécessite une séparation complète de l’administration Exchange et Active Directory où aucune administration Active Directory ne peut être effectuée à l’aide des outils de gestion Exchange ou des services Exchange, consultez la section Autorisations fractionnées Active Directory plus loin dans cette rubrique.

Le passage des autorisations partagées aux autorisations de fractionnement RBAC est un processus manuel dans lequel vous supprimez les autorisations requises pour créer des principaux de sécurité des groupes de rôles qui leur sont accordés par défaut.

Le tableau suivant présente les rôles qui permettent la création de principaux de sécurité dans Exchange et les groupes de rôles de gestion auxquels ils sont affectés par défaut.

Rôle de gestion Groupe de rôles
Rôle Création de destinataires de message Gestion de l'organisation

Gestion des destinataires

Création du groupe de sécurité et rôle de membre Gestion de l'organisation

Par défaut, les membres des groupes de rôles Gestion de l’organisation et Gestion des destinataires peuvent créer des principaux de sécurité. Vous devez transférer la possibilité de créer des principaux de sécurité des groupes de rôles intégrés vers un nouveau groupe de rôles que vous créez.

Pour configurer les autorisations de fractionnement RBAC, vous devez effectuer les opérations suivantes :

  1. Désactivez Active Directory autorisations fractionnées si elle est activée.

  2. Créez un groupe de rôles, qui contiendra les administrateurs Active Directory qui pourront créer des principaux de sécurité.

  3. Créez des attributions normales et de rôles de délégation entre le rôle Création du destinataire de message et le nouveau groupe de rôles.

  4. Créez des attributions normales et de rôles de délégation entre le rôle Création et appartenance au groupe de sécurité et le nouveau groupe de rôles.

  5. Supprimez les attributions de rôle ordinaires et de gestion de délégation entre le rôle Création de destinataires de message et les groupes de rôles Gestion de l’organisation et Gestion des destinataires.

  6. Supprimez les attributions de rôle ordinaires et de délégation entre le rôle Création et appartenance au groupe de sécurité et le groupe de rôles Gestion de l’organisation.

Après cela, seuls les membres du nouveau groupe de rôles que vous créez pourront créer des principaux de sécurité, tels que des boîtes aux lettres. Le nouveau groupe pourra uniquement créer les objets. Il ne pourra pas configurer les attributs Exchange sur le nouvel objet. Un administrateur Active Directory, qui est membre du nouveau groupe, doit créer l’objet, puis un administrateur Exchange doit configurer les attributs Exchange sur l’objet. Les administrateurs Exchange ne pourront pas utiliser les applets de commande suivantes :

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

Toutefois, les administrateurs Exchange pourront créer et gérer des objets spécifiques à Exchange, tels que des règles de transport, des groupes de distribution, etc., et gérer les attributs liés à Exchange sur n’importe quel objet.

En outre, les fonctionnalités associées dans le CENTRE d’administration Exchange et Outlook Web App, telles que l’Assistant Nouvelle boîte aux lettres, ne sont plus disponibles ou génèrent une erreur si vous essayez de les utiliser.

Si vous souhaitez que le nouveau groupe de rôles puisse également gérer les attributs Exchange sur le nouvel objet, le rôle Destinataires du courrier doit également être attribué au nouveau groupe de rôles.

Pour plus d’informations sur la configuration d’un modèle d’autorisations fractionnées, consultez Configurer Exchange 2013 pour les autorisations fractionnées.

Autorisations fractionnées Active Directory

Avec Active Directory autorisations fractionnées, la création de principaux de sécurité dans la partition de domaine Active Directory, telles que les boîtes aux lettres et les groupes de distribution, doit être effectuée à l’aide des outils de gestion Active Directory. Plusieurs modifications sont apportées aux autorisations accordées au sous-système approuvé Exchange et aux serveurs Exchange pour limiter ce que les administrateurs et serveurs Exchange peuvent faire. Les modifications suivantes apportées aux fonctionnalités se produisent lorsque vous activez Active Directory autorisations fractionnées :

  • La création de boîtes aux lettres, d’utilisateurs à extension messagerie, de groupes de distribution et d’autres principaux de sécurité est supprimée des outils de gestion Exchange.

  • L’ajout et la suppression des membres du groupe de distribution ne peuvent pas être effectués à partir des outils de gestion Exchange.

  • Toutes les autorisations accordées au sous-système approuvé Exchange et aux serveurs Exchange pour créer des principaux de sécurité sont supprimées.

  • Les serveurs Exchange et les outils de gestion Exchange peuvent uniquement modifier les attributs Exchange des principaux de sécurité existants dans Active Directory.

Par exemple, pour créer une boîte aux lettres avec les autorisations de fractionnement Active Directory activées, un utilisateur doit d’abord être créé à l’aide des outils Active Directory par un utilisateur disposant des autorisations Active Directory requises. Ensuite, l’utilisateur peut être activé pour la boîte aux lettres à l’aide des outils de gestion Exchange. Seuls les attributs liés à Exchange de la boîte aux lettres peuvent être modifiés par les administrateurs Exchange à l’aide des outils de gestion Exchange.

Les autorisations de fractionnement Active Directory sont un bon choix pour votre organisation si les conditions suivantes sont remplies :

  • Votre organisation exige que les principaux de sécurité soient créés uniquement à l’aide des outils de gestion Active Directory ou uniquement par les utilisateurs disposant d’autorisations spécifiques dans Active Directory.

  • Vous souhaitez séparer complètement la possibilité de créer des principaux de sécurité de ceux qui gèrent l’organisation Exchange.

  • Vous souhaitez effectuer toute la gestion des groupes de distribution, y compris la création de groupes de distribution et l’ajout et la suppression de membres de ces groupes, à l’aide des outils d’administration Active Directory.

  • Vous ne souhaitez pas que les serveurs Exchange ou les programmes tiers qui utilisent Exchange en leur nom créent des principaux de sécurité.

Importante

Le passage aux autorisations fractionnées Active Directory est un choix que vous pouvez faire lorsque vous installez Exchange 2013 à l’aide de l’Assistant Installation ou en utilisant le paramètre ActiveDirectorySplitPermissions lors de l’exécution setup.exe à partir de la ligne de commande. Vous pouvez également activer ou désactiver les autorisations de fractionnement Active Directory après avoir installé Exchange 2013 en réexécutant setup.exe à partir de la ligne de commande.

Pour activer les autorisations de fractionnement Active Directory, définissez le paramètre ActiveDirectorySplitPermissions sur true. Pour le désactiver, définissez-le sur false. Vous devez toujours spécifier le commutateur PrepareAD avec le paramètre ActiveDirectorySplitPermissions .

Si vous avez plusieurs domaines dans la même forêt, vous devez également spécifier le commutateur PrepareAllDomains lorsque vous appliquez des autorisations de fractionnement Active Directory ou exécuter le programme d’installation avec le commutateur PrepareDomain dans chaque domaine. Si vous choisissez d’exécuter le programme d’installation avec le commutateur PrepareDomain dans chaque domaine plutôt que d’utiliser le commutateur PrepareAllDomains , vous devez préparer chaque domaine qui contient des serveurs Exchange, des objets à extension messagerie ou des serveurs de catalogue globaux accessibles par un serveur Exchange.

Vous ne pouvez pas activer les autorisations de fractionnement Active Directory si vous avez installé Exchange 2010 ou Exchange 2013 sur un contrôleur de domaine.

Après avoir activé ou désactivé les autorisations fractionnées Active Directory, nous vous recommandons de redémarrer les serveurs Exchange 2010 et Exchange 2013 de votre organisation pour les forcer à récupérer le nouveau jeton d’accès Active Directory avec les autorisations mises à jour.

Exchange 2013 obtient des autorisations de fractionnement Active Directory en supprimant les autorisations et l’appartenance du groupe de sécurité Autorisations Windows Exchange. Ce groupe de sécurité, dans les autorisations partagées et les autorisations de fractionnement RBAC, reçoit des autorisations pour de nombreux attributs et objets non Exchange dans Active Directory. En supprimant les autorisations et l’appartenance à ce groupe de sécurité, les administrateurs et services Exchange ne peuvent pas créer ou modifier ces objets Active Directory non Exchange.

Pour obtenir la liste des modifications apportées au groupe de sécurité Autorisations Windows Exchange et aux autres composants Exchange lorsque vous activez ou désactivez les autorisations fractionnées Active Directory, consultez le tableau suivant.

Remarque

Les attributions de rôles à des groupes de rôles qui permettent aux administrateurs Exchange de créer des principaux de sécurité sont supprimées lorsque les autorisations de fractionnement Active Directory sont activées. Cette opération permet de supprimer l’accès aux applets de commande qui, autrement, généreraient une erreur lorsqu’elles sont exécutées, car elles ne disposent pas des autorisations nécessaires pour créer l’objet Active Directory associé.

Modifications des autorisations de fractionnement Active Directory

Action Modifications apportées par Exchange
Activer les autorisations de fractionnement Active Directory lors de la première installation du serveur Exchange 2013 Les événements suivants se produisent lorsque vous activez les autorisations de fractionnement Active Directory via l’Assistant Installation ou en exécutant setup.exe avec les /PrepareAD paramètres et /ActiveDirectorySplitPermissions:true :
  • Une unité d’organisation appelée Groupes protégés Microsoft Exchange est créée.
  • Le groupe de sécurité Autorisations Windows Exchange est créé dans l’unité d’organisation Groupes protégés Microsoft Exchange .
  • Le groupe de sécurité Du sous-système approuvé Exchange n’est pas ajouté au groupe de sécurité Autorisations Exchange Windows .
  • La création d’attributions de rôles de gestion sans délégation à des rôles de gestion avec les types de rôles de gestion suivants est ignorée :
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Les entrées de contrôle d’accès qui auraient été affectées au groupe de sécurité Autorisations Windows Exchange ne sont pas ajoutées à l’objet de domaine Active Directory.

Si vous exécutez le programme d’installation avec le commutateur PrepareAllDomains ou PrepareDomain , les événements suivants se produisent dans chaque domaine enfant préparé :

  • Toutes les ACL affectées au groupe de sécurité Autorisations Windows Exchange sont supprimées de l’objet de domaine.
  • Les acees sont définies dans chaque domaine, à l’exception des acees affectées au groupe de sécurité Autorisations Windows Exchange .
Passer des autorisations partagées ou des autorisations de fractionnement RBAC aux autorisations fractionnées Active Directory Les événements suivants se produisent lorsque vous exécutez la setup.exe commande avec les /PrepareAD paramètres et /ActiveDirectorySplitPermissions:true :
  • Une unité d’organisation appelée Groupes protégés Microsoft Exchange est créée.
  • Le groupe de sécurité Autorisations Windows Exchange est déplacé vers l’unité d’organisation groupes protégés Microsoft Exchange .
  • Le groupe de sécurité Du sous-système approuvé Exchange est supprimé du groupe de sécurité Autorisations Exchange Windows .
  • Toutes les attributions de rôles sans délégation aux rôles de gestion avec les types de rôles suivants sont supprimées :
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Toutes les ACL affectées au groupe de sécurité Autorisations Windows Exchange sont supprimées de l’objet de domaine.

Si vous exécutez le programme d’installation avec le commutateur PrepareAllDomains ou PrepareDomain , les événements suivants se produisent dans chaque domaine enfant préparé :

  • Toutes les ACL affectées au groupe de sécurité Autorisations Windows Exchange sont supprimées de l’objet de domaine.
  • Les acees sont définies dans chaque domaine, à l’exception des acees affectées au groupe de sécurité Autorisations Windows Exchange .
Passer des autorisations de fractionnement Active Directory aux autorisations partagées ou aux autorisations de fractionnement RBAC Les événements suivants se produisent lorsque vous exécutez la setup.exe commande avec les /PrepareAD paramètres et /ActiveDirectorySplitPermissions:false :
  • Le groupe de sécurité Autorisations Windows Exchange est déplacé vers l’unité d’organisation des groupes de sécurité Microsoft Exchange .
  • L’unité d’organisation des groupes protégés Microsoft Exchange est supprimée.
  • Le groupe de sécurité Sous-systèmes approuvés Exchange est ajouté au groupe de sécurité Autorisations Windows Exchange .
  • Les acees sont ajoutées à l’objet de domaine pour le groupe de sécurité Autorisations Windows Exchange .

Si vous exécutez le programme d’installation avec le commutateur PrepareAllDomains ou PrepareDomain , les événements suivants se produisent dans chaque domaine enfant préparé :

  • Les acees sont ajoutées à l’objet de domaine pour le groupe de sécurité Autorisations Windows Exchange .
  • Les acees sont définies dans chaque domaine, y compris les acees attribuées au groupe de sécurité Autorisations Windows Exchange .

Les attributions de rôles aux rôles Création de destinataire de messagerie et Création de groupe de sécurité et Appartenance ne sont pas créées automatiquement lors du passage du fractionnement Active Directory aux autorisations partagées. Si la délégation des attributions de rôles a été personnalisée avant l’activation des autorisations de fractionnement Active Directory, ces personnalisations sont conservées intactes. Pour créer des attributions de rôles entre ces rôles et le groupe de rôles Gestion de l’organisation, consultez Configurer Exchange 2013 pour les autorisations partagées.

Une fois que vous avez activé Active Directory autorisations fractionnées, les applets de commande suivantes ne sont plus disponibles :

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

Une fois que vous avez activé les autorisations de fractionnement Active Directory, les applets de commande suivantes sont accessibles, mais vous ne pouvez pas les utiliser pour créer des groupes de distribution ou modifier l’appartenance au groupe de distribution :

  • Add-DistributionGroupMember
  • New-DistributionGroup
  • Remove-DistributionGroup
  • Remove-DistributionGroupMember
  • Update-DistributionGroupMember

Certaines applets de commande, bien qu’elles soient toujours disponibles, peuvent offrir uniquement des fonctionnalités limitées lorsqu’elles sont utilisées avec des autorisations de fractionnement Active Directory. Cela est dû au fait qu’ils peuvent vous permettre de configurer des objets destinataires qui se trouvent dans la partition Active Directory de domaine et des objets de configuration Exchange qui se trouvent dans la partition Active Directory de configuration. Ils peuvent également vous permettre de configurer des attributs liés à Exchange sur des objets stockés dans la partition de domaine. Les tentatives d’utilisation des applets de commande pour créer des objets ou modifier des attributs non liés à Exchange sur des objets dans la partition de domaine entraînent une erreur. Par exemple, l’applet de commande Add-ADPermission retourne une erreur si vous tentez d’ajouter des autorisations à une boîte aux lettres. Toutefois, l’applet de commande Add-ADPermission réussit si vous configurez des autorisations sur un connecteur Receive. Cela est dû au fait qu’une boîte aux lettres est stockée dans la partition de domaine tandis que les connecteurs de réception sont stockés dans la partition de configuration.

En outre, les fonctionnalités associées dans le Centre d’administration Exchange et Outlook Web App, telles que l’Assistant Nouvelle boîte aux lettres, ne sont plus disponibles ou génèrent une erreur si vous essayez de les utiliser.

Toutefois, les administrateurs Exchange pourront créer et gérer des objets spécifiques à Exchange, tels que des règles de transport, etc.

Pour plus d’informations sur la configuration d’un modèle d’autorisations fractionnées Active Directory, consultez Configurer Exchange 2013 pour les autorisations fractionnées.