Comment déléguer la gestion des tâches courantes d’administration au niveau d’Active Directory et d’Exchange ?

1 OBJECTIFS
Ce document a pour but de permettre de déléguer des tâches d’administration à des équipes qui n’ont pas les droits administratifs complets sur Active Directory et sur Exchange.
Cette procédure a été testée sur un annuaire Windows 2003 et sur Exchange 2003.
Exchange 2007 intègre de nouveaux paramètres pour la délégation d’administration, administrateur Exchange 2007 oublier ce document.

Les tâches ci dessous doivent pouvoir être effectuées au niveau des unités d’organisation “TEST1” et “TEST2” (et des sous O.U. à l’intérieur de ces O.U.) par un personnel informatique ne disposant pas des droits “Admins du domaine” et “Administrateur Exchange Intégral”.
* Créer des comptes au niveau des unités d’organisation “TEST1” et “TEST2”.
* Supprimer des comptes au niveau des unités d’organisation “TEST1” et “TEST2”.
* Réinitialiser le mot de passe des comptes utilisateurs au niveau des unités d’organisation “TEST1” et “TEST2”.
* Modifier tous les paramètres des comptes utilisateurs au niveau des unités d’organisation “TEST1” et “TEST2” (dont paramètres Exchange). Il ne doit pas être possible de modifier le contrôle d’accès distant et les permissions de boîtes aux lettres.
* Ajouter les utilisateurs situés au niveau des unités d’organisation “TEST1” et “TEST2” dans des groupes utilisateurs situés au niveau des unités d’organisation “TEST1” et “TEST2”.
* Déplacer un compte utilisateurs entre l’unités d’organisation “TEST1” et “TEST2”.
* Créer des comptes ordinateurs au niveau des unités d’organisation “TEST1” et “TEST2”.
* Entrer des machines dans le domaine.
* Créer des groupes utilisateurs au niveau des unités d’organisation “TEST1” et “TEST2”.
* Supprimer des groupes utilisateurs au niveau des unités d’organisation “TEST1” et “TEST2”.
* Déplacer des groupes utilisateurs entre l’unités d’organisation “TEST1” et “TEST2”.
* Ajouter les utilisateurs situés uniquement au niveau des unités d’organisation “TEST1” et “TEST2” dans des groupes situés uniquement au niveau des unités d’organisation “TEST1” et “TEST2”.
* Modifier les droits d’accès au niveau des imprimantes.
* Gérer les files d’attente.
L’audit la gestion des objets sera activé et permettra de journaliser toutes les actions effectuées par le personnel informatique. Les entrées générées seront présentes dans le journal « Sécurité » sur des contrôleurs de domaine.

2 DELEGUER L’ADMINISTRATION DES COMPTES UTILISATEURS ET DES GROUPES
2.1 SAUVEGARDE DE L’EXISTANT :
Avant toute modification, faire une sauvegarde de votre serveur Exchange et de votre annuaire Active Directory (sauvegarde complètes des serveurs + systemstate).

2.2 CREATION DU GROUPE ADMINSASSISTANCE :
Dans votre domaine, créer un groupe global appelé « AdminsAssistance ».

2.3 DELEGATION DES DROITS ACTIVE DIRECTORY :

2.3.1 Déléguer la gestion des comptes utilisateurs :
Au niveau des unités d’organisation “TEST1” et “TEST2” :
* Faire un clic droit et sélectionner « Délégation d’administration ».
* Ajouter le groupe « AdminsAssistance » puis cliquer sur suivant.
* Au niveau de la fenêtre « Tâches à déléguer », sélectionner « Créer une tâche personnalisée à déployer ».
* Au niveau de l’écran « Types d’objet Active Directory », sélectionner « Seulement les objets suivants dans le dossier » et cocher la case « Objets Utilisateur ».
* Cocher les cases « Créer les objets sélectionnés dans ce dossier » et « Supprimer des objets sélectionnés dans ce dossier ».
* Cliquer sur suivant.
* Au niveau de la fenêtre « Autorisations », cocher toutes les cases sauf :
* Contrôle Total
* Lire
* Ecrire
* Créer tous les objets enfants
* Supprimer tous les objets enfants
* Lire toutes les propriétés
* Ecrire toutes les propriétés
* Modifier le mot de passe
* Envoyer comme
* Recevoir comme
* Autorisation d’authentifier
* Cliquer sur suivant puis Terminer.

2.3.2 Déléguer la gestion des groupes :
Au niveau des unités d’organisation “TEST1” et “TEST2” :
* Faire un clic droit et sélectionner Délégation d’administration.
* Ajouter le groupe « AdminsAssistance » puis cliquer sur suivant.
* Au niveau de la fenêtre « Tâches à déléguer », sélectionner « Créer une tâche personnalisée à déployer ».
* Au niveau de l’écran « Types d’objet Active Directory », sélectionner « Seulement les objets suivants dans le dossier » et cocher la case « Objets Groupe ».
* Cocher les cases « Créer les objets sélectionnés dans ce dossier » et « Supprimer des objets sélectionnés dans ce dossier ».
* Cliquer sur suivant.
* Sélectionner les droits :
* Lire toutes les propriétés.
* Ecrire toutes les propriétés.
* Lire et écrire Options de messagerie et téléphone.

2.4 EMPECHER LE PERSONNEL INFOERMATIQUE DE MODIFIER LES DROITS DE BOITES AUX LETTRES SUR TOUS LES COMPTES :
Au niveau des unités d’organisation “TEST1” et “TEST2” :
* Faire un clic droit sur l’OU et sélectionner « Propriétés ». Aller dans l’onglet « Sécurité » puis cliquer sur « Paramètres avancés ».
* Sélectionner AdminsAssistance (une des lignes avec Appliquer à Objets Utilisateurs).
* Cliquer ensuite sur « Modifier ».
* Cocher Refuser pour les droits :
* Lire msExchMaiboxSecurityDescriptor.
* Ecrire msExchMaiboxSecurityDescriptor.
* Cliquer sur OK, OUI puis OK.
* Cela permet d’empêcher les utilisateurs de l’équipe d’assistance d’éditer les droits de boites aux lettres.

Pour plus d’informations sur l’attribut msExchMaiboxSecurityDescriptor, voir article :
http://support.microsoft.com/kb/304935/en-us
2.5 CREATION DES COMPTES UTILISATEURS D’ADMINISTRATION ET AJOUT DANS LE GROUPE ADMINSUTILISATEURS :
Cette étape consiste à ajouter les comptes utilisateurs du personnel informatique dans le groupe « AdminsAssistance ».

2.6 DELEGATION DES DROITS SUR EXCHANGE :
Cette procédure s’effectue en 2 phases :
* Afficher l’onglet « Sécurité » dans la console « Gestionnaire Système Exchange ».
* Afficher les groupes d’administration dans la console « Gestionnaire Système Exchange ».

2.6.1 Afficher onglet Sécurité :
Il faut configurer le « Gestionnaire Système Exchange » pour afficher l’onglet « Sécurité ».
Pour cela :
Ouvrir le registre sur le serveur Exchange en tapant la commande regedt32.
Aller sur HKEY_Current_User\Software\ Microsoft\Exchange\ExAdmin
Créer la valeur DWORD suivante « ShowSecurityPage » avec une valeur de « 1 ».

Voir l’article ci-dessous pour plus d’informations :
http://www.computerperformance.co.uk/ Registry/registry_hacks_exchange.htm

2.6.2 Afficher les groupes d’administration :
Lancer la console « Gestionnaire Système Exchange » et vérifier que la case « Afficher les groupes d’administrations » est cochée.

2.6.3 Déléguer des droits sur le groupe administration d’Exchange et sur l’organisation Exchange :
Pour permettre à des utilisateurs de créer des boîtes aux lettres, ils doivent avoir les droits suivants :
* « Administrateur Exchange Affichage Seul » au niveau du groupe d’administration cible.
* Lancer la console Gestionnaire Système Exchange et sélectionner le groupe d’administration où se trouve votre serveur.
* Déléguer au groupe utilisateur « AdminsAssistance » le droit « Administrateur Exchange Affichage seul » au niveau du groupe d’administration.

3 DELEGUER L’AJOUT D’ORDINATEUR DANS LE DOMAINE ET LA GESTION DES COMPTES ORDINATEURS :
3.1 SAUVEGARDE DE L’EXISTANT :
Avant toute modification, faire une sauvegarde de votre annuaire Active Directory (sauvegarde complètes des serveurs + systemstate).

3.2 DELEGATION D’ADMINISTRATION :
Au niveau des unités d’organisation “TEST1” et “TEST2”, lancer de nouveau l’assistant « Délégation d’administration ».
* Sélectionner le groupe « AdminsAssistance » au niveau de la fenêtre « Assistant Délégation de contrôle ».
* Sélectionner ensuite « Créer une tâche personnalisée » puis à la fenêtre suivante, « Objets Ordinateur » et cocher la case « Créer les objets sélectionnés dans ce dossier ».
* Sélectionner ensuite au niveau de la fenêtre « Autorisations » :
* Lire toutes les propriétés
* Ecrire toutes les propriétés
* Modifier le mot de passe
* Réinitialiser le mot de passe
* Lire et écrire Restrictions de compte
* Lire et écrire des informations personnelles
* Lire et écrire Informations publiques
* Ecrire et validée vers le nom d’hôtes DNS.
* Ecriture validée vers le nom principal de service
* Lire et écrire Attributs de nom d’hôte DNS.

3.3 PROCEDURE DE CREATION D’UN COMPTE :
Pour chaque nouvelle machine, à joindre dans le domaine, demander au personnel informatique de créer par avance le compte ordinateur.
En effet par défaut, dans un annuaire, les « utilisateurs authentifiés » ont le droit de joindre des machines dans le domaine mais au maximum 10 fois (10 comptes ordinateur peuvent être créés).
Quand on dépasse ce nombre, on obtient le message d’erreur suivant :
Pour contourner ce problème, on peut :
* Créer d’avance le compte ordinateur au niveau de l’OU où sont stockés les comptes ordinateurs.
* Reconfigurer cette limite.

Pour plus d’informations, voir l’article Microsoft suivant :
http://support.microsoft.com/kb/314462/fr

4 DELEGUER LA GESTION DES IMPRIMANTES :
Ajouter les comptes du personnel informatique dans le groupe « Opérateurs d’impression ».
Si le serveur d’impression est un contrôleur de domaine, deux possibilités :
* Ajouter le groupe « AdminsAssistance » dans le groupe Builtin\Opérateurs d’impression au niveau de l’Active Directory. Cette option n’est pas recommandée car trop permissive.
* Positionner des permissions aux groupes AdminsAssistance sur toutes les imprimantes. Il faut déléguer les droits Gestion d’imprimante, Gestion des documents et Imprimer. Cette option est recommandée.
Si le serveur d’impression est sur un serveur membre du domaine, il faut positionner des permissions aux groupes AdminsAssistance sur toutes les imprimantes. Il faut déléguer les droits Gestion d’imprimante, Gestion des documents et Imprimer.
Attention les membres de l’équipe d’assistance peuvent alors ouvrir une session sur le contrôleur de domaine et arrêter cette machine.

5 MISE EN PLACE DE L’AUDIT 5.1 UTILISATION DE L’AUDIT LA GESTION DES COMPTES :
Sur un des contrôleurs de domaine de votre domaine, ouvrir la console « Paramètres de sécurité du contrôleur de domaine par défaut ».
Aller au niveau de stratégie d’audit et sélectionner Réussite pour « Auditer la gestion des comptes »
Activer l’audit de gestion des comptes en mode réussite permet de générer une entrée dans le journal « Sécurité » à chaque fois qu’une modification est effectuée sur l’annuaire.
5.2 ANALYSER DU JOURNAL DE SECURITE :

Aller dans les observateurs d’événements :
Si on a activé l’audit des comptes en mode réussite, on peut filtrer le journal de sécurité pour n’afficher que les événements intéressants.

Remarque :
Il sera nécessaire d’archiver régulièrement le journal de sécurité.
Par défaut, seuls les administrateurs peuvent gérer le journal de sécurité d’une machine.

6 INSTALLER LES OUTILS D’ADMINISTRATION SUR LES STATIONS D’ADMINISTRATION :L’installation se fera sur une machine Windows XP service pack 2.
6.1 ETAPE 1 : INSTALLATION DE L’ADMINPACK
L’adminpack est téléchargeable à l’adresse suivante :
http://www.microsoft.com/downloads/details.aspx? familyid=e487f885-f0c7-436a-a392-25793a25bad7&displaylang=en

6.2 ETAPE 2 : INSTALLATION D’IIS SUR LE POSTE XP PRO SP2 :
Il faut aller dans ajout / suppression de programmes puis dans Composant Windows.
Sélectionner IIS.

6.3 ETAPE 3 : INSTALLATION DES OUTILS D’ADMINISTRATION EXCHANGE SUR LE POSTE XP SP2 :
Attention il faut passer en installation personnalisée et sélectionner « Installer » au niveau de « Outils de gestion du système Microsoft Exchange ».

Laisser un commentaire