Un planning de migration en bonne et due forme peut faciliter de manière spectaculaire la migration d’Exchange 5.5 vers Exchange Server 2003 (voire d’Exchange 2000 Server vers Exchange 2003). Dans l’article « Planifiez votre migration en douceur » (page 28 dans ce numéro), j’explique en quoi il est important de tenir compte des relations d’autorisations entre les boîtes aux lettres lorsque vous souhaitez concevoir un planning de migration. Je démontrais également comment employer l’Administrateur Microsoft Exchange (Microsoft Exchange Administrator) et le programme MBInfo (Mailbox Information Program) pour générer une sortie susceptible de vous aider à évaluer les relations d’autorisations entre les boîtes aux lettres.Maintenant que vous avez eu un peu de temps pour expérimenter les concepts et les outils, nous allons présenter quelques procédures et un script permettant d’interpréter la sortie résultante. Cette dernière vous aidera à établir les relations d’autorisations entre les boîtes aux lettres, en vue d’élaborer, puis d’exécuter votre planning de migration.
De l’art de la bonne migration
Lorsque vous employez l’Administrateur Microsoft Exchange pour exporter des informations du Service Annuaire Exchange 5.5 (Directory Service), l’outil génère une sortie dans cinq champs, comme illustré à la figure 1. Les champs Obj-Class et Directory Name sont des éléments nécessaires de tout export, mais ils ne sont pas utilisés pour l’évaluation des autorisations. Le champ Obj-Dist-Name, qui contient le nom d’Annuaire complet de la boîte aux lettres, n’est d’aucune utilité pour évaluer les relations entre boîtes aux lettres, mais sert à créer les listes d’utilisateurs à migrer ensemble. Pour évaluer les autorisations, nous allons employer les champs Primary Windows NT Account et Obj-Users.
Le champ Primary Windows NT Account liste le compte de domaine du propriétaire de la boîte aux lettres, ou utilisateur principal. Le champ Obj-Users répertorie tous les comptes de domaine (y compris Primary Windows NT Account et les groupes de sécurité) disposant d’un accès utilisateur à la boîte aux lettres. Par exemple, la figure 1 inclut des entrées pour les boîtes aux lettres de ressources de salle de conférence, notamment la ressource de salle 4311 WO4311CONF (ligne 6) et la ressource de salle 4322 WO4322CONF (ligne 7). Le nom des comptes de domaine principaux pour ces entrées est identique au nom d’Annuaire de la boîte aux lettres (par ex., HQ\WO4311CONF). En examinant les champs Obj-Users, vous pouvez déterminer que la ressource de salle 4311 est le seul compte associé à la boîte aux lettres de salle 4311, mais le compte de domaine HQ\MCCARYW a le même niveau d’accès à la ressource de salle 4322 que le compte principal. Il convient de noter deux autres points à propos du champ Obj-Users : l’utilisateur principal n’est pas forcément répertorié en premier dans la liste de comptes et plusieurs comptes disposant d’un accès sont séparés par un signe de pourcentage (%).
Les champs Primary Windows NT Account et Obj-Users peuvent aussi être vides ou contenir ?\UNKNOWN. Un champ vide signale généralement un compte de domaine qui a été supprimé et ?\UNKNOWN signifie que l’Administrateur Microsoft Exchange n’a pas réussi à apparier le SID qu’il a extrait de l’Annuaire Exchange avec un compte de domaine (s’explique habituellement par le fait que le compte ou domaine n’existe plus).
Téléchargez cette ressource
Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Adopter l’IA augmenterait le PIB mondial à l’horizon 2035
- Renouvellement des certificats SSL tous les 45 jours : une mise en œuvre impossible sans automatisation ?
- Palo Alto Networks s’engage sur la cyber solidarité
- Recrudescence des cyberattaques pilotées par l’IA
- Quelles salles de réunion renforcent la dynamique et la confiance d’équipe ?
