Par Joseph Neubauer. Mise en ligne : 08 Novembre 2006, Parution Exchange Magazine : Septembre 2005.
Les phases de mise en place et de gestion des boîtes aux lettres des employés font l’objet d’une réflexion approfondie, ce qui n’est pas franchement le cas lorsqu’il s’agit de décider du sort des boîtes aux lettres des personnes quittant l’entreprise. Votre première pensée sera peut-être de supprimer les boîtes aux lettres en question, mais cette solution n’est pas forcément la plus judicieuse, du moins pas dans l’immédiat. Dans certains cas, par exemple, il peut être avantageux de masquer immédiatement la boîte aux lettres ; dans d’autres, il pourra être plus intéressant de la laisser visible, mais d’empêcher qu’elle reçoive de nouveaux messages.La gestion de la boîte aux lettres d’un ancien employé est une bonne idée pour maintes raisons. Celle-ci peut contenir des messages et documents importants, avec le risque, si elle est supprimée, de perdre des devis ou propositions liées à des projets en cours, ou encore des messages importants non ouverts. Si l’employé organisait des réunions régulières, les ressources associées telles que les salles de conférence et les équipements ont probablement été réservés pour des tranches horaires spécifiques. Vous ne pouvez pas simplement transférer les objets de planification Exchange qui définissent les heures et ressources de réunion vers un autre employé ; le responsable de la réunion quel qu’il soit doit envoyer de nouvelles invitations. Par ailleurs, la plupart des organisations utilisent une forme ou une autre de réservation directe ou de planification automatique des ressources. Par conséquent, si le nouvel organisateur souhaite maintenir une réunion à la date prévue initialement et employer les mêmes ressources, il faut annuler la réunion d’origine. En cas de suppression de la boîte aux lettres, vous ne serez pas en mesure d’envoyer des notifications d’annulation de réunion. De plus, lorsqu’un employé quitte l’entreprise, il est important que ses contacts en soient informés et sachent qui le remplacera. La noncommunication de ces informations peut générer des problèmes avec les clients ou l’extérieur. Enfin, votre décision sur le sort des boîtes aux lettres a une incidence sur les ressources système.
Neuf configurations et options Exchange peuvent vous aider à trouver un compromis entre le bon fonctionnement, la stabilité du système et les ressources lors de la fermeture de boîtes aux lettres. Vous n’utiliserez probablement pas toutes ces configurations ensemble, mais en appliquerez initialement quelques-unes à chaque boîte aux lettres et emploierez une combinaison des autres pour la mise hors service des boîtes aux lettres au fil du temps.
Fermeture de boîtes aux lettres Exchange
Vous devez déterminer la durée de conservation en ligne des boîtes aux lettres fermées. La version d’Exchange exécutée et la durée pendant laquelle d’autres personnes doivent accéder au contenu de la boîte aux lettres, notamment les calendriers, pèsera sur votre décision. Si vous exécutez Exchange 2000 Server ou une version plus récente, un compte Active Directory (AD) supprimé entraîne automatiquement l’ajout d’un indicateur de suppression pour la boîte aux lettres. Celle-ci est alors conservée dans la banque Exchange pendant un délai appelé fenêtre de récupération de boîte aux lettres. Par défaut, ce délai est de 30 jours après la suppression du compte dans AD, mais cette valeur est modifiable. Même si la boîte aux lettres réside dans la banque, elle n’est pas accessible et vous devez avoir ce fait à l’esprit lorsque vous déterminez les procédures standard de fermeture de comptes AD. Si d’autres employés doivent accéder à la boîte aux lettres, il faudra recourir au Centre de récupération des boîtes aux lettres Exchange pour désactiver, et non supprimer, le compte en question. Tant que la fenêtre de récupération de boîte aux lettres n’a pas expiré, vous pouvez réactiver le compte en le rattachant à un nouveau compte AD. (Pour plus d’informations sur le rattachement d’un compte, consultez les articles Microsoft « How to recover or to restore a single mailbox in Exchange Server 2003 », à cette adresse, et « How to Recover or Restore a Single Mailbox in Exchange 2000 Server », à celle ci.) Ce processus fournit un mécanisme de sécurité ou tampon pour les inévitables demandes de dernière minute concernant l’accès aux boîtes aux lettres.
Bien que vous puissiez récupérer une boîte aux lettres en la réassociant à un nouveau compte AD dans Exchange 2000 et les versions ultérieures, je conseille de ne pas supprimer immédiatement le compte AD. Microsoft a simplifié le processus de réassociation, mais il est toujours plus aisé de désactiver dans un premier temps le compte, puis éventuellement de le supprimer par la suite. Je suggère une désactivation pour une période de 60 jours. Ensuite, une fois le délai expiré, supprimez le compte au moyen de la fenêtre de récupération de boîte aux lettres de 30 jours. Cette approche facilite les accès pendant la période de transition suivant le départ d’un employé, tout en vous permettant de récupérer au final les ressources. Si vous avez besoin d’un mécanisme simple de suivi pour les comptes à réexaminer en vue de leur suppression, créez 12 unités d’organisation (OU) dans AD, une pour chaque mois. Lorsque vous désactivez un compte, déplacez-le vers l’OU du mois au cours duquel il devra être supprimé. Le dernier jour de chaque mois, supprimez tous les comptes figurant dans l’OU correspondante. Par exemple, si vous désactivez un compte en mars et si vous souhaitez le conserver 60 jours, faites-le glisser vers l’OU de mai. Ensuite, le dernier jour du mai, supprimez tous les comptes de l’OU. Cette méthode vous permet de gérer les situations spéciales dans lesquelles les boîtes aux lettres doivent rester en ligne plus longtemps que la durée de la fenêtre standard, sans pour autant les laisser ainsi indéfiniment.
Si vous exécutez Exchange Server 5.5, les suppressions du compte de domaine et de la boîte aux lettres sont deux opérations distinctes. Lorsque vous supprimez le premier, la boîte aux lettres demeure active dans la banque d’informations ; vous devez recourir au programme Administrateur de Exchange Server pour la supprimer. Lors de la suppression du compte de domaine, le compte principal de la boîte aux lettres n’existe plus. Mais tout autre compte disposant des droits correspondants peut encore accéder à son contenu. Par ailleurs, Exchange 5.5 ne possède pas de fenêtre de récupération pour réactiver une boîte aux lettres supprimée. Si vous souhaitez récupérer le contenu une fois la suppression effectuée, il faudra restaurer l’intégralité de la banque d’informations sur un serveur de récupération. Je recommande généralement une fenêtre de récupération de 60 jours pour les environnements Exchange 5.5.
J’utilise aussi une astuce pour réexaminer les boîtes aux lettres Exchange 5.5. Bien que l’approche ne soit pas aussi simple que les unités d’organisation AD, cette opération n’est pas trop longue et peut même être automatisée. Créez 12 comptes de domaine désactivés, un pour chaque mois (par ex., DELEXCH-JAN, DELEXCH-FEB). Après avoir supprimé le compte de domaine d’origine de l’utilisateur, remplacez le compte Windows NT principal de la boîte aux lettres par le compte de domaine désactivé qui représente le mois de suppression souhaité de celle-ci. A la fin de chaque mois, vous pouvez exporter le répertoire de comptes vers un fichier .csv. Recherchez les comptes qui ont le compte DELEXCH du mois correspondant défini en tant que compte NT principal, puis utilisez une importation de fichier .csv pour supprimer les boîtes aux lettres en question.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
