Un planning de migration en bonne et due forme peut faciliter de manière spectaculaire la migration d’Exchange 5.5 vers Exchange Server 2003 (voire d’Exchange 2000 Server vers Exchange 2003). Dans l’article « Planifiez votre migration en douceur » (page 28 dans ce numéro), j’explique en quoi il est important de tenir compte des relations d’autorisations entre les boîtes aux lettres lorsque vous souhaitez concevoir un planning de migration. Je démontrais également comment employer l’Administrateur Microsoft Exchange (Microsoft Exchange Administrator) et le programme MBInfo (Mailbox Information Program) pour générer une sortie susceptible de vous aider à évaluer les relations d’autorisations entre les boîtes aux lettres.Maintenant que vous avez eu un peu de temps pour expérimenter les concepts et les outils, nous allons présenter quelques procédures et un script permettant d’interpréter la sortie résultante. Cette dernière vous aidera à établir les relations d’autorisations entre les boîtes aux lettres, en vue d’élaborer, puis d’exécuter votre planning de migration.
De l’art de la bonne migration
Lorsque vous employez l’Administrateur Microsoft Exchange pour exporter des informations du Service Annuaire Exchange 5.5 (Directory Service), l’outil génère une sortie dans cinq champs, comme illustré à la figure 1. Les champs Obj-Class et Directory Name sont des éléments nécessaires de tout export, mais ils ne sont pas utilisés pour l’évaluation des autorisations. Le champ Obj-Dist-Name, qui contient le nom d’Annuaire complet de la boîte aux lettres, n’est d’aucune utilité pour évaluer les relations entre boîtes aux lettres, mais sert à créer les listes d’utilisateurs à migrer ensemble. Pour évaluer les autorisations, nous allons employer les champs Primary Windows NT Account et Obj-Users.
Le champ Primary Windows NT Account liste le compte de domaine du propriétaire de la boîte aux lettres, ou utilisateur principal. Le champ Obj-Users répertorie tous les comptes de domaine (y compris Primary Windows NT Account et les groupes de sécurité) disposant d’un accès utilisateur à la boîte aux lettres. Par exemple, la figure 1 inclut des entrées pour les boîtes aux lettres de ressources de salle de conférence, notamment la ressource de salle 4311 WO4311CONF (ligne 6) et la ressource de salle 4322 WO4322CONF (ligne 7). Le nom des comptes de domaine principaux pour ces entrées est identique au nom d’Annuaire de la boîte aux lettres (par ex., HQ\WO4311CONF). En examinant les champs Obj-Users, vous pouvez déterminer que la ressource de salle 4311 est le seul compte associé à la boîte aux lettres de salle 4311, mais le compte de domaine HQ\MCCARYW a le même niveau d’accès à la ressource de salle 4322 que le compte principal. Il convient de noter deux autres points à propos du champ Obj-Users : l’utilisateur principal n’est pas forcément répertorié en premier dans la liste de comptes et plusieurs comptes disposant d’un accès sont séparés par un signe de pourcentage (%).
Les champs Primary Windows NT Account et Obj-Users peuvent aussi être vides ou contenir ?\UNKNOWN. Un champ vide signale généralement un compte de domaine qui a été supprimé et ?\UNKNOWN signifie que l’Administrateur Microsoft Exchange n’a pas réussi à apparier le SID qu’il a extrait de l’Annuaire Exchange avec un compte de domaine (s’explique habituellement par le fait que le compte ou domaine n’existe plus).
Téléchargez cette ressource
Rapport Forrester sur les services de réponse aux incidents de cybersécurité
Dans ce rapport, basé sur 25 critères, Forrester Consulting passe au crible les 14 principaux fournisseurs de services de réponse aux incidents de cybersécurité du marché. Cette analyse complète permet aux professionnels de la sécurité et de la gestion des risques d’évaluer et de sélectionner les solutions les plus adaptées à leurs besoins.
