Embed Size (px)
Citation preview
Création Groupes de distributions dans l’Active Directory
I) Rappel sur les types de groupes Active Directory
Dans Active Directory, il est possible de créer des groupes de sécurité et des groupes de distribution. Les deux types de groupe, sécurité et distribution, peuvent être configurés comme des groupes de distribution Exchange Server.
Groupes de sécurité : Les groupes de sécurité Active Directory sont utilisés pour l'environnement de sécurité, comme donner des autorisations à des ressources réseau. Il est possible de configurer des groupes de sécurité comme des groupes de distribution Exchange Server et de les utiliser pour envoyer des e-mails à plusieurs utilisateurs. Envoyer un message à un groupe de distribution Exchange Server envoie le message à tous les membres du groupe qui sont des objets destinataires Exchange Server.
Groupes de distribution : Les groupes de distribution Active Directory sont utilisés uniquement pour envoyer des e-mails à des groupes d'utilisateurs. Il n'est pas possible d'attribuer des autorisations à des groupes de distribution. C'est pourquoi, il n'est pas possible d'utiliser le même groupe de distribution pour les besoins de messagerie et pour donner des accès à des ressources réseau. Les groupes de distribution Active Directory ne sont pas activés pour la messagerie par défaut.
Choisir le type de groupe
Certains administrateurs de messagerie décident de n'utiliser que des groupes de sécurité comme groupes de distributions Exchange Server. Cela permet de n'avoir à gérer qu'une seule liste de groupes pour l'accès aux ressources et les e-mails. Cela peut réduire l'effort de maintenance des groupes Active Directory. Par exemple il est plus simple de réutiliser le groupe de sécurité Finance en groupe de distribution Exchange Server plutôt que de maintenir un groupe de distribution universel et de devoir synchroniser la liste des membres à chaque fois.
Quand on utilise uniquement des groupes de sécurité comme groupes de distribution Exchange, il faut bien comprendre que les membres qui sont ajoutés au groupe de sécurité universel avec messagerie activée héritent aussi de tous les droits et autorisations affectés au groupe.
Si vos besoins en termes de distribution d'e-mails ne correspondent pas à vos groupes de sécurité, il vous faut utiliser des groupes de distribution. Par exemple vous voulez qu'un utilisateur reçoive les messages adressés au groupe de distribution Exchange "Direction", mais vous ne voulez pas que cet utilisateur obtienne les droits et autorisations affectés au groupe de sécurité "Direction".
1
II) Création d’un groupe de distribution manuelle
1. Dans Outils d’administration, cliquez sur Utilisateurs et ordinateurs Active Directory.
2. Dans l’arborescence de la console, double-cliquez sur le nœud de domaine.
Où ?
o Utilisateurs et ordinateurs Active Directory/Votre_Domaine (ici « egis.racine.local »)
3. Cliquez avec le bouton droit sur le dossier dans lequel vous voulez ajouter le groupe, pointez sur Nouveau, puis cliquez sur Groupe.
4. Dans la boîte de dialogue Nouvel objet - Groupe, tapez le nom de la liste de distribution sous Nom du groupe, sélectionnez l’étendue du groupe à utiliser, puis sélectionnez le type de groupe Distribution.
2
Considérations supplémentaires
Vous pouvez choisir de donner à votre liste de distribution une étendue universelle, globale ou domaine local de la manière suivante :
o Universelle. Les membres des groupes universels peuvent inclure d’autres groupes et comptes de n’importe quel domaine de l’arborescence de domaines ou de la forêt, et des autorisations peuvent leur être affectés dans n’importe quel domaine de l’arborescence de domaines ou de la forêt.
o Globale. Les membres des groupes globaux peuvent inclure d’autres groupes et comptes uniquement du domaine dans lequel le groupe est défini, et des autorisations peuvent leur être affectées dans n’importe quel domaine de la forêt.
o Domaine local. Les membres des groupes de domaine local peuvent inclure d’autres groupes et comptes de domaines Windows Server® 2008, Windows Server 2003 ou Windows 2000, et des autorisations peuvent leur être affectées uniquement dans un domaine.
Généralement, nous donnons une étendue universelle à notre groupe de distribution
Les listes de distribution Message Queuing sont des objets de groupe de distribution dans les services de domaine Active Directory.
Lorsque vous créez une liste de distribution dans les services de domaine Active Directory, vous êtes invité à spécifier les informations minimales nécessaires afin d’établir l’objet dans les services de domaine Active Directory. Chaque liste de distribution dispose de nombreuses autres propriétés (attributs) que vous pouvez définir. Une fois que vous avez créé une liste de distribution, vous pouvez afficher et modifier les valeurs de nombreux attributs supplémentaires.
Avec les listes de distribution, une opération unique envoie le même message à plusieurs destinations en dupliquant des paquets des expéditeurs aux destinataires. Pour des raisons de sécurité, il est conseillé d’utiliser des autorisations de sécurité pour l’objet de liste de distribution dans les services de domaine Active Directory afin de contrôler qui est autorisé à le gérer et à l’utiliser.
3
III) Création de groupes de distributions automatiquement :
« Groupes de distributions fondés sur une requête »
1. Dans Utilisateurs et ordinateurs Active Directory, dans l'arborescence de la console, cliquez avec le bouton droit sur le conteneur où vous souhaitez créer le groupe de distribution, pointez sur Nouveau, puis cliquez sur Groupe de distribution fondé sur une requête.
2. Dans Nom du groupe de distribution fondé sur une requête, tapez un nom pour le groupe de distribution, puis cliquez sur Suivant.
3. Dans la zone Appliquer le filtre aux destinataires ci-dessous, vérifiez que le conteneur parent affiché est celui dans lequel vous souhaitez que le groupe de distribution fondé sur une requête s'exécute. En cas d'erreur, cliquez sur Modifier pour sélectionner un autre conteneur.
4
Remarque :La requête retourne uniquement les destinataires dans le conteneur sélectionné et ses conteneurs enfants. Pour obtenir les résultats souhaités, vous devrez peut-être sélectionner un conteneur parent ou créer plusieurs requêtes.
4. Sous Filtre, sélectionnez l'une des options suivantes : o Pour filtrer la requête sur un ensemble de critères prédéfinis, cliquez sur
Inclure dans ce groupe de distribution fondé sur une requête, puis faites votre choix parmi les critères suivants :
- Utilisateurs avec boîte aux lettres Exchange
Activez cette case à cocher si vous souhaitez inclure les utilisateurs ayant des boîtes aux lettres. Les utilisateurs ayant des boîtes aux lettres Exchange sont ceux qui ont un compte de domaine d’utilisateur et une boîte aux lettres dans l’organisation Exchange.
- Utilisateurs avec adresses de messagerie externes
Activez cette case à cocher si vous souhaitez inclure les utilisateurs ayant des adresses de messagerie externes. Les utilisateurs ayant des comptes de messagerie externes ont des comptes de domaine utilisateur dans Active Directory mais utilisent des comptes de messagerie externes à l’organisation. Cela leur permet d’être inclus dans la liste d’adresses globale (LAG) et ajoutés aux listes de distribution.
- Groupes à extension messagerie
Activez cette case à cocher si vous souhaitez inclure les groupes de sécurité ou de distribution à extension messagerie. Les groupes à extension messagerie sont similaires aux groupes de distribution. Les messages électroniques envoyés à un compte de groupe à extension messagerie sont transmis à plusieurs destinataires.
- Contacts avec adresses de messagerie externes
Activez cette case à cocher si vous souhaitez inclure les contacts ayant des adresses de messagerie externes. Les contacts ayant des comptes de messagerie externes n’ont pas de comptes de domaine utilisateur dans Active Directory, mais l’adresse de messagerie externe est disponible dans la LAG.
5
- Dossiers publics à extension messagerie
Activez cette case à cocher si vous souhaitez inclure les boîtes aux lettres de ressources Exchange. Les boîtes aux lettres de ressources permettent d’administrer, via une boîte aux lettres, des ressources de société telles qu’une salle de conférence ou un véhicule de société.
o Pour créer vos propres critères pour la requête, cliquez sur Filtre personnalisé, puis sur Personnaliser.
5. Cliquez sur Suivant pour afficher une description résumée du groupe de distribution fondé sur une requête que vous êtes sur le point de créer.
6. Cliquez sur Terminer pour créer le groupe de distribution fondé sur une requête.
Le nouveau groupe de distribution fondé sur une requête s'affiche sous le conteneur que vous avez sélectionné à l'étape 3.
6
Description du processus de groupe de Distribution fondés sur une requêteEn raison de la nature dynamique du groupe de distribution, vous pouvez utiliser des groupes de distribution fondés sur une requête à un coût bien moindre d'administration. Toutefois, un groupe de distribution fondée sur une requête a un coût plus élevé de performances pour les requêtes qui produisent des résultats. Ce coût est en termes de ressources du serveur, telles que l'utilisation élevée du processeur et un jeu de travail accrue, étant donné que chaque message au groupe de distribution fondée sur une requête provoque une requête LDAP correspondante devait être exécutée sur le service d'annuaire Microsoft Active Directory pour déterminer son appartenance. Vous ne pouvez pas afficher l'appartenance à un groupe de distribution fondés sur une requête dans la liste d'adresses globale, car il est généré dynamiquement chaque fois que le courrier est envoyé. Toutefois, vous pouvez consulter la liste dynamique si vous cliquez droit sur le groupe de distribution, cliquez sur Propriétés, puis cliquez sur l'onglet Aperçu. .
Lorsqu'un message est envoyé à un groupe de distribution fondée sur une requête, Exchange traite légèrement différemment des messages destinés aux autres destinataires du message :
1. Un message est envoyé via le pilote de banque d'informations Exchange ou via SMTP Simple Mail Transfer Protocol () à la file d'attente de soumission.
2. Le catégoriser, un composant de transport qui est responsable de la résolution d'adresses, détermine que le destinataire est un groupe de distribution fondés sur une requête.
3. Le catégoriser envoie la demande de requête LDAP au serveur de catalogue global. 4. Le serveur de catalogue global exécute la requête, et puis elle renvoie l'ensemble
d'adresses qui correspondent à la requête. 5. Après avoir reçu l'ensemble des adresses qui correspondent à la requête, le catégoriser
génère une liste de destinataires contenant tous les utilisateurs. Le catégoriser doit
7
disposer de l'ensemble des destinataires avant de pouvoir soumettre le message pour le routage. Si une erreur se produit au cours de l'expansion du groupe de distribution fondés sur une requête à ses destinataires individuels, le catégoriser doit recommencer le processus.
6. Une fois que le catégoriser envoie la liste complète et étendue des destinataires pour le routage, le processus de remise de message standard continue, et le message est remise aux boîtes aux lettres des utilisateurs.
Le processus est légèrement différent si vous utilisez un serveur d'expansion dédié, un seul serveur est chargé uniquement de l'élargissement distribution groups, groupes de distribution fondés sur une requête. Dans ce cas, au lieu d'envoyer une requête au serveur de catalogue global pour l'expansion à l'étape 4, le message est tout d'abord routé vers le serveur d'expansion dédié. Une fois que le message arrive sur le serveur d'expansion, l'expansion se produit. La remise suit le même processus est décrit plus haut dans cet article.
Etendue des groupes Active Directory
Exchange 2010 n'autorise que les groupes Active Directory qui sont des groupes universels pour être utilisé en tant que groupes de distributions Exchange Server. L'appartenance aux groupes universels est publiée dans tous les serveurs de catalogue global de la forêt. Cela signifie que n'importe quel utilisateur dans n'importe quel domaine peut voir l'appartenance complète des groupes universels.
8
