Exchange : gérer les autorisation des boites partagées avec des groupes de sécurité


Exchange 2016 Exchange 2019

Dans cet article, je vais vous expliquer comment gérer la délégation de boites aux lettres : Accès total avec un groupe de sécurité sur Exchange.

Ce qui va suivre peut s’applique aussi bien pour les boites aux lettres Utilisateurs que pour les boites aux lettres partagées.

Si vous avez déjà gérer des environnements Exchange, l’audit des Accès total aux boites aux lettres peut vite devenir un calvaire, car on peut pas voir facilement les accès aux boites aux lettres partagés par exemple d’un utilisateur.

Pour palier ce problème, on peut se dire que l’on va utiliser des groupes de sécurité, comme cela en regardant les groupes de sécurité d’un utilisateur on peut savoir à quelles boites aux lettres il peut accèder.

A partir de là, on peut être confronter à deux problèmes :

  • Si le groupe est créé directement dans l’Active Directory, on ne voit pas le groupe pour l’affecter à la boite aux lettres, car le groupe droit Universel et avoir une adresse email.
  • Si vous avez créé le groupe par l’ECP, vous arrivez à l’affecter, mais les boites aux lettres ne remonte pas automatiquement dans le client Outlook, on va voir pas la suite pourquoi.

Fonctionnement de l’accès total sur une boite aux lettre

Avant de rentrer dans le vif du sujet, je vais vous montrer comme Exchange fait pour appliquer les droits et le mappage dans le client Outlook.

Pour illustrer ce tutoriel, j’ai créé une boite aux lettres partagée : Test

Pour le moment, il y a seulement les droits par défaut au niveau de l’Accès total.

Au niveau de l’Active Directory, si on regarde l’attribut msExchDelegateListLink celui-ci est vide.

C’est grâce à l’attribut msExchDelegateListLink que l’auto mapping se fait dans le client Outlook.

Comme le montre la capture ci-dessous, je me suis mis l’Accès total à la boite aux lettres :

Une fois les droits appliqués, on peut voir que l’attribut DN de mon utilisateur est ajouté à l’attribut msExchDelegateListLink de la boite partagée.

Maintenant que l’on a étudié le fonctionnement, on va passer à la pratique avec l’utilisation d’un groupe de sécurité.

Création du groupe de sécurité pour la délégation de droits

Afin que le groupe de sécurité soit créé correctement, on va utiliser l’ECP d’Exchange pour le créer, depuis la gestion créer un nouveau Groupe de sécurité.

A minima, saisir le Nom d’affichage et l’Alias du groupe.

Le groupe de sécurité est créé :

A la suite de la création, je me suis membre du groupe.

En regardant le groupe depuis la console Utilisateurs et ordinateurs Active Directory, on peut voir l’étendu du groupe est Universelle et qu’une adresse de messagerie a été ajoutée, au passage si on regarde le Nom du groupe, on peut voir qu’une série de chiffre a été ajouté à la fin.

Au passage, on peut voir que je suis bien membre du groupe.

Configuration de la délégation : Accès total

De retour dans l’ECP d’Exchange, j’ajoute le groupe pour déléguer l’accès total.

Après enregistrement, si on retrouve dans l’Active Directory, on peut voir que le champ msExchDelegateListLink est vide.

Exchange ajoute seulement le DN des objets utilisateurs et non des groupes de sécurités, de ce fait l’auto-mapping du client Outlook ne fonctionne pas.

On peut ajouter manuellement la boite aux lettres dans Outlook ou passer par l’interface web OWA pour consulter la boite aux lettres partagés. Ce qui n’est pas forcément pratique pour les utilisateurs.

Pour avoir l’auto-mapping, il faut ajouter les DN des utilisateurs qui sont membre du groupe dans l’attribut msExchDelegateListLink  de la boites aux lettres.

Pour se faire, j’ai écris un script qui permet de le faire, lors de son exécution, il va demander le SamAccoutName ou l’adresse email de la boite aux lettres et il va mettre à jour automatiquement (ajout/suppression) l’attribut msExchDelegateListLink .

Pour fonctionner correctement, il faut appliquer seulement les autorisations par des groupes et le script devra être utiliser à chaque mise à jour de groupe.

Voici le script :

Vous l’aurez donc compris, pour utiliser des groupes de sécurité pour appliquer l’Accès total au boites aux lettres (partagées), vous devez également créer un groupe qui lui est associé, ajouter les membres et passer le script.

Bonus : Script de création de boites partagées et du groupe

En bonus, voici un script PowerShell que vous pouvez utiliser lors de la création de la boites aux lettres partagées, qui va en même temps vous proposer de créer un groupe et l’attribuer à la boites aux lettres dans les options de délégation. Après, il faut ajouter les utilisateurs dans le groupe et ensuite passer le script ci-dessus.




Laisser un commentaire