Exchange: pas d’accès à une boîte de messagerie supplémentaire malgré des droits d’accès complets
Cette semaine, notre entraîneur Markus Hengstler a rencontré le même problème chez deux clients. D’où ce petit article.
Cette semaine, j’ai rencontré le même problème chez deux clients. D’où ce petit article.
Symptôme
Malgré des droits d’accès complets pour l’utilisateur EXADMIN sur la boîte de messagerie «Jon Snow», il est impossible d’y accéder. La boîte est certes intégrée dans Outlook via la découverte automatique mais, en essayant de l’ouvrir, un message d’erreur s’affiche:
Cours Microsoft Exchange chez DigicompTout au sujet de la solution Messaging de Microsoft.
|
Un coup d’œil dans le centre d’administration Exchange confirme la configuration correcte:
Les autorisations sont présentées de façon plus précise dans l’environnement de ligne de commande Exchange Management Shell:
Là aussi, on peut voir que le compte EXADMIN dispose de droits d’accès complets. Il s’agit de droits Allow et non pas Deny qui ont été configurés directement au niveau de l’objet, autrement dit la boîte de messagerie, et non pas hérités.
Un élément frappant réside dans les entrées du groupe d’Admins du domaine (Domain Admins), qui disposent toutes d’un droit d’accès complet. Mais ce droit n’est explicitement stipulé que pour une seule entrée (IsInherited = False). Tandis que les deux entrées héritées sont configurées automatiquement lors de l’installation d’Exchange, le droit explicite a été configuré en plus. Chez les deux clients, personne n’a cependant été en mesure d’expliquer à quel moment et pour quelle raison.
Le droit Deny explicite annule le droit Allow explicite du compte EXADMIN, ce dernier étant aussi membre du groupe d’Admins du domaine. En général, les Admins du domaine disposent d’un droit Deny hérité, qui peut être annulé de nouveau par un droit Allow explicite. De nombreux administrateurs ne savent pas que la hiérarchie de la liste ACL joue également un rôle, et que Refuser n’a pas systématiquement plus d’importance qu’Autoriser mais que les deux se trouvent simplement au même niveau.
Une fois les droits d’accès complets explicites supprimés, la boîte supplémentaire peut aussi être utilisée comme souhaité. Voici la commande requise: