Exchange: pas d’accès à une boîte de messagerie supplémentaire malgré des droits d’accès complets

Cette semaine, notre entraîneur Markus Hengstler a rencontré le même problème chez deux clients. D’où ce petit article.
Auteur / Autrice Markus Hengstler
Date 09.07.2014
Temps de lecture 3 Minutes

Cette semaine, j’ai rencontré le même problème chez deux clients. D’où ce petit article.

Symptôme

Malgré des droits d’accès complets pour l’utilisateur EXADMIN sur la boîte de messagerie «Jon Snow», il est impossible d’y accéder. La boîte est certes intégrée dans Outlook via la découverte automatique mais, en essayant de l’ouvrir, un message d’erreur s’affiche:

zugriff-mailbox-full-access-berechtigung-1

WPM

Cours Microsoft Exchange chez Digicomp

Tout au sujet de la solution Messaging de Microsoft.
Cliquer ici pour plus d’informations

Un coup d’œil dans le centre d’administration Exchange confirme la configuration correcte:

zugriff-mailbox-full-access-berechtigung-2

 

Les autorisations sont présentées de façon plus précise dans l’environnement de ligne de commande Exchange Management Shell:

zugriff-mailbox-full-access-berechtigung-3

Là aussi, on peut voir que le compte EXADMIN dispose de droits d’accès complets. Il s’agit de droits Allow et non pas Deny qui ont été configurés directement au niveau de l’objet, autrement dit la boîte de messagerie, et non pas hérités.

Un élément frappant réside dans les entrées du groupe d’Admins du domaine (Domain Admins), qui disposent toutes d’un droit d’accès complet. Mais ce droit n’est explicitement stipulé que pour une seule entrée (IsInherited = False). Tandis que les deux entrées héritées sont configurées automatiquement lors de l’installation d’Exchange, le droit explicite a été configuré en plus. Chez les deux clients, personne n’a cependant été en mesure d’expliquer à quel moment et pour quelle raison.

Le droit Deny explicite annule le droit Allow explicite du compte EXADMIN, ce dernier étant aussi membre du groupe d’Admins du domaine. En général, les Admins du domaine disposent d’un droit Deny hérité, qui peut être annulé de nouveau par un droit Allow explicite. De nombreux administrateurs ne savent pas que la hiérarchie de la liste ACL joue également un rôle, et que Refuser n’a pas systématiquement plus d’importance qu’Autoriser mais que les deux se trouvent simplement au même niveau.

Une fois les droits d’accès complets explicites supprimés, la boîte supplémentaire peut aussi être utilisée comme souhaité. Voici la commande requise:

zugriff-mailbox-full-access-berechtigung-4

 

zugriff-mailbox-full-access-berechtigung-5

Auteur / Autrice

Markus Hengstler

Markus Hengstler travaille chez UMB AG en tant que Senior Systems Engineer dans les domaines Exchange, Windows et Citrix. Grâce à son expérience dans ces domaines, il est certifié «MCSE: Server Infrastructure». Il fait également partie des trois «MCSM: Messaging» en Suisse. Il enseigne depuis 2001 en tant que Microsoft Certified Trainer, et depuis 2010 en tant que Citrix Certified Instructor chez Digicomp.