Dossier Sécurité : Exchange 2010 et Windows Server 2008 R2, une sécurité à  toute épreuve

Notre environnement Exchange Server 2010 est basé sur Active Directory 2008 R2. Plusieurs raisons ont justifié ce choix par rapport à la version précédente.

L’une de ces raisons est la possibilité de verrouiller un objet Active Directory et d’activer la fonctionnalité de corbeille Active Directory (en anglais : Active Directory Recycle Bin). Ces deux fonctions ont pour objet d’éviter les suppressions involontaires des objets Active Directory en les protégeant à deux niveaux, ce qui prend tout son sens avec Exchange Server comme vous allez le découvrir dans cet article

La protection des objets contre les suppressions accidentelles peut être appliquée à n’importe quel objet de l’annuaire Active Directory. Elle peut être activée manuellement à partir de l’objet que vous souhaitez protéger, en cochant la case. Il est à noter que la protection n’agit que sur l’objet ciblé, et n’inclut pas par défaut les objets enfants. Par exemple, si vous cochez la case pour une unité organisationnelle, la protection concerne la suppression de l’OU, mais les objets contenus à l’intérieur de cette OU restent supprimables.

Une fois protégé, si quelqu’un tente de supprimer l’objet depuis Active Directory, après avoir confirmé la suppression, le message suivant, lui indiquant que l’objet est protégé contre la suppression, apparaît. Toutefois, la suppression accidentelle d’objet Active Directory est souvent le fait d’une destruction involontaire au travers d’un outil tiers. Par exemple, si nous prenons Exchange Server, lors de la suppression d’une boîte aux lettres depuis la console EMC (Exchange Management Console), l’administrateur Exchange est informé que la suppression de la boîte aux lettres entraînera la suppression du compte utilisateur dans Active Directory, ce qui n’est pas forcément l’opération souhaitée.

Avec la protection de l’objet dans Active Directory, en confirmant le message précédent, l’administrateur Exchange aura une erreur d’exécution en retour. Bien entendu, s’il tente de supprimer la boîte aux lettres et le compte associé depuis EMS (Exchange Management Shell), la commande se solde également par un échec. Au passage, voici le groupe de commandes qui aurait dû être réalisé par l’administrateur Exchange pour supprimer la boîte aux lettres inutilisée sans supprimer le compte d’utilisateur associé.

Toutefois, imaginons pour la suite de notre démonstration, que notre administrateur Exchange soit aussi administrateur du domaine Active Directory 2008 R2, et qu’il n’a pas mis en place la protection des objets Active Directory ou qu’il ait retiré la protection pour supprimer l’objet.

iTPro.fr - La rédaction
Le comité éditorial du site iTPro.fr est composé de journalistes informatiques, experts et contributeurs spécialistes des services, solutions et technologies informatiques d’entreprise.

Découvrez et évaluez les solutions de Cloud Privé MicrosoftAccédez aux solutions informatiques les plus avancées, bénéficiez d'une orchestration inédite de vos processus, d'une infrastructure souple, évoluant à la demande et selon vos besoins pour transformer vos datacenters en véritables centres de services au cœur de l'entreprise.Bénéficiez de ressources exclusives