Notre environnement Exchange Server 2010 est basé sur Active Directory 2008 R2. Plusieurs raisons ont justifié ce choix par rapport à la version précédente.
L’une de ces raisons est la possibilité de verrouiller un objet Active Directory et d’activer la fonctionnalité de corbeille Active Directory (en anglais : Active Directory Recycle Bin). Ces deux fonctions ont pour objet d’éviter les suppressions involontaires des objets Active Directory en les protégeant à deux niveaux, ce qui prend tout son sens avec Exchange Server comme vous allez le découvrir dans cet article
La protection des objets contre les suppressions accidentelles peut être appliquée à n’importe quel objet de l’annuaire Active Directory. Elle peut être activée manuellement à partir de l’objet que vous souhaitez protéger, en cochant la case. Il est à noter que la protection n’agit que sur l’objet ciblé, et n’inclut pas par défaut les objets enfants. Par exemple, si vous cochez la case pour une unité organisationnelle, la protection concerne la suppression de l’OU, mais les objets contenus à l’intérieur de cette OU restent supprimables.
Une fois protégé, si quelqu’un tente de supprimer l’objet depuis Active Directory, après avoir confirmé la suppression, le message suivant, lui indiquant que l’objet est protégé contre la suppression, apparaît. Toutefois, la suppression accidentelle d’objet Active Directory est souvent le fait d’une destruction involontaire au travers d’un outil tiers. Par exemple, si nous prenons Exchange Server, lors de la suppression d’une boîte aux lettres depuis la console EMC (Exchange Management Console), l’administrateur Exchange est informé que la suppression de la boîte aux lettres entraînera la suppression du compte utilisateur dans Active Directory, ce qui n’est pas forcément l’opération souhaitée.
Avec la protection de l’objet dans Active Directory, en confirmant le message précédent, l’administrateur Exchange aura une erreur d’exécution en retour. Bien entendu, s’il tente de supprimer la boîte aux lettres et le compte associé depuis EMS (Exchange Management Shell), la commande se solde également par un échec. Au passage, voici le groupe de commandes qui aurait dû être réalisé par l’administrateur Exchange pour supprimer la boîte aux lettres inutilisée sans supprimer le compte d’utilisateur associé.
Toutefois, imaginons pour la suite de notre démonstration, que notre administrateur Exchange soit aussi administrateur du domaine Active Directory 2008 R2, et qu’il n’a pas mis en place la protection des objets Active Directory ou qu’il ait retiré la protection pour supprimer l’objet.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Tech - Par
iTPro.fr - Publié le 12 janvier 2011
