5 votes

cpx avatar

Microsoft Exchange Server Permission Insight

Demandé el 9 de Novembre, 2014
Quand la question a-t-elle été
180 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

On vient de me confier la gestion de nos serveurs Exchange. La personne qui a installé et configuré nos serveurs Exchange 2010 n'a pas configuré les permissions correctement. J'ai remarqué que n'importe qui au sein de l'organisation peut ouvrir la boîte aux lettres d'un utilisateur sans qu'elle lui soit attribuée. C'est quelque chose que l'organisation n'a PAS reconnu comme un problème, mais en tant qu'administrateur réseau, c'est un problème de sécurité majeur.

Voici un exemple de ce dont je parle.

Un ingénieur débutant peut ouvrir la boîte aux lettres d'un autre ingénieur s'il le souhaite. Encore une fois, je n'ai PAS défini les permissions de cette façon.

Je suis en train de me documenter sur le serveur Exchange 2010 afin de bien comprendre tout cela. Cependant, j'ai besoin d'une solution rapide pour le moment. Comment puis-je définir des autorisations pour que quelqu'un comme un ingénieur débutant ne puisse pas ouvrir la boîte aux lettres d'un autre ingénieur ?

Demandé el 9 de Novembre, 2014 par cpx

1 votes

Avatar de ewwhite

"setup" n'est pas la même chose que "set up" .

Commenté el 9 de Novembre, 2014 par ewwhite

Réponse

Trop de publicités?

5voto

ewwhite avatar
ewwhite Points 193555

Veuillez afficher la liste des groupes AD auxquels appartient cet "ingénieur débutant".

Dans la console de gestion Exchange, sélectionnez un utilisateur représentatif et sélectionnez "Manage Full Access Permission". Cela devrait ressembler à ceci :

enter image description here

Si d'autres utilisateurs ou groupes sont présents dans cette boîte de dialogue, c'est là que vous devrez commencer à supprimer l'accès.

C'est quelque chose que l'organisation n'a PAS reconnu comme un problème mais en tant qu'administrateur réseau, c'est un problème de sécurité majeur.

D'un point de vue politique, cependant, ne venez pas dans les fusils se déchaînent pour signaler ce que l'administration précédente a fait de manière incorrecte. Il peut y avoir une raison pour laquelle ce type d'accès a été activé. Vous aurez l'air d'un abruti si vous poursuivez cette démarche sans connaître tout le contexte.

Par exemple, je gère ~38 systèmes de messagerie Exchange pour une variété de clients. Dans certains environnements, des directeurs ou des chefs de service non techniques demandent l'accès aux boîtes aux lettres pour leurs utilisateurs. Je ne pense pas tout l'environnement donne la présomption de la confidentialité des e-mails sur les systèmes de l'entreprise. Les sites plus avancés utilisent la journalisation pour parvenir au même résultat. Il faut donc connaître toute l'histoire avant d'en faire une croisade...

Répondu el 9 de Novembre, 2014 par ewwhite (193555 Points )

0 votes

Avatar de Rob Moir

Je n'aime pas voir de telles configurations, mais j'y tiens beaucoup. "Il faut connaître toute l'histoire avant d'en faire une croisade. Il est intéressant de noter qu'une installation normale n'est pas paramétrée de la sorte par défaut, il doit donc s'agir d'un changement conscient après l'installation, et non d'une personne qui a coché la mauvaise case dans un assistant de configuration.

Commenté el 9 de Novembre, 2014 par Rob Moir

0 votes

Avatar de cpx

L'histoire est la suivante : l'homme n'a pas de formation informatique et est ingénieur civil. Il ne savait vraiment pas ce qu'il faisait, mais le serveur de messagerie a fonctionné. Encore une fois, nous sommes une petite entreprise qui a finalement décidé d'embaucher un administrateur informatique (moi qui étais administrateur de réseau), mais l'une des rares choses pour lesquelles je n'ai pas d'expérience est la mise en place d'un serveur Exchange. Je me contenterai de lire et d'apprendre. Pour être honnête, ce qui précède ne m'a pas aidé. Je suis sûr que vous avez raison dans votre réponse (d'où le vote vers le haut), mais comme je l'ai dit, les choses sont plutôt "confuses". Je vais créer deux boîtes aux lettres de test et continuer à partir de là. Merci pour votre aide !

Commenté el 10 de Novembre, 2014 par cpx

1 votes

Avatar de ewwhite

Avez-vous de l'expérience en matière d'Active Directory ? Certaines des mêmes règles de sécurité s'appliquent. Prenez un utilisateur débutant et examinez les groupes auxquels il appartient. Croisez-les avec le dialogue affiché dans ma réponse.

Commenté el 10 de Novembre, 2014 par ewwhite
Afficher 2 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X