suite migration exchange 2000/2003 bals accessibles par tout le monde !

Le
N H
Bonjour tous,

J'ai besoin d'aide car je rencontre le probleme suivant lors d'un test
de migration d'exchange 2000 vers exchange 2003 :
Suite cette migration, l'ensemble des boites aux lettres sont
visibles par les utilisateurs sous outlook 200x par "ouvrir, dossier
d'un autre utilisateur "
Et ce n'etait pas le cas avant la migration ( et ce n'est pas l'effet
souhait biensur :) )
Si je regarde les droits d'acces aux BAL des utilisateurs dans AD,
ceux-ci ont en plus, par rapport aux droits des BAL sous l'ancien
exchange 2000 :

- Anonymous logon
- Authentificated users
- Everyone

Si je modifie les droits sur deny pour les trois, les utilisateurs
n'ont plus acces leur BAL en lanant Outlook.
Si je limite au maximum les droits sur les BAL, authentificated users
et everyone doivent avoir, au moins, le droit "read", sinon je me
retrouve avec une boite "login/mot de passe" pour acceder la boite.
mais tout le monde a toujours acces la BAL de tout le monde.

Est-ce une erreur de configuration au niveau de la securit du serveur
dans le groupe administratif ?
Une erreur directement au niveau de AD et les strategies de groupes ?
A savoir que je n'ai jamais eu toucher aux droits d'acces durant la
migration.
Est-ce un probleme courant lors de la migration exchange 2000-2003 ?

Merci de votre aide.

Nadia H
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
N H
Le #733586
Infos supplementaires :

si je refuse l'acces à "authentificated users" et "everyone" sur une
BAL,
j'ai une popup de "login/mdp" au lancement de outlook et il est
impossible de se loguer.

Si je regarde les logs, j'ai alors une erreur eventid 1022 de
"MSExchangeIS Mailbox" pas tres causante.
C'est une erreur de login qui apparait normalement lorsqu'un
utilisateur se logue sur exchange pendant une migration.

Nadia

windows 2003 serveur sp1
windows 2003 exchange sp1
Thierry DEMAN [MVP]
Le #733584
Bonsoir,

ce n'est pas une erreur normale lors de la migration vers Exchange 2003!

Ce qui est sur, c'est qu'il ne faut pas activer de "refus" sur un groupe générique comme "utilisateurs authentifiés",
car il s'appliquera à tous (y compris l'administrateur) et que le refus est prioritaire sur les autorisations !!!

Vérifier tout d'abord que le problème de droits existe bien sur un compte qui ne soit pas "administrateur".

Si nécessaire, il faut supprimer les droits "envoyer en tant que" et "recevoir en tant que" qui auraient pu être accordés "à tort"
aux utilisateurs.
Il s'agit de supprimer les lignes qui accordent les droits, pas de le gérer avec les refus.
=> Ces droits peuvent avoir été accordés au niveau de l'organisation, du site administratif ou de la banque d'information.

A bientôt,
--
Thierry DEMAN-BARCELÒ
MVP Exchange, SQL/Server
MCSE+M,MCSE+I,MCDBA,MCSA+S
http://webfamilial.dyndns.org
http://faqexchange.dyndns.org
http://ofniorcim.dyndns.org (une nouvelle FAQ en cours de création)

"N H" Infos supplementaires :

si je refuse l'acces à "authentificated users" et "everyone" sur une
BAL,
j'ai une popup de "login/mdp" au lancement de outlook et il est
impossible de se loguer.

Si je regarde les logs, j'ai alors une erreur eventid 1022 de
"MSExchangeIS Mailbox" pas tres causante.
C'est une erreur de login qui apparait normalement lorsqu'un
utilisateur se logue sur exchange pendant une migration.

Nadia

windows 2003 serveur sp1
windows 2003 exchange sp1
Ludovik DOPIERALA
Le #733580
Pour les groupes c'est quoi les *ACL ?
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
CCEA Citrix Metaframe




Bonjour à tous,

J'ai besoin d'aide car je rencontre le probleme suivant lors d'un test
de migration d'exchange 2000 vers exchange 2003 :
Suite à cette migration, l'ensemble des boites aux lettres sont
visibles par les utilisateurs sous outlook 200x par "ouvrir, dossier
d'un autre utilisateur "
Et ce n'etait pas le cas avant la migration ( et ce n'est pas l'effet
souhaité biensur :) )
Si je regarde les droits d'acces aux BAL des utilisateurs dans AD,
ceux-ci ont en plus, par rapport aux droits des BAL sous l'ancien
exchange 2000 :

- Anonymous logon
- Authentificated users
- Everyone

Si je modifie les droits sur deny pour les trois, les utilisateurs
n'ont plus acces à leur BAL en lançant Outlook.
Si je limite au maximum les droits sur les BAL, authentificated users
et everyone doivent avoir, au moins, le droit "read", sinon je me
retrouve avec une boite "login/mot de passe" pour acceder à la boite.
.... mais tout le monde a toujours acces à la BAL de tout le monde.

Est-ce une erreur de configuration au niveau de la securité du serveur
dans le groupe administratif ?
Une erreur directement au niveau de AD et les strategies de groupes ?
A savoir que je n'ai jamais eu à toucher aux droits d'acces durant la
migration.
Est-ce un probleme courant lors de la migration exchange 2000-2003 ?

Merci de votre aide.

Nadia H




N H
Le #733579
Bonjour,

Pour les trois groupes en question, les droits sont :
ANONYMOUS LOGON Read permission
AUTHENTICATED USERS Full
EVERYONE Full

Nadia H
N H
Le #743323
Bonjour,

Effectivement pour le refus, j'avais meme une popup tres claire sur le
sujet quand j'ai specifié des refus sur les groupes.

Le probleme de droits existe pour tout le monde ( tout le monde a acces
à toutes les BAL ) sauf l'administrateur ( ! ) pour qui l'acces est
refusé.

Quand vous me conseillez de supprimer les lignes qui accordent les
droits et pas de gerer les refus, il faudrait que je supprime quels
droits ? et de quelle maniere ? ( via le gestionnaire systeme exchange
) ?

Quand je crée une BAL sur l'exchange 2000, je n'ai pas les droits
anonymous logon, authentificated users et everyone ( et pas de
problemes de droits sur les BALS )
Inversement sous exchange 2003, je me retrouve avec ces 3 droits
hérités.

Je me demande d'où ils sortent et comment les enlever...

Merci

Nadia H
N H
Le #743320
Infos supplementaire :

les differences de droits entre exchange 2000 et exchange 2003
n'apparaissent qu'au niveau de la banque d'information sinon tout
semble identique.

Nadia H
Publicité
Poster une réponse
Anonyme