• Home
  • Blog
  • Trucs et astuces
  • Exchange: pas d’accès à une boîte de messagerie supplémentaire malgré des droits d’accès complets

Exchange: pas d’accès à une boîte de messagerie supplémentaire malgré des droits d’accès complets

Cette semaine, notre entraîneur Markus Hengstler a rencontré le même problème chez deux clients. D’où ce petit article.

Autor/in Markus Hengstler
Datum 09.07.2014
Lesezeit 3 Minuten

Cette semaine, j’ai rencontré le même problème chez deux clients. D’où ce petit article.

Symptôme

Malgré des droits d’accès complets pour l’utilisateur EXADMIN sur la boîte de messagerie «Jon Snow», il est impossible d’y accéder. La boîte est certes intégrée dans Outlook via la découverte automatique mais, en essayant de l’ouvrir, un message d’erreur s’affiche:

zugriff-mailbox-full-access-berechtigung-1

WPM

Cours Microsoft Exchange chez Digicomp

Tout au sujet de la solution Messaging de Microsoft.
Cliquer ici pour plus d’informations

Un coup d’œil dans le centre d’administration Exchange confirme la configuration correcte:

zugriff-mailbox-full-access-berechtigung-2

 

Les autorisations sont présentées de façon plus précise dans l’environnement de ligne de commande Exchange Management Shell:

zugriff-mailbox-full-access-berechtigung-3

Là aussi, on peut voir que le compte EXADMIN dispose de droits d’accès complets. Il s’agit de droits Allow et non pas Deny qui ont été configurés directement au niveau de l’objet, autrement dit la boîte de messagerie, et non pas hérités.

Un élément frappant réside dans les entrées du groupe d’Admins du domaine (Domain Admins), qui disposent toutes d’un droit d’accès complet. Mais ce droit n’est explicitement stipulé que pour une seule entrée (IsInherited = False). Tandis que les deux entrées héritées sont configurées automatiquement lors de l’installation d’Exchange, le droit explicite a été configuré en plus. Chez les deux clients, personne n’a cependant été en mesure d’expliquer à quel moment et pour quelle raison.

Le droit Deny explicite annule le droit Allow explicite du compte EXADMIN, ce dernier étant aussi membre du groupe d’Admins du domaine. En général, les Admins du domaine disposent d’un droit Deny hérité, qui peut être annulé de nouveau par un droit Allow explicite. De nombreux administrateurs ne savent pas que la hiérarchie de la liste ACL joue également un rôle, et que Refuser n’a pas systématiquement plus d’importance qu’Autoriser mais que les deux se trouvent simplement au même niveau.

Une fois les droits d’accès complets explicites supprimés, la boîte supplémentaire peut aussi être utilisée comme souhaité. Voici la commande requise:

zugriff-mailbox-full-access-berechtigung-4

 

zugriff-mailbox-full-access-berechtigung-5

Autor/in

Markus Hengstler

Markus Hengstler arbeitet bei der UMB AG als Senior Systems Engineer in den Bereichen Exchange, Windows und Citrix. Dank seiner Erfahrungen in diesen Bereichen ist er zertifizierter «MCSE: Server Infrastructure». Ausserdem ist er einer von drei «MCSM: Messaging» in der Schweiz. Seit 2001 unterrichtet er als Microsoft Certified Trainer und seit 2010 als Citrix Certified Instructor bei Digicomp.

Kommentar

  • Home
  • Blog
  • Trucs et astuces
  • Exchange: pas d’accès à une boîte de messagerie supplémentaire malgré des droits d’accès complets