Utilisation du CAE pour la gestion des déploiements Exchange à forêts multiples

Article d’origine publié le vendredi 31 août 2011

Dans notre dernier article nous avions présenté le nouveau centre d’administration Exchange (CAE). À présent, nous allons voir comment le CAE facilite grandement la gestion des déploiements Exchange à forêts multiples.

Comme nous l’avons décrit dans Déploiement d’Exchange 2010 dans une topologie inter-forêts, vous pouvez déployer Exchange Server 2010 dans une topologie inter-forêts ou de forêt de ressources. Dans cet article, nous emploierons la même approche pour déployer une topologie de forêt de ressources avec la nouvelle version d’Exchange.

Tout d’abord, nous allons configurer un environnement de forêt de ressource comme indiqué ci-dessous, avec une configuration d’approbation de forêt unidirectionnelle, pour que la forêt B approuve la forêt A.

image
Figure 1 : disposition d’une topologie de forêt de ressources Exchange

La forêt A est la forêt des comptes où tous les comptes d’utilisateurs sont configurés. Aucun serveur Exchange n’est installé dans la forêt A. La forêt B est la forêt de ressources : Exchange Server 2013 y est installé, ainsi que des boîtes aux lettres reliées à chaque compte utilisateur de la forêt A. Aucun compte utilisateur n’est configuré dans la forêt B.

Dans un environnement de laboratoire se trouve un utilisateur, Jean Dupond, dont le compte est configuré dans la forêt A. Nous voulons que Jean Dupond soit désigné comme administrateur Exchange. Pour ce faire, nous devons vérifier qu’il dispose des privilèges de contrôle d’accès en fonction du rôle (CAFR) mis en place dans la forêt de ressources Exchange. Comme nous gérons ici un environnement à forêts multiples, il existe deux méthodes pour configurer un CAFR et nous allons les essayer :

  1. Utilisation des boîtes aux lettres liées
  2. Utilisation des groupes de rôles liés

Il est possible que vous ayez déjà des utilisateurs configurés dans une forêt de comptes. La configuration de ces utilisateurs en tant que boîtes aux lettres liées établit leur présence dans la forêt de ressources Exchange. En ajoutant ces boîtes aux lettres liées aux groupes de rôles de CAFR, les utilisateurs associés deviennent effectivement des administrateurs Exchange.

Utilisation des boîtes aux lettres liées

Dans la figure suivante, nous pouvons voir que le compte utilisateur de Jean Dupond est configuré dans la forêts de comptes. En utilisant le CAE, un administrateur Exchange peut ensuite créer une boîte aux lettres liée pour lui, comme indiqué ci-dessous.

image
Figure 2 : le compte de Jean Dupond a été configuré en tant que boîte aux lettres liée.

La boîte aux lettres de Jean peut ensuite être ajoutée à n’importe lequel des groupes de rôles d’administrateur de CAFR intégrés, ce qui fait donc de lui un administrateur Exchange. Dans la capture d’écran ci-dessous, Jean est devenu membre du groupe de rôles Gestion des organisations intégré.

image
Figure 3 : Jean Dupond a été ajouté en tant que membre du groupe de rôles Gestion des organisations.

À présent, essayons de nous connecter au CAE en tant que Jean Dupond. Ce dernier doit maintenant avoir des privilèges d’administration Exchange, comme nous le voyons ci-dessous.

image
Figure 4 : connexion au CAE en tant que Jean Dupond, dont le compte est configuré en tant que boîte au lettres et en tant que membre du groupe de rôles de Gestions des organisations.

Utilisation des groupes de rôles liés

Les groupes de rôles liés sont, pour l’essentiel, des groupes de rôles liés via un groupe de sécurité universel (GSU) à travers la limite de la forêt. Les membres de ce GSU deviennent donc membres des groupes de rôles liés. Cela signifie que si Jean Dupond est membre d’un GSU, il obtient automatiquement toutes les autorisations de CAFR dans une forêt de ressources Exchange via les groupes de rôles liés. Les groupes de rôles liés permettent donc à un petit ensemble de GSU d’une forêt de comptes de gérer plusieurs topologies de forêts Exchange complexes.

Voici comment nous allons procéder pour démontrer cela :

  1. Dans la forêt de comptes, l’utilisation de l’outil de gestion Utilisateurs et ordinateurs Active Directory (UOAD), nous allons créer un GSU nommé AdminSG. AdminSG va représenter un groupe d’administrateurs Exchange. Nous allons ensuite faire de Jean Dupond un membre de AdminSG
  2. Dans la forêt de ressources, nous allons configurer un groupe de rôles liés unique, basé sur le groupe de rôles intégrés « Gestion des organisations », mappé vers AdminSG, en utilisant les appels EMS (Exchange Management Shell) suivants :

$accountForestCredential = Get-Credential

$OrgMgmt = Get-RoleGroup "Gestion des organisations"

New-RoleGroup "Gestion des organisations - Liés" -LinkedForeignGroup "AdminSG" -LinkedDomainController bjex062.extest.microsoft.com -LinkedCredential $accountForestCredential -Roles $OrgMgmt.Roles

Get-ManagementRoleAssignment -RoleAssignee "Gestion des organisations - Liés" -Role My* | Remove-ManagementRoleAssignment

Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Gestion des organisations - Liés" -Delegating

En suivant les étapes précédentes, Jean Dupond dispose à présent de tous les privilèges CAFR dans la forêt de ressources Exchange, même via son compte utilisateur dans la forêt de comptes.

Nous allons maintenant tenter une connexion au CAE en tant que Jean Dupond. Nous lançons le CAE depuis n’importe quel bureau, et le pointons vers un serveur CAS dans la forêt de ressources. Nous sommes à présent connectés. Jean Dupond dispose de privilèges CAFR standards, comme cela est défini dans le groupe de rôles de CAFR Gestion des organisations. Il peut donc maintenant gérer Exchange dans la forêt de ressources.

image
Figure 5 : connexion au CAE en tant que Jean Dupond, via le groupe de rôles Gestion des organisations lié.

Essayez le CAE

Comme vous pouvez le constater, le CAE facilite la gestion des déploiements Exchange à forêts multiples. Vous n’avez pas besoin de contrôler les ordinateurs de gestion dédiés à distance pour gérer une forêt Exchange spécifique, ni de créer des comptes d’administration spécifiques dans chaque forêt de ressources Exchange. Vous pouvez faire tout cela depuis votre propre bureau avec le CAE, en utilisant vos informations d’authentification utilisateur !

Le CAE est disponible dans la dernier téléchargement BITS d’Exchange 2013 Preview ainsi que dans l’offre d’Office 365 Customer Preview. Dans les semaines à venir, nous allons écrire d’autres articles sur le CAE. Pendant ce temps, nous encourageons à essayer le nouveau CAE et nous faire part de vos commentaires !

L’équipe de gestion Exchange

Ce billet de blog a été traduit de l’anglais. Vous trouverez la version originale sur Using EAC to manage multi-forest Exchange deployments