Partager via


Procédure de configuration de l'administration inter-forêts

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2010-09-20

Cette rubrique décrit l'utilisation de Setup.com pour activer l'administration inter-forêts. Vous pouvez utiliser cette procédure si vous disposez d'un compte d'utilisateur dans une forêt devant administrer Microsoft Exchange Server 2007 dans une autre forêt. Utilisez cette procédure dans les scénarios suivants :

  • La forêt de ressources est un scénario courant dans lequel vous avez une forêt (forêt de comptes d'utilisateur) qui ne contient aucun serveur Exchange et une forêt distincte pour l'organisation Exchange.

  • Le scénario inter-forêts classique avec plusieurs forêts Exchange est un scénario dans lequel un utilisateur d'une forêt administre Exchange dans les deux forêts. Un utilisateur d'une forêt peut également administrer Exchange dans l'autre forêt, mais pas dans les deux forêts.

Pour administrer les serveurs, propriétés et destinataires Exchange, l'appartenance à l'un des rôles d'administrateur Exchange suivants doit être déléguée à l'administrateur :

  • Administrateur d'organisation Exchange

  • Administrateur de dossiers publics Exchange

  • Administrateur des destinataires Exchange

  • l'Administrateur Exchange - Affichage seul

Notes

Le rôle Administrateur de dossiers publics Exchange n'existe pas dans la version de publication (RTM) d'Exchange 2007. Il existe uniquement dans Exchange 2007 Service Pack 1 (SP1).

Toutefois, vous ne pouvez pas ajouter d'utilisateur d'une forêt différente à un rôle d'administrateur Exchange. Pour administrer les serveurs Exchange 2007 dans la Forêt B à l'aide d'un compte d'utilisateur de la Forêt A, vous devez procéder comme suit :

  1. S'ils n'existent pas, créez des rôles d'administrateur Exchange parallèles dans la Forêt A.

  2. Utilisez Setup.com avec le paramètre ForeignForestFQDN pour octroyer des autorisations sur les objets de la Forêt B aux rôles de la Forêt A.

  3. Ajoutez des utilisateurs dans la Forêt A aux rôles d'administrateur Exchange parallèles créés dans la Forêt A.

État initial

État de départ - activation de l'administration inter-forêts

Phase 1 : création de rôles Administrateur Exchange parallèles dans la Forêt A

Phase 1 : activation de l'administration inter-forêts

Phase 2 : octroi d'autorisations

Phase 2 : activation de l'administration inter-forêts

Phase 3 : ajout d'un utilisateur aux rôles Exchange dans la Forêt A

Phase 3 : activation de l'administration inter-forêts

importantImportant :
Une fois l'administration inter-forêts configurée, l'exécution d'actions du programme d'installation d'Exchange dans une forêt à l'aide d'un compte d'utilisateur dans une autre forêt n'est pas prise en charge. Par exemple, l'ajout de rôles serveur, la suppression de rôles serveur ou la récupération d'un serveur dans une forêt via un compte d'utilisateur dans une autre forêt ne sont pas pris en charge, même si vous avez configuré ce compte d'utilisateur pour l'administration inter-forêts.

Notes

Pour créer les rôles d'administrateur Exchange, vous devez utiliser Utilisateurs et ordinateurs Active Directory pour créer des groupes. Sélectionnez Universel pour la portée de groupe et Sécurité pour le type de groupe. Pour plus d'informations, consultez la rubrique Considérations relatives aux autorisations.

Avant de commencer

Assurez-vous que le niveau fonctionnel de forêt est Microsoft Windows Server 2003 pour les deux forêts. Pour plus d'informations sur les niveaux fonctionnels d'Active Directory, consultez les informations de base sur les niveaux fonctionnels.

Créez une relation d'approbation de forêt bidirectionnelle entre les deux forêts. Pour obtenir la procédure détaillée, consultez la page relative à la création d'une approbation de forêt bidirectionnelle pour les deux côtés de l'approbation. Vous avez besoin de cette approbation pour configurer l'administration inter-forêts. Si vous vous trouvez dans un scénario de forêt de ressources, une fois cette procédure de configuration de l'administration inter-forêts achevée, vous pouvez revenir à une approbation unidirectionnelle de sorte que la forêt Exchange approuve la forêt des comptes d'utilisateur. N'oubliez pas que vous pouvez avoir besoin de l'approbation bidirectionnelle pour le partage de dossiers.

Notes

Assurez-vous que le type d'approbation est Forêt, pas Externe.

Dans la procédure suivante, la Forêt A est la forêt qui dispose d'un compte d'utilisateur qui doit administrer les serveurs Exchange 2007 dans une autre forêt. La Forêt B est la forêt avec des serveurs Exchange 2007 administrés par un utilisateur de la Forêt A.

Pour exécuter cette procédure dans la Forêt A, vous devez utiliser un compte auquel a été délégué :

  • l'appartenance au groupe Administrateurs d'entreprise dans la Forêt A.

Pour exécuter cette procédure dans la Forêt B, vous devez utiliser un compte auquel a été délégué :

  • l'appartenance au groupe Administrateurs d'entreprise dans la Forêt B.

Notes

Si vous avez un compte qui dispose de droits Administrateurs d'entreprise dans la Forêt A et la Forêt B, l'exécution de la commande Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com effectue automatiquement les étapes 2 à 7. Comme c'est toutefois peu probable, il est recommandé d'effectuer manuellement les étapes 2 à 7 pour créer les groupes universels de sécurité Exchange puis affecter des autorisations à ces groupes dans la Forêt A, avec un compte membre du groupe Administrateurs d'entreprise uniquement dans la Forêt A. Vous pouvez ensuite exécuter Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com dans la Forêt B avec un compte membre du groupe Administrateurs d'entreprise uniquement dans la forêt B.

importantImportant :
Les administrateurs doivent se connecter aux serveurs de la forêt de ressources à l'aide de l'authentification par nom d'utilisateur principal (UPN). Ils doivent également s'assurer que tous les suffixes UPN inhabituels sont enregistrés dans l'approbation de forêt afin qu'ils disposent d'un ticket Kerberos lorsqu'ils se connectent. Le ticket Kerberos est nécessaire pour permettre aux outils de gestion Exchange de se connecter au contexte d'appellation de la configuration dans la forêt de ressources. S l'authentification NTLM est utilisée (DOMAIN\USERNAME), la liaison LDAP dans les outils de gestion peut échouer si aucune connexion mise en cache au domaine de forêt du compte n'existe.

Procédure

Exchange 2007 SP1

Configuration de l'administration inter-forêts dans Exchange 2007 SP1

  1. Si vous êtes dans un scénario inter-forêts classique, avec Exchange installé dans la Forêt A et dans la Forêt B et si vous ne voulez pas que l'utilisateur de la Forêt A en charge de l'administration d'Exchange dans la Forêt B soit également un administrateur de la forêt A, renommez ou déplacez l'unité d'organisation et les groupes suivants de la Forêt A :

    • Groupes de sécurité Microsoft Exchange

    • Administrateurs d'organisation Exchange

    • Administrateurs de dossiers publics Exchange

    • Administrateurs des destinataires Exchange

    • Administrateurs Affichage seul d'Exchange

    Pour ce faire, vous devez utiliser l'une des méthodes suivantes :

    • renommer l'unité ou le groupe ;

    • déplacer l'unité ou le groupe vers une unité d'organisation différente ;

    • déplacer l'unité ou le groupe vers un domaine différent.

    Après avoir renommé ou déplacé ces groupes, ils disposent toujours des mêmes autorisations et appartenances et vous pouvez toujours administrer Exchange dans la Forêt A via les comptes qui sont membres de ces groupes.

    Si vous êtes dans un scénario inter-forêts classique, Exchange est installé dans les deux forêts (A et B) et vous voulez que l'utilisateur de la Forêt A administre Exchange dans les deux forêts, passez à l'étape 9.

    Si vous êtes dans un scénario de forêt de ressources, passez à l'étape 2.

  2. Dans le domaine racine de la Forêt A, créez l'unité d'organisation Groupes de sécurité Microsoft Exchange. Pour plus d'informations sur la création d'une unité d'organisation, consultez la page Créer une unité d'organisation.

  3. Dans l'unité d'organisation Groupes de sécurité Microsoft Exchange de la Forêt A, créez les groupes universels de sécurité suivants :

    • Administrateurs d'organisation Exchange.

    • Administrateurs de dossiers publics Exchange

    • Administrateurs des destinataires Exchange

    • Administrateurs Exchange - Affichage seul

    Pour plus d'informations, consultez la page relative à la création d'un groupe.

    Notes

    Assurez-vous de sélectionner Universel pour la portée de groupe et Sécurité pour le type de groupe.

  4. Dans la Forêt A, pour ajouter le groupe Administrateurs d'organisation Exchange au groupe Administrateurs des destinataires Exchange, procédez comme suit :

    1. Cliquez avec le bouton droit sur le groupe Administrateurs des destinataires Exchange, puis cliquez sur Propriétés.

    2. Sous l'onglet Membres, cliquez sur Ajouter.

    3. Dans Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Administrateurs d'organisation Exchange, puis cliquez sur OK.

    4. Cliquez sur OK dans la page Propriétés des administrateurs des destinataires Exchange.

  5. Dans la Forêt A, pour ajouter le groupe Administrateurs d'organisation Exchange au groupe Administrateurs de dossiers publics Exchange, procédez comme suit :

    1. Cliquez avec le bouton droit sur le groupe Administrateurs de dossiers publics Exchange, puis cliquez sur Propriétés.

    2. Sous l'onglet Membres, cliquez sur Ajouter.

    3. Dans Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Administrateurs d'organisation Exchange, puis cliquez sur OK.

    4. Cliquez sur OK dans la page Propriétés des administrateurs de dossiers publics Exchange.

  6. Dans la Forêt A, pour ajouter le groupe Administrateurs des destinataires Exchange au groupe Administrateurs Affichage seul d'Exchange, procédez comme suit :

    1. Cliquez avec le bouton droit sur le groupe Administrateurs Affichage seul d'Exchange, puis cliquez sur Propriétés.

    2. Sous l'onglet Membres, cliquez sur Ajouter.

    3. Dans Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Administrateurs des destinataires Exchange, puis cliquez sur OK.

    4. Cliquez sur OK dans la page Propriétés des administrateurs Affichage seul d'Exchange.

  7. Dans la Forêt A, pour ajouter le groupe Administrateurs de dossiers publics Exchange au groupe Administrateurs Affichage seul d'Exchange, procédez comme suit :

    1. Cliquez avec le bouton droit sur le groupe Administrateurs Affichage seul d'Exchange, puis cliquez sur Propriétés.

    2. Sous l'onglet Membres, cliquez sur Ajouter.

    3. Dans Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Administrateurs de dossiers publics Exchange, puis cliquez sur OK.

    4. Cliquez sur OK dans la page Propriétés des administrateurs Affichage seul d'Exchange.

  8. Dans Utilisateurs et ordinateurs Active Directory de la Forêt A, dans le menu Affichage, cliquez sur Fonctions avancées, puis procédez comme suit :

    1. Cliquez avec le bouton droit sur l'unité d'organisation Groupes de sécurité Microsoft Exchange, puis cliquez sur Propriétés.

    2. Sous l'onglet Sécurité, cliquez sur Avancé.

    3. Sous l'onglet Autorisations, sélectionnez Administrateurs d'organisation Exchange dans la liste Entrées d'autorisations, puis cliquez sur Modifier.

    4. Sous l'onglet Objet, dans la liste Appliquer à, sélectionnez Cet objet et tous les objets enfants.

    5. Dans la liste Autorisations, localisez Contrôle total, puis activez la case à cocher Autoriser.

    6. Cliquez sur OK.

    7. Sous l'onglet Autorisations, sélectionnez Administrateurs des destinataires Exchange, puis cliquez sur Modifier.

    8. Sous l'onglet Objet, dans la liste Appliquer à, sélectionnez Cet objet et tous les objets enfants.

    9. Dans la liste Autorisations, localisez Contrôle total, puis activez la case à cocher Autoriser.

    10. Cliquez sur OK.

    11. Sous l'onglet Autorisations, sélectionnez Administrateurs de dossiers publics Exchange, puis cliquez sur Modifier.

    12. Sous l'onglet Objet, dans la liste Appliquer à, sélectionnez Cet objet et tous les objets enfants.

    13. Dans la liste Autorisations, localisez Contrôle total, puis activez la case à cocher Autoriser.

    14. Cliquez sur OK.

    15. Sous l'onglet Autorisations, sélectionnez Administrateurs Affichage seul d'Exchange, puis cliquez sur Modifier.

    16. Sous l'onglet Objet, dans la liste Appliquer à, sélectionnez Cet objet et tous les objets enfants.

    17. Dans la liste Autorisations, localisez Contrôle total, puis activez la case à cocher Autoriser.

    18. Cliquez deux fois sur OK.

  9. Ouvrez une session dans la Forêt B à l'aide d'un compte membre du groupe Administrateurs d'entreprise dans la Forêt B, puis exécutez la commande suivante dans une fenêtre d'invite de commandes :

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com
    

    Cette commande vérifie que les groupes de sécurité universels Exchange dans la forêt A sont créés et que les autorisations sont correctement octroyées. Dans la Forêt B, la commande configure les entrées de contrôle d'accès (ACE) dans Active Directory sur les objets de configuration Exchange de sorte que les groupes de sécurité universels Exchange créés dans la Forêt A disposent de droits de configuration Exchange dans la Forêt B. Lorsque vous exécutez Setup /PrepareAD sans le paramètre ForeignForestFQDN, la commande crée les groupes de sécurité universels Exchange dans la forêt locale et définit les autorisations de ces groupes. L'ajout du paramètre ForeignForestFQDN indique que vous voulez octroyer aux groupes universels de sécurité Exchange d'une forêt étrangère l'autorisation de configuration d'Exchange dans la forêt où vous exécutez la commande.

  10. Pour vérifier que le programme d'installation a été correctement exécuté, procédez comme suit :

    1. Dans la Forêt B, cliquez avec le bouton droit sur le groupe universel de sécurité Serveurs Exchange, puis cliquez sur Propriétés.

    2. Sous l'onglet Sécurité, sous Noms de groupe ou d'utilisateur, sélectionnez Administrateurs d'organisation Exchange (<Domaine Forêt A\Administrateurs d'organisation Exchange>).

    3. Vérifiez que l'option Autoriser est sélectionnée pour l'autorisation Contrôle total.

    Notes

    Si le programme d'installation échoue en raison de droits d'accès insuffisants, vérifiez que vous avez correctement créé les groupes universels de sécurité dans la Forêt A, que les groupes sont correctement imbriqués et que le groupe Administrateurs d'organisation Exchange dispose du contrôle total de la nouvelle unité d'organisation et des trois nouveaux groupes universels de sécurité, puis effectuez l'étape 9 à nouveau.

  11. Pour administrer Exchange dans la Forêt B en utilisant un compte de la Forêt A, ajoutez le compte de la Forêt A à un ou plusieurs groupes universels de sécurité Exchange créés dans la Forêt A.

  12. (Facultatif) Passez d'une approbation bidirectionnelle à une approbation unidirectionnelle. Pour cela, supprimez l'approbation entrante bidirectionnelle avec la Forêt A. Pour obtenir la procédure détaillée, consultez la page relative à la suppression d'une approbation créée manuellement.

    Notes

    Assurez-vous de sélectionner Oui, supprimer l'approbation sur le domaine local et l'autre domaine.

    Notes

    Vous devez conserver l'approbation sortante.

  13. Dans Utilisateurs et ordinateurs Active Directory de la Forêt B, dans le menu Affichage, cliquez sur Fonctions avancées.

  14. (Facultatif) Si vous voulez que les administrateurs des destinataires de la Forêt A administrent les utilisateurs de la Forêt B, vous devez leur affecter manuellement les autorisations. Procédez comme suit :

    1. Dans Utilisateurs et ordinateurs Active Directory de la Forêt B, cliquez avec le bouton droit sur le conteneur Utilisateurs, puis cliquez sur Propriétés.

    2. Sous l'onglet Sécurité, cliquez sur Avancé.

    3. Sous Entrées d'autorisation, sélectionnez l'entrée dont le type est Autoriser, le nom Administrateurs des destinataires Exchange (<Domaine Forêt A\Administrateurs des destinataires Exchange>), et l'autorisation Spéciale, puis cliquez sur Modifier.

    4. Dans la page Entrée d'autorisation pour Utilisateurs, sous l'onglet Objets sous Autorisations, sélectionnez Autoriser pour les autorisations suivantes : Lister le contenu, Lire toutes les propriétés, Écrire toutes les propriétés, Autorisations de lecture, Créer des objets utilisateur, Supprimer des objets utilisateur.

    5. Cliquez sur OK.

    6. Dans la page Paramètres de sécurité avancés pour Utilisateurs, activez la case à cocher Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants, puis cliquez sur OK.

    noteRemarque :
    Cela permet d'affecter les autorisations nécessaires aux membres du groupe Administrateurs des destinataires Exchange dans la Forêt A pour modifier des objets du conteneur Utilisateur dans la Forêt B. L'exécution de la commande Setup /ForeignForestFQDN dans la Forêt B (étape 9) a permis d'octroyer aux utilisateurs des groupes de sécurité Exchange dans la Forêt A l'autorisation sur les propriétés Exchange de la Forêt B, mais pas sur les propriétés utilisateur Windows dans la Forêt B.
    Pour affecter des autorisations à d'autres groupes dans la Forêt A afin qu'ils puissent modifier des objets du conteneur Utilisateur dans la Forêt B, sélectionnez un autre groupe dans la page Paramètres de sécurité avancés pour Utilisateurs.
  15. (Facultatif) Si vous voulez que les administrateurs de la Forêt A aient l'autorisation d'utiliser la console de gestion Exchange et l'environnement de ligne de commande Exchange Management Shell sur un serveur Exchange de la Forêt B, vous devez octroyer manuellement les autorisations sur les répertoires Bin, Public et Scripts du répertoire Exchange Server de l'utilisateur. Procédez comme suit :

    1. Accédez au répertoire Exchange Server dans lequel Exchange est installé. Par défaut, il s'agit du répertoire %programfiles%\Microsoft\Exchange Server.

    2. Cliquez avec le bouton droit sur le répertoire Bin, puis cliquez sur Propriétés.

    3. Sous l'onglet Sécurité, cliquez sur Ajouter, puis entrez l'utilisateur ou le groupe auquel vous voulez octroyer les autorisations.

    4. Sous Autorisations pour <groupe ou utilisateur>, sélectionnez Autoriser pour l'autorisation Lecture & Exécution, puis cliquez sur OK.

    5. Cliquez avec le bouton droit sur le répertoire Public, puis cliquez sur Propriétés.

    6. Sous l'onglet Sécurité, cliquez sur Ajouter, puis entrez l'utilisateur ou le groupe auquel vous voulez octroyer les autorisations.

    7. Sous Autorisations pour <groupe ou utilisateur>, sélectionnez Autoriser pour l'autorisation Lecture & Exécution, puis cliquez sur OK.

    8. Cliquez avec le bouton droit sur le répertoire Scripts, puis cliquez sur Propriétés.

    9. Sous l'onglet Sécurité, cliquez sur Ajouter, puis entrez l'utilisateur ou le groupe auquel vous voulez octroyer les autorisations.

    10. Sous Autorisations pour <groupe ou utilisateur>, sélectionnez Autoriser pour l'autorisation Lecture & Exécution, puis cliquez sur OK.

    Notes

    Pour administrer Exchange dans la Forêt B, les utilisateurs dans la Forêt A doivent également être en mesure de se connecter à un serveur dans la Forêt B sur lequel Exchange ou les outils de gestion Exchange sont installés. Si vous ajoutez des utilisateurs dans la Forêt A au groupe Administrateurs de domaine ou au groupe Administrateurs local sur le serveur dans la Forêt B afin qu'ils puissent se connecter à un serveur dans la Forêt B, ils disposeront déjà des autorisations Lecture & Exécution sur les répertoires Bin, Public et Scripts. Vous pouvez également octroyer aux utilisateurs de la forêt A des autorisations spécifiques de connexion à un serveur à distance à l'aide du composant Services Terminal Server de Windows Server 2003.

Exchange 2007 RTM

Configuration de l'administration inter-forêts dans la version de publication RTM d'Exchange 2007

  1. Si vous êtes dans un scénario inter-forêts classique, avec Exchange installé dans la Forêt A et dans la Forêt B et si vous ne voulez pas que l'utilisateur de la Forêt A en charge de l'administration d'Exchange dans la Forêt B soit également un administrateur de la forêt A, vous devez renommer ou déplacer dans une autre unité d'organisation ou un autre domaine l'unité d'organisation et les groupes suivants de la Forêt A :

    • Groupes de sécurité Microsoft Exchange

    • Administrateurs d'organisation Exchange.

    • Administrateurs des destinataires Exchange

    • Administrateurs Exchange - Affichage seul

    Après avoir renommé ou déplacé ces groupes, ils disposent toujours des mêmes autorisations et appartenances et vous pouvez toujours administrer Exchange dans la Forêt A via les comptes qui sont membres de ces groupes.

    Si vous êtes dans un scénario inter-forêts classique, Exchange est installé dans les deux forêts (A et B) et vous voulez que l'utilisateur de la Forêt A administre Exchange dans les deux forêts, passez à l'étape 7.

    Si vous êtes dans un scénario de forêt de ressources, passez à l'étape 2.

  2. Dans le domaine racine de la Forêt A, créez l'unité d'organisation Groupes de sécurité Microsoft Exchange. Pour plus d'informations sur la création d'une unité d'organisation, consultez la page relative à la création d'une unité d'organisation.

  3. Dans l'unité d'organisation Groupes de sécurité Microsoft Exchange de la Forêt A, créez les groupes universels de sécurité suivants :

    • Administrateurs d'organisation Exchange.

    • Administrateurs des destinataires Exchange

    • Administrateurs Exchange - Affichage seul

    Pour plus d'informations, consultez la page relative à la création d'un groupe.

    Notes

    Assurez-vous de sélectionner Universel pour la portée de groupe et Sécurité pour le type de groupe.

  4. Dans la Forêt A, pour ajouter le groupe Administrateurs d'organisation Exchange au groupe Administrateurs des destinataires Exchange, procédez comme suit :

    1. Cliquez avec le bouton droit sur le groupe Administrateurs des destinataires Exchange, puis cliquez sur Propriétés.

    2. Sous l'onglet Membres, cliquez sur Ajouter.

    3. Dans Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Administrateurs d'organisation Exchange, puis cliquez sur OK.

    4. Cliquez sur OK dans la page Propriétés des administrateurs des destinataires Exchange.

  5. Dans la Forêt A, pour ajouter le groupe Administrateurs des destinataires Exchange au groupe Administrateurs Affichage seul d'Exchange, procédez comme suit :

    1. Cliquez avec le bouton droit sur le groupe Administrateurs Affichage seul d'Exchange, puis cliquez sur Propriétés.

    2. Sous l'onglet Membres, cliquez sur Ajouter.

    3. Dans Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Administrateurs des destinataires Exchange, puis cliquez sur OK.

    4. Cliquez sur OK dans la page Propriétés des administrateurs Affichage seul d'Exchange.

  6. Dans Utilisateurs et ordinateurs Active Directory de la Forêt A, dans le menu Affichage, cliquez sur Fonctions avancées, puis procédez comme suit :

    1. Cliquez avec le bouton droit sur l'unité d'organisation Groupes de sécurité Microsoft Exchange, puis cliquez sur Propriétés.

    2. Sous l'onglet Sécurité, sous Noms de groupe ou d'utilisateur, sélectionnez Administrateurs d'organisation Exchange.

    3. Sous Autorisations pour les administrateurs d'organisation Exchange, sélectionnez Contrôle total, puis cliquez sur OK.

    4. Cliquez avec le bouton droit sur le groupe Administrateurs d'organisation Exchange, puis cliquez sur Propriétés.

    5. Sous l'onglet Sécurité, sous Noms de groupe ou d'utilisateur, sélectionnez Administrateurs d'organisation Exchange.

    6. Sous Autorisations pour les administrateurs d'organisation Exchange, sélectionnez Contrôle total, puis cliquez sur OK.

    7. Cliquez avec le bouton droit sur le groupe Administrateurs des destinataires Exchange, puis cliquez sur Propriétés.

    8. Sous l'onglet Sécurité, sous Noms de groupe ou d'utilisateur, sélectionnez Administrateurs d'organisation Exchange.

    9. Sous Autorisations pour les administrateurs d'organisation Exchange, sélectionnez Contrôle total, puis cliquez sur OK.

    10. Cliquez avec le bouton droit sur le groupe Administrateurs Affichage seul d'Exchange, puis cliquez sur Propriétés.

    11. Sous l'onglet Sécurité, sous Noms de groupe ou d'utilisateur, sélectionnez Administrateurs d'organisation Exchange.

    12. Sous Autorisations pour les administrateurs d'organisation Exchange, sélectionnez Contrôle total, puis cliquez sur OK.

  7. Ouvrez une session dans la Forêt B à l'aide d'un compte membre du groupe Administrateurs d'entreprise dans la Forêt B, puis exécutez la commande suivante dans une fenêtre d'invite de commandes :

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com
    

    Cette commande vérifie que les groupes universels de sécurité Exchange de la Forêt A sont créés et que les autorisations sont correctement attribuées. Dans la Forêt B, la commande configure les entrées de contrôle d'accès (ACE) dans Active Directory sur les objets de configuration Exchange de sorte que les groupes universels de sécurité Exchange créés dans la Forêt A disposent de droits de configuration d'Exchange dans la Forêt B. Lorsque vous exécutez Setup /PrepareAD sans le paramètre ForeignForestFQDN, la commande crée les groupes universels de sécurité Exchange dans la forêt locale et définit les autorisations de ces groupes. L'ajout du paramètre ForeignForestFQDN indique que vous voulez octroyer aux groupes universels de sécurité Exchange d'une forêt étrangère l'autorisation de configuration d'Exchange dans la forêt où vous exécutez la commande.

  8. Pour vérifier que le programme d'installation a été correctement exécuté, procédez comme suit :

    1. Dans la Forêt B, cliquez avec le bouton droit sur le groupe universel de sécurité Serveurs Exchange, puis cliquez sur Propriétés.

    2. Sous l'onglet Sécurité, sous Noms de groupe ou d'utilisateur, sélectionnez Administrateurs d'organisation Exchange (<Domaine Forêt A\Administrateurs d'organisation Exchange>).

    3. Vérifiez que l'option Autoriser est sélectionnée pour l'autorisation Contrôle total.

    Notes

    Si le programme d'installation échoue en raison de droits d'accès insuffisants, vérifiez que vous avez correctement créé les groupes universels de sécurité dans la Forêt A, que les groupes sont correctement imbriqués et que le groupe Administrateurs d'organisation Exchange dispose du contrôle total de la nouvelle unité d'organisation et des trois nouveaux groupes universels de sécurité, puis effectuez l'étape 7 à nouveau.

  9. Pour administrer Exchange dans la Forêt B en utilisant un compte de la Forêt A, ajoutez le compte de la Forêt A à un ou plusieurs groupes universels de sécurité Exchange créés dans la Forêt A.

  10. (Facultatif) Passez d'une approbation bidirectionnelle à une approbation unidirectionnelle. Pour cela, supprimez l'approbation entrante bidirectionnelle avec la Forêt A. Pour obtenir la procédure détaillée, consultez la page relative à la suppression d'une approbation créée manuellement.

    Notes

    Assurez-vous de sélectionner Oui, supprimer l'approbation sur le domaine local et l'autre domaine.

    Notes

    Vous devez conserver l'approbation sortante.

  11. Dans Utilisateurs et ordinateurs Active Directory de la Forêt B, dans le menu Affichage, cliquez sur Fonctions avancées.

  12. (Facultatif) Si vous voulez que les administrateurs des destinataires de la Forêt A administrent les utilisateurs de la Forêt B, vous devez leur affecter manuellement les autorisations. Procédez comme suit :

    1. Dans Utilisateurs et ordinateurs Active Directory de la Forêt B, cliquez avec le bouton droit sur le conteneur Utilisateurs, puis cliquez sur Propriétés.

    2. Sous l'onglet Sécurité, cliquez sur Avancé.

    3. Sous Entrées d'autorisation, sélectionnez l'entrée dont le type est Autoriser, le nom Administrateurs des destinataires Exchange (<Domaine Forêt A\Administrateurs des destinataires Exchange>), et l'autorisation Spéciale, puis cliquez sur Modifier.

    4. Dans la page Entrée d'autorisation pour Utilisateurs, sous l'onglet Objets sous Autorisations, sélectionnez Autoriser pour les autorisations suivantes : Lister le contenu, Lire toutes les propriétés, Écrire toutes les propriétés, Autorisations de lecture, Créer des objets utilisateur, Supprimer des objets utilisateur.

    5. Cliquez sur OK.

    6. Dans la page Paramètres de sécurité avancés pour Utilisateurs, activez la case à cocher Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants, puis cliquez sur OK.

    noteRemarque :
    Cela permet d'affecter les autorisations nécessaires aux membres du groupe Administrateurs des destinataires Exchange dans la Forêt A pour modifier des objets du conteneur Utilisateur dans la Forêt B. L'exécution de la commande Setup /ForeignForestFQDN dans la Forêt B (étape 7) a permis d'octroyer aux utilisateurs des groupes de sécurité Exchange dans la Forêt A l'autorisation sur les propriétés Exchange de la Forêt B, mais pas sur les propriétés utilisateur Windows dans la Forêt B.
    Pour affecter des autorisations à d'autres groupes dans la Forêt A afin qu'ils puissent modifier des objets du conteneur Utilisateur dans la Forêt B, sélectionnez un autre groupe dans la page Paramètres de sécurité avancés pour Utilisateurs.
  13. (Facultatif) Si vous voulez que les administrateurs de la Forêt A aient l'autorisation d'utiliser la console de gestion Exchange et l'environnement de ligne de commande Exchange Management Shell sur un serveur Exchange de la Forêt B, vous devez octroyer manuellement les autorisations sur les répertoires Bin, Public et Scripts du répertoire Exchange Server de l'utilisateur. Procédez comme suit :

    1. Accédez au répertoire Exchange Server dans lequel Exchange est installé. Par défaut, il s'agit du répertoire %programfiles%\Microsoft\Exchange Server.

    2. Cliquez avec le bouton droit sur le répertoire Bin, puis cliquez sur Propriétés.

    3. Sous l'onglet Sécurité, cliquez sur Ajouter, puis entrez l'utilisateur ou le groupe auquel vous voulez octroyer les autorisations.

    4. Sous Autorisations pour <groupe ou utilisateur>, sélectionnez Autoriser pour l'autorisation Lecture & Exécution, puis cliquez sur OK.

    5. Cliquez avec le bouton droit sur le répertoire Public, puis cliquez sur Propriétés.

    6. Sous l'onglet Sécurité, cliquez sur Ajouter, puis entrez l'utilisateur ou le groupe auquel vous voulez octroyer les autorisations.

    7. Sous Autorisations pour <groupe ou utilisateur>, sélectionnez Autoriser pour l'autorisation Lecture & Exécution, puis cliquez sur OK.

    8. Cliquez avec le bouton droit sur le répertoire Scripts, puis cliquez sur Propriétés.

    9. Sous l'onglet Sécurité, cliquez sur Ajouter, puis entrez l'utilisateur ou le groupe auquel vous voulez octroyer les autorisations.

    10. Sous Autorisations pour <groupe ou utilisateur>, sélectionnez Autoriser pour l'autorisation Lecture & Exécution, puis cliquez sur OK.

    Notes

    Pour administrer Exchange dans la Forêt B, les utilisateurs dans la Forêt A doivent également être en mesure de se connecter à un serveur dans la Forêt B sur lequel Exchange ou les outils de gestion Exchange sont installés. Si vous ajoutez des utilisateurs dans la Forêt A au groupe Administrateurs de domaine ou au groupe Administrateurs local sur le serveur dans la Forêt B afin qu'ils puissent se connecter à un serveur dans la Forêt B, ils disposeront déjà des autorisations Lecture & Exécution sur les répertoires Bin, Public et Scripts. Vous pouvez également affecter des autorisations spécifiques à des utilisateurs dans la Forêt A leur permettant de se connecter à un serveur à distance via le composant Services Terminal Server de Windows Server 2003.

Pour plus d'informations

Pour plus d'informations sur l'installation d'Exchange 2007 à l'aide de Setup.com depuis une fenêtre d'invite de commandes, consultez la rubrique Procédure d'installation d'Exchange 2007 en mode sans assistance.