Connexions Windows 2000 d’Exchange 2000

Le modèle d’autorisations d’Exchange
5.5 permet l’administration décentralisée,
qui vous donne la maîtrise au niveau
du site et reflète l’aspect groupe
de travail de NT et de Microsoft Mail
(MS Mail) – deux des principales influences
de conception sur la première
génération d’Exchange. Pour l’essentiel,
tout utilisateur dont le compte NT
a l’autorisation Administrator peut
conduire des activités Exchange 5.5 administratives,
comme installer de nouveaux
serveurs Exchange, pour un site
ou pour l’entreprise (selon le niveau
d’autorisation octroyé).

Dans Exchange 2000, la focalisation
se déplace du site à  l’organisation.
Ce changement se traduit par quelques
résultats importants. Exchange 2000 et
Win2K partagent le même modèle d’autorisations, qui s’articulent autour
des ACL Win2K. Les deux produits utilisent
des rôles pour recueillir des jeux
d’autorisations Win2K, que vous allouez
ensuite aux utilisateurs appelés à 
effectuer différents types d’opérations
administratives. En théorie, il semble
simple de travailler avec un jeu d’autorisations
(telles que contenues dans un
rôle) mais, en pratique, le nouveau
modèle peut compliquer le déploiement
d’Exchange.

Exchange 2000 vous permet d’attribuer
à  un compte utilisateur ou à  un
groupe l’un des trois rôles suivants :
Exchange Full Administrator, Exchange
Administrator, ou Exchange View Only
Administrator. Vous pouvez attribuer
les rôles, et donc déléguer le contrôle
au niveau du groupe administratif (lequel
est à  peu près équivalent à  un site
Exchange 5.5) ou au niveau de l’organisation,
auquel cas le compte ou le
groupe peuvent travailler avec les objets
de n’importe quel groupe administratif
de l’organisation. Comme son
nom l’indique, Exchange Full
Administrator est le rôle le plus puissant.
Quand vous exécutez /forestprep,
le programme d’installation attribue ce
rôle à  votre compte. Ce dernier est initialement
le seul à  tenir le rôle
d’Exchange Full Administrator, donc
vous devez attribuer le rôle aux
comptes des autres utilisateurs éventuels
si vous voulez qu’ils agissent
comme administrateurs à  part entière
dans l’organisation Exchange. (Pour
plus d’informations sur l’exécution de
/forestprep, voir « Interaction entre
Exchange 2000 et Win2K », mars 2002).
Un compte détenant le rôle Exchange
Full Administrator au niveau de l’organisation
peut installer et supprimer des serveurs, créer ou supprimer des
groupes administratifs, installer le KMS
(Key Management Server) et attribuer
des rôles – y compris Exchange Full
Administrator – aux autres comptes.
En fait, les seuls utilisateurs qui peuvent
installer, désinstaller, ou supprimer
et réintroduire des serveurs
Exchange 2000 sont ceux auxquels on
a alloué le rôle Exchange Full
Administrator au niveau de l’organisation.
Mais ce rôle est tellement puissant
qu’il ne faut l’attribuer – particulièrement
à  ce niveau – qu’au plus petit
nombre de comptes et de groupes
possibles. Dans les petites entreprises,
c’est une poignée de personnes qui
mettent en oeuvre les serveurs et installent
le logiciel, donc ce changement
ne pose pas de problème. Mais les
grandes entreprises sont confrontées à 
un choix difficile : attribuer le rôle à 
plus d’utilisateurs qu’il n’est raisonnable,
restreindre le nombre de personnes
pouvant installer Exchange, effectuer
des installations à  distance à 
partir d’un point central, ou octroyer
l’autorisation nécessaire pour une
courte période pendant l’installation.
Aucun de ces choix n’est entièrement
satisfaisant.