Vous êtes sur la page 1sur 26

sebihiy.blogspot.

com

http://sebihiy.blogspot.com/2014/02/presentation-des-outils-dadministration.html

Prsentation des outils d'administration


Prsentation des outils dadministration
Les outils dadministration Exchange ont subi de multiples transformations au fil des versions. Au dbut calqus
sur le mode de stockage des paramtres de configuration, ils ont su voluer pour sadapter aux besoins des
administrateurs.
Exchange Server 2013 voit ainsi arriv un changement majeur dans la manire dadministrer linfrastructure de
messagerie en prsentant une console dadministration Web appele Centre dadministration Exchange dont
linterface et la navigation ont t refondues pour une meilleure intgration avec Office 365 notamment.
Une version adapte de cette console Web est mise la disposition des utilisateurs pour grer leur
environnement de messagerie en fonction de leurs droits.
Depuis Exchange Server 2007, le serveur de messagerie sappuie sur lenvironnement PowerShell et la version
2013 confirme cette orientation prise par Microsoft pour tous ses produits. Cela se matrialise par un
environnement PowerShell ddi Exchange 2013 appel Exchange Management Shell.
On notera aussi la prsence de la console Exchange Toolbox hrite des prcdentes versions et
assurant ladministration des paramtres ncessitant un client lourd ou nayant pas t migr vers le nouvel outil.
Historiquement, et ceci depuis plusieurs versions, Microsoft fait voluer les interfaces et les outils
dadministration dans les services pack et les cumulative updates mis disposition dans les mois suivant la sortie
du produit. Exchange Server 2013 suivra certainement ce chemin avec les prochains Service Packs qui
arriveront. Les administrateurs des prcdentes versions dExchange remarqueront rapidement que, bien que
pratique, la nouvelle console web noffre pas encore tout le raffinement que pouvait offrir la console
dadministration dExchange 2007 et Exchange 2010.

La console Centre dadministration Exchange


1. Prsentation de la console
La console Centre dadministration Exchange (EAC) se prsente sous la forme dun site Web pouvant tre mis
disposition des administrateurs facilement par le biais dune simple publication HTTP.
Compatible avec les principaux navigateurs prsents sur le march (Internet Explorer, Firefox, Chrome, Safari),
par dfaut, la console sera joignable par lintermdiaire de ladresse suivante :
Dans votre navigateur Internet, tapez ladresse https:///ecp/.

Il est noter que la connexion via le protocole HTTPS est obligatoire par dfaut pour garantir la scurit des
informations dauthentification. lusage, il sera ncessaire de personnaliser la configuration des certificats pour
quelle soit transparente pour les administrateurs.
Seuls les administrateurs habilits seront en mesure de sy connecter. Les utilisateurs seront redirigs le cas
chant sur la console de gestion des options de bote aux lettres que nous aborderons un peu plus loin dans ce
chapitre.
La console bnficie de limplmentation du SSL pour en scuriser lauthentification mais aussi pour garantir la
confidentialit des oprations qui seront ralises par les administrateurs. Par dfaut, le certificat utilis est autosign et il sera intressant de le remplacer par un certificat issu dune autorit de certification publique ou prive.
Les manipulations ncessaires seront abordes dans le chapitre sur limplmentation de la scurit.
Exchange 2013 se positionne comme le premier serveur de messagerie orient cloud de Microsoft. En
loccurrence, il bnficie dune intgration pousse avec son homologue hberg, Office 365 et offre des
passerelles permettant la mise en place dun environnement mixte sur site / dans le nuage. Ce point justifie
dautant plus le choix dune interface web pour ladministration qui offre ainsi une meilleure exprience utilisateur
pour les administrateurs.
La console Centre dadministration Exchange a pour objectif de grer les principaux composants
dinfrastructure et dadministration dExchange Server 2013.
Rappelons que la configuration de lorganisation Exchange se trouve historiquement dans la partition de
configuration Active Directory.
partir de lenvironnement de lancement Windows ou du menu Dmarrer, tapez ADSI, puis lancez loutil
Modification ADSI.
Dans la console Modification ADSI, cliquez sur le nud Modification ADSI partir de larborescence de
gauche puis sur Connexion.
Dans la fentre Paramtres de connexion, slectionnez Configuration dans le champ Slectionnez un
contexte dattribution de noms connu, puis cliquez sur OK.
Dans larborescence de gauche, naviguez jusquau conteneur CN=Configuration, DC=, DC= \ CN=Services \
Microsoft Exchange \ .
Observez et naviguez dans les diffrents conteneurs qui hbergent les paramtres de linfrastructure Exchange.

Quel que soit le serveur partir duquel la console va tre lance, la majeure partie des modifications des
paramtres seront enregistres dans la base de donnes Active Directory, dans la section rserve Exchange
dans la partition Configuration.
La console EAC est en ralit un frontal graphique qui sappuie sur les interfaces de programmation (API Application Programming Interface) des commandes PowerShell. Toutes les options de configuration dExchange
2013 nont pas t implmentes, et pour avoir accs lensemble des paramtres il faudra passer
obligatoirement par lenvironnement Exchange Management Shell.

2. Navigation dans la console


Afin de faciliter le parcours des diffrentes options, plusieurs mcanismes de navigation se superposent pour
structurer les donnes.

La console est automatiquement disponible en plusieurs langues. Le choix de la langue sera fait par chaque
utilisateur lors de la premire connexion et pourra tre modifi ultrieurement partir des paramtres de
configuration de chaque utilisateur.
Au premier niveau de la console, en haut gauche, on notera la possibilit de basculer facilement entre la
configuration de linfrastructure hberge sur site ENTREPRISE et linfrastructure hberge dans le nuage Office
365.
Un menu gauche, prsent en permanence, va permettre de basculer entre les diffrentes thmatiques de
linfrastructure.
Voici la liste des thmes du menu :
Destinataires : permet de grer les objets destinataires comme les botes aux lettres, les groupes, les
botes aux lettres de ressources, les contacts, les botes aux lettres partages et les travaux de migration
de botes aux lettres.
Autorisations : permet de grer la dlgation dadministration avec les rles administrateur et utilisateur
ainsi que les stratgies lies Outlook Web App.
Gestion de la conformit : permet de grer la dcouverte de mots spcifiques dans les messages et dy
appliquer des rgles de traitement, de raliser des rapports daudits, de mettre en place les stratgies de
protection de perte des donnes et de configurer des rgles de journalisation.
Organisation : permet la mise en place de la fdration, lajout et lapprobation dapplication ainsi que la
gestion des listes dadresse.
Protection : permet de grer les filtres de protection des messages (antivirus).
Flux de messagerie : permet de grer les rgles de transport et de remise des messages au sein de
linfrastructure et avec lextrieur, dadministrer les connecteurs denvoi et de rception.
Mobile : permet de grer les flottes mobiles associes au serveur Exchange par lintermdiaire
dActiveSync et de dployer des stratgies de scurit dessus.

Dossiers publics : permet de grer les dossiers publics ainsi que les botes aux lettres de dossier public.
Messagerie unifie : permet de configurer linterconnexion avec le systme de tlphonie afin
dimplmenter les fonctions de messagerie unifie (bote vocale, fax).
Serveurs : permet de grer les proprits spcifiques de chaque serveur Exchange, dadministrer les
bases de donnes et leur haute disponibilit, les rpertoires virtuels IIS des services Exchange et les
certificats.
Hybride : permet lintgration de linfrastructure Exchange 2013 Office 365.
Pour chaque thmatique, on trouvera une srie donglets reprsentant les sections de paramtrage suivi dune
barre doutils reprsente par des icnes et une liste des diffrents objets et paramtres que lon peut administrer.
Une srie dinformations et dactions utiles sera affiche contextuellement dans le panneau de droite selon le ou
les objets slectionns.
Un menu de notification apparat en haut droite de la console pour prvenir ladministrateur de lavance des
oprations lances en tches de fond.

La console Exchange Toolbox


La console Exchange Toolbox est un hritage de la console mmc du mme nom sous Exchange 2010.

Limite quelques fonctions ncessitant un client lourd ou nayant pas t port sur la console web, elle propose
les outils suivants :
Afficheur des files dattente : permet dafficher la file dattente SMTP et danalyser lorigine des
erreurs de remise des e-mails domaine par domaine. Ce module est trs souvent utilis pour dpanner les
services de transport.
Analyseur de connectivit distance : lance le site web du mme nom qui permet de valider la
connectivit extrieure du serveur Exchange mais aussi Lync, Office 365
(https://www.testexchangeconnectivity.com/).

diteur de modles dtaills : permet la personnalisation de linterface dadministration pour


chacune des langues.

La console Exchange Management Shell (EMS)


1. Prsentation de PowerShell
a. Les principes de base de lenvironnement PowerShell
PowerShell est un environnement dexcution de script trs puissant qui permet entre autres dautomatiser des
tches dans un environnement Windows. Il se prsente sous la forme dun environnement en ligne de commande
qui sapparente fortement aux diffrents shells que lon peut trouver dans le monde UNIX/Linux. En reprenant une
philosophie de base identique, il ajoute aux shells existants une rigueur dans la syntaxe des commandes et une
orientation plus marque destination des administrateurs.
Le principe de PowerShell est dutiliser de petites commandes simples appeles cmdlets que lon va combiner
laide de pipe pour crer des fonctions complexes et compltes, lobjectif tant dviter au maximum lutilisation de
boucles et lcriture dalgorithmes.
Les cmdlets utilisent toutes le mme formatage avec un verbe qui va dfinir le type daction raliser (New pour
nouveau, Get pour lister, Set pour modifier...) suivi du nom du type dobjets manipuler (Mailbox pour les botes
aux lettres, Eventlog pour les journaux dvnements...).

Dans la mesure o il a t conu pour tre utilis par des administrateurs, il sarticule autour dun concept simple
qui rgit la plupart des tches dadministrations savoir :
Lister les objets/lments/composants voulus (ex : lister toutes les botes aux lettres dune organisation).
Appliquer un filtre dessus (ex : ne garder que les botes aux lettres hberges sur un serveur spcifique).
Appliquer une opration dessus (ex : modifier le quota des botes aux lettres).
Dans ce contexte, PowerShell est trs efficace dans le traitement de masse et simple dapplication car les trois
oprations seront ralises en une seule ligne l o dautres systmes de scripting en demandent parfois des
dizaines.

b. Architecture de lenvironnement PowerShell


PowerShell est un langage orient objet. Lorsque lon rcupre une liste la suite dune commande, il ne sagit
pas dune simple liste mais bien dobjets avec leurs proprits et leurs mthodes en mmoire mme si elles ne
sont pas affiches.
Les commandes travaillant avec des objets typs, lenvironnement PowerShell permet denchaner les
commandes laide de pipelines tout en vrifiant la cohrence des informations qui sont passes.
Un pipeline permet un ensemble de cmdlets dchanger implicitement leurs paramtres. Les donnes qui
parcourent le pipeline passent par chaque cmdlets. Pour crer un pipeline, le caractre | est utilis. La sortie
de chaque cmdlets est utilise comme entre de la cmdlets suivante si le type de donne est compatible.
Le pipeline est sans doute le concept le plus intressant de PowerShell. Correctement utilis, il permet de
simplifier la saisie de commandes complexes, mais galement de simplifier la lecture du flux de donnes dans les
commandes.
Voici un exemple tape par tape :
PS > Get-DistributionGroup "ENI Trainers" | Get-DistributionGroupMember
| Set-Mailbox -ProhibitSendQuota 1MB
PowerShell rcupre lobjet reprsentant le groupe de distribution "ENI Trainers".
PowerShell rcupre la liste des utilisateurs membre du groupe de distribution "ENI Trainers".
PowerShell paramtre une limite denvoi de 1 Mo sur les botes lettres associes aux comptes
utilisateurs membres du groupe de distribution "ENI Trainers".
De plus, PowerShell est devenu quasi incontournable dans les produits Microsoft actuels ce qui est dautant plus
motivant pour commencer se former. Il sera ainsi lavenir facile de mettre en place dans un mme script des
interactions entre plusieurs produits.

Il est aussi possible de crer ses propres cmdlets afin de rendre facilement scriptable des applications qui ne sont
pas nativement ou officiellement prises en charges. Les bibliothques de commandes peuvent tre disponibles
sous forme de SnapIn (composants enfichables) ou de Modules. On retrouve beaucoup de bibliothques sur le
site Codeplex - http://www.codeplex.com
Lenvironnement PowerShell est aussi capable dexcuter des commandes classiques (ping, ipconfig, netsh),
de dialoguer avec des scripts batch, vbs ou autres et dutiliser nativement les assemblies .NET et les objets COM
pour tendre ses capacits.
Ces diffrentes extensions permettent de bnficier dans un mme script de la richesse et de la simplicit des
commandes natives PowerShell mais aussi de la puissance du Framework .NET et COM ainsi que de la
compatibilit des scripts utilisant des technologies plus anciennes.
Dans les diffrents environnements ddition, les commandes, les paramtres ainsi que certains attributs
bnficient de la compltion automatique laide de la touche de tabulation et un historique est disponible par la
touche [F7].
Une interface graphique appele PowerShell ISE (PowerShell Integrated Scripting Environment) permet la mise
au point de scripts plus complexes en offrant des fonctions IntelliSense ([Ctrl][Espace] menus contextuels de
compltion en cours dcriture), des Snipets par le raccourci [Ctrl] J (structure de code toute faite), un panneau
contenant toutes les commandes disponibles intgrant un assistant dcritures, et des fonctions de dbogage
([F9]) et de pas pas ([F10], [F11], [Shift][F11]).

c. Les commandes importantes de lenvironnement PowerShell


Pour trouver une commande, il est possible dutiliser la cmdlet Get-Command qui va lister lensemble des
cmdlets de lenvironnement. Il est ensuite possible dajouter un filtre pour affiner la recherche en utilisant des
caractres gnriques comme * (remplace un nombre de caractres indfini) et ? (remplace un seul caractre).
PS > Get-Command *Database*Group*
CommandType Name
----------- ---Function
Add-DatabaseAvailabilityGroupServer

ModuleName
---------exch-srv1.eni.lan

Function
Function
<...>
Function
Function
Function

Get-DatabaseAvailabilityGroup
exch-srv1.eni.lan
Get-DatabaseAvailabilityGroupConfiguration exch-srv1.eni.lan
Set-DatabaseAvailabilityGroupNetwork
Start-DatabaseAvailabilityGroup
Stop-DatabaseAvailabilityGroup

exch-srv1.eni.lan
exch-srv1.eni.lan
exch-srv1.eni.lan

Pour avoir plus de dtail sur une commande, il est possible dutiliser la cmdlet Get-Help que lon peut comparer
la commande man du monde unix/linux.
PS > Get-Help <cmdlet>
Plusieurs niveaux de dtail peuvent tre sollicits via la commande Get-Help en ajoutant les paramtres suivants
:
PS > Get-Help <cmdlet> -Detailed
Le paramtre -Detailed affiche en dtail toutes les informations concernant les proprits de la cmdlet.
PS > Get-Help <cmdlet> -Full
Le paramtre -Full affiche toutes les rubriques daide de la cmdlet.
PS > Get-Help <cmdlet> -Examples
Le paramtre -Examples affiche des exemples dutilisation de la cmdlet.
PS > Get-Help Get-Command -Parameter <paramtre>
Le paramtre -Parameter affiche toutes les informations concernant le paramtre voulu de la cmdlet.
La cmdlet Format-List est trs utile pour personnaliser le format de rendu des commandes Get de PowerShell.
Par exemple en affichant les proprits en liste.
PS > Get-Service schedule | Format-List -Property *
Voici quelques autres formats de sorties utilisables que vous pouvez tester :
PS > Get-Service | Format-List
PS > Get-Service | Format-Custom
PS > Get-Service | Format-Table
PS > Get-Service | Format-Wide
PS > Get-Service | Format-Table Name, Servicetype, Canshutdown

2. La console Exchange Management Shell


a. Prsentation de la console Exchange Management Shell
La console Exchange Management Shell (EMS) sappuie sur lenvironnement PowerShell et hrite des
caractristiques de ce dernier pour ladministration simplifie dExchange 2013. Exchange bnficie de
lintgration PowerShell depuis sa version 2007 afin de fournir une interface en ligne de commande pour
ladministration de linfrastructure.
Lintgralit des paramtres de configuration de lenvironnement Exchange 2013 est disponible via la console
Exchange Management Shell en opposition la console Web Exchange Administrative Console qui ne
possde quun jeu de paramtres de configuration limit.

La console Exchange Management Shell permet de raliser des tches rptitives (sous forme de script par
exemple) pour gagner du temps et rduire les erreurs. Ainsi il est possible dautomatiser des tches, pour la
maintenance des serveurs Exchange ou pour la cration de botes aux lettres utilisateurs en masse.
Lors de linstallation dExchange 2013, des cmdlets spcifiques sont mises disposition pour administrer
lenvironnement Exchange. Il est important de noter que, par dfaut, PowerShell ne possde quun nombre limit
de commandes et que la console Exchange Management Shell est le rsultat de lexcution de la commande
suivante :
C:\Windows\System32\WindowsPowerShell\1.0\powershell.exe -noexit
-command ". C:\Program Files\Microsoft\Exchange
Server\V15\bin\RemoteExchange.ps1; Connect-ExchangeServer -auto
-ClientApplication:ManagementShell "
Cette ligne ralise automatiquement trois oprations :
Charger lenvironnement PowerShell.
Charger la bibliothque RemoteExchange.ps1 qui contient les cmdlets Exchange.
Se connecter lorganisation Exchange laide de la commande Connect-ExchangeServer.
Pour afficher lensemble des cmdlets lies lenvironnement Exchange (944 commandes), ce qui inclut des
commandes gnriques des modules Microsoft.PowerShell.Management et Microsoft.PowerShell.Utility, il
suffit de taper la commande suivante :
PS > Get-ExCommand
Pour afficher lensemble des commandes spcifiques lenvironnement Exchange (770 commandes), il suffit de
taper la commande suivante :
PS > Get-Command -Module <fqdn du serveur>
Pour afficher lensemble des commandes disponibles dans lenvironnement (2284 commandes), il suffit de taper
la commande suivante :
PS > Get-Command

b. Exemples de commandes
Cet exemple nous renvoie la liste des botes aux lettres.
PS > Get-MailBox
Cet exemple configure ladresse mail externe de lutilisateur lthobois.

PS > Set-MailUser -Identity mmartineau -ExternalEmailAddress


lthobois@eni.fr
Cet exemple fournit une liste dutilisateurs sous la forme dune liste dtaillant les principaux paramtres.
PS > Get-MailBox | Format-List
Demande de dplacement de lensemble des utilisateurs de la base de donnes DB01 vers la base de donnes
DB02.
PS > Get-Mailbox -Database DB01 | New-MoveRequest -TargetDatabase DB02
Assignation dun responsable un ensemble de listes de distributions.
PS > Get-DistributionGroup | Where Name -like "*ENI*"
Set-DistributionGroup -ManagedBy "ENI\lthobois"

Suppression de lensemble des messages envoys par Brahim dans les files dattente :
PS > Get-Message | Where From -like "*brahim*" | Remove-Message

Ateliers : Exemples dutilisation de lenvironnement Exchange


Management Shell
1. Prsentation de linfrastructure ncessaire aux ateliers
Afin de raliser les ateliers suivants, il est ncessaire davoir les composants dinfrastructure suivants :
DC - Contrleur de domaine pour le domaine eni.lan sous Windows Server 2012 configur avec lespace
de noms DNS. Le serveur appel AD-DC1 est configur avec ladresse IP 172.16.1.1.
EXCH - Serveur de messagerie Exchange 2013 configur avec les rles botes aux lettres (MBX) et
accs clients (CAS). Le serveur appel EXCH-SRV1 est configur avec ladresse IP 172.16.1.21.
Afin de raliser certaines manipulations, il est ncessaire que les machines soient connectes Internet, par
lajout dune seconde carte (connecte directement sur Internet) ou par une passerelle permettant laccs vers
Internet.
La machine sur laquelle les manipulations doivent tre ralises est indique dans le titre entre crochets "[ ]".
2. Commandes de base de PowerShell
[DC] Formatage des informations dune cmdlet
Lancez lenvironnement Windows PowerShell partir de la barre des tches, puis excutez les commandes
suivantes :
La commande Get-Service renvoie la liste des objets services du serveur avec leurs tats, en ajoutant le "pipe"
vers la commande Get-Member, on liste lensemble des mthodes membres des objets retournes par GetService.
PS > Get-Service | Get-Member
En utilisant la cmdlet Format-List, on va pouvoir slectionner les proprits ainsi que leurs tats pour le service
Schedule.
PS > Get-Service Schedule | Format-List -Property *
Voici quelques autres formats de sorties utilisables :
PS > Get-Service | Format-List
PS > Get-Service | Format-Custom

PS > Get-Service | Format-Table


PS > Get-Service | Format-Wide
PS > Get-Service | format-table name, Servicetype, Canshutdown
On peut dans le cas de commande classique retournant du texte, faire un filtre pour rechercher une chane de
caractres prcise.
PS > ipconfig | findstr "Address"
[DC] Recherche daide sur les cmdlets
Dans lenvironnement Windows PowerShell, excutez les commandes suivantes :
Mise jour des contenus de laide :
Update-Help
Test des diffrents niveaux de dtails disponibles avec la commande Get-Help :
PS > Get-Help Get-Command
PS > Get-Help Get-Command -Detailed
PS > Get-Help Get-Command -Full
PS > Get-Help Get-Command -Examples
PS > Get-Help Get-Command -Parameter commandType
[EXCH] Test des commandes courantes
Dans lenvironnement Exchange Management Shell, excutez les commandes suivantes :
Lance lenregistrement des informations dune session PowerShell :
PS > Start-Transcript
Liste les commandes de base des cmdlets et des autres commandes PowerShell :
PS > Get-Command
Liste les commandes Exchange des cmdlets :
PS > Get-ExCommand
Affiche la liste des processus tournant sur la machine locale :
PS > Get-Process
Affiche la liste des services sexcutant sur la machine locale :
PS > Get-Service
Affiche les informations du journal dvnement local ainsi que son contenu :
PS > Get-Eventlog
Stoppe lenregistrement des informations de la session PowerShell :
PS > Stop-Transcript

Ouvrez le fichier transcript indiqu en retour de la commande Stop-Transcript. Le fichier devrait se trouver dans le
rpertoire C:\Users\Administrateurs.ENI\Documents\PowerShell_transcript..txt.
[EXCH] Gestion des alias
Dans lenvironnement Exchange Management Shell, excutez les commandes suivantes :
Affiche le dtail de lalias ps :
PS > Get-Alias ps
Liste les alias qui excutent la cmdlet Set-Location :
PS > Get-Alias | where-object {$_.definition -eq "set-location"}
Cre et teste un nouvel alias pour la cmdlet Get-Help :
PS > Set-Alias gh Get-Help
PS > gh
Cre et teste un nouvel alias pour le lancement du bloc-notes :
PS > Set-Alias np c:\windows\system32\notepad.exe
PS > np
Supprime lalias de la commande ls :
PS > Remove-Item alias:ls
3. Gestion des variables et des boucles avec PowerShell
[DC] Formatage des informations dune cmdlet
Lancez lenvironnement Windows PowerShell partir de la barre des tches, puis excutez les commandes
suivantes :
Stocke le contenu de la commande ipconfig dans la variable result :
PS > $result = ipconfig
Affiche le contenu de la variable result :
PS > $result
[DC] Cration dune fonction
Crez un fichier dont le nom sera c:\Start-Function.ps1 et copiez le contenu suivant :
for ($i=0 ; $i -lt $result.length; $i++ )
{
"{0} {1}" -f $i, $result[$i]
}
Excutez le contenu de ce script partir de PowerShell (c:\Start-Function.ps1).
Crez un second fichier appel C:\Start-Function2.ps1 et copiez le contenu suivant :
$i = 1;
foreach($singleLine in $result)

{
$i++
"{0} {1}" -f $i, $singleLine
}
Excutez le contenu de ce second script partir de PowerShell (C:\Start-Function2.ps1).
4. Navigation dans les ressources tierces
[DC] Lancer un appel WMI (Windows Management Instrumentation)
Lancez lenvironnement Windows PowerShell partir de la barre des tches, puis excutez les commandes
suivantes :
Rcupre les informations du BIOS de lordinateur local :
PS > Get-WmiObject win32_bios
Rcupre les informations du systme dexploitation du serveur Exchange 2013 distance :
PS > Get-WmiObject -Class Win32_OperatingSystem -ComputerName 172.16.1.21
[DC] Naviguer dans le systme de fichiers et dans la base de registre
Lancez lenvironnement Windows PowerShell partir de la barre des tches, puis excutez les commandes
suivantes :
Liste les environnements de navigation disponibles :
PS > Get-PSDrive
Pointe la navigation vers la ruche de base de registre HKEY_LOCAL_MACHINE :
cd HKLM:
Navigue dans la base de registre :
dir
cd SYSTEM\CurrentControlSet\Control
5. Import dune liste dutilisateurs avec bote aux lettres partir dun fichier CSV
Cration dun fichier CSV contenant les utilisateurs crer
laide de lexplorateur de fichiers, crez le fichier texte C:\utilisateurs.csv.
Ajoutez la liste des utilisateurs dans le contenu du fichier C:\utilisateurs.csv en respectant le format suivant (CSV
- Comma-Separated Values) :
Name,Alias,UserPrincipalName,Database,OrganizationalUnit,Password
Loc THOBOIS,lthobois,lthobois@eni.lan,Database1,Users,P@ssw0rd
Brahim NEDJIMI,bnedjimi,bnedjimi@eni.lan,Database2,Users,P@ssw0rd
Cration dun script dimport des utilisateurs
laide de lexplorateur de fichier, crez le fichier texte C:\Import-User.ps1.
Ajoutez le script dimport au contenu du fichier C:\Import-User.ps1 en copiant le script suivant :
#Importe le jeu de commande Exchange dans PowerShell et se
connecte lorganisation

Import-Module D:\Program Files\Microsoft\Exchange


Server\V15\bin\RemoteExchange.ps1
Connect-ExchangeServer -Auto
#Importe le contenu du fichier csv et lance la commande de
cration de lutilisateur et de sa bote aux lettres pour chacune
des lignes du fichier
Import-CSV C:\utilisateurs.csv | ForEach {New-Mailbox -Name
$_.name -Alias $_.alias -UserPrincipalName $_.userprincipalname
-Database $_.Database -OrganizationalUnit $_.organizationalunit
-password (ConvertTo-SecureString $_.password -AsPlainText -force)}
Excution du script dimport des utilisateurs
Lancez lenvironnement Exchange Management Shell puis tapez la commande suivante :
PS > Set-ExecutionPolicy -ExecutionPolicy Unrestricted

La commande prcdente autorise lexcution dun script qui nest pas sign dans un environnement PowerShell
Dans lenvironnement Exchange Management Shell, lancez la commande suivante :
PS > C:\Import-User.ps1

Les options de bote aux lettres Outlook Web App


1. Prsentation de la console
Introduites avec la version 2010, les options de bote aux lettres Outlook Web App (OWA) permettent
dadministrer les aspects utilisateur de la configuration Exchange.
Cette console se prsente sous la forme dun site web et remplace la page de paramtrage de la bote aux lettres
des utilisateurs dans OWA.

Tout comme la console Centre dadministration Exchange, laccs est protg laide du protocole HTTPS et
va ncessiter une configuration des certificats adapte pour quelle soit transparente pour les utilisateurs.
Cette console, accessible potentiellement par tous les utilisateurs, va aussi permettre de faciliter la
dlgation dadministration sur des fonctions comme la gestion des botes aux lettres existantes, la gestion des
listes de distribution, faire le suivi des messages et la gestion des synchronisations des priphriques mobiles
Elle va donc permettre de rendre accessibles facilement ces options lensemble des utilisateurs sans la
complexit du dploiement dun client lourd sur les postes.

2. Navigation dans la console


Tout comme la console Centre dadministration Exchange, un menu gauche, prsent en permanence, va
permettre de basculer entre les diffrentes thmatiques de linfrastructure.
Voici la liste des thmes du menu :
compte : page daccueil de la console, elle affiche les informations gnrales sur le compte connect, dont
une photo. On retrouvera notamment lespace disponible dans la bote aux lettres et des raccourcis pour la
configuration des accs POP ou IMAP, la modification des informations de lutilisateur et dautres
thmatiques prsentes dans les autres menus
organiser la messagerie : permet de configurer les rgles de traitement des messages afin de trier
automatiquement le courrier, de configurer les paramtres de rponses automatiques en cas dabsence et
dafficher les rapports de remise pour le suivi des e-mails envoy ou reu.
groupes : permet dafficher les groupes de distribution dont lutilisateur est membre ou propritaire. Selon
ses autorisations, lutilisateur peut sabonner ou se retirer de groupes de distribution disponibles dans
lorganisation Exchange et il peut crer et modrer des groupes de distribution dont il est propritaire.
botes aux lettres de site : affiche la liste des botes aux lettres de sites auxquels lutilisateur a accs.
Lutilisateur peut aussi choisir celles qui apparatront dans Outlook 2013. Une bote aux lettres de site est
une bote aux lettres partages entre plusieurs utilisateurs travers un site SharePoint 2013.

paramtres : permet de modifier le format des messages et la signature de lutilisateur, de modifier le


comportement et la disposition de linterface Outlook Web App pour laffichage des messages et le
calendrier, de modifier la langue daffichage et le format de date et dheure et de modifier le mot de passe
du compte utilisateur associ la bote aux lettres.
tlphone : affiche les diffrents priphriques mobiles synchroniss avec la bote aux lettres et permet de
raliser quelques oprations distance comme le blocage ou la suppression du contenu du tlphone en
cas de perte ou de vol, laccs au mot de passe de rcupration La configuration des notifications par
SMS est aussi personnalisable pour le calendrier ou la messagerie
bloquer ou autoriser : permet de personnaliser le comportement des courriers indsirables en
paramtrant la liste des utilisateurs approuvs et ceux des utilisateurs bloqus.
applications : ajoute et retire les applications venant sintgrer dans les clients Outlook et Outlook Web
App pour offrir une exprience plus riche selon les types de contenu (carte Bing lorsquune adresse
postale est prsente dans un e-mail).

Dlgation dadministration
1. Prsentation du modle de dlgation RBAC
Depuis Exchange Server 2010, la dlgation dadministration a t entirement revue afin dtre plus souple et
utilisable par des groupes dutilisateurs autres que les administrateurs de messagerie.
Elle repose dornavant sur le principe RBAC (Role-Based Access Control) dont lobjectif est dutiliser des
modles prdfinis mais personnalisables de dlgation. Chaque modle correspond un rle dadministration
dExchange et sera affect une population dutilisateur. Il nest donc maintenant plus ncessaire de modifier
directement les listes de contrle daccs (ACL) comme ctait le cas dans les versions prcdentes.
La mise en place dune dlgation RBAC, aussi appele groupe de rles, passe par la configuration de trois
lments : le primtre dapplication, les rles et les membres.
Primtre dapplication : il sagit dune OU, dun
groupe dutilisateurs ou tout simplement dun
conteneur de configuration. Tous les rles ont par
dfaut un primtre dapplication. Lorsque vous
crez un nouveau rle RBAC, il est enfant dun
rle dj existant et hrite du primtre de son
parent. Il est toutefois possible de spcifier un
primtre spcifique lors de sa cration ou de le
modifier par la suite.
Rles : Exchange 2013 possde autour de 85
rles prdfinis (environ 68 ct administrateurs
et 17 ct utilisateurs). Vous pouvez crer des
rles personnaliss enfants de rles existants
mais ayant moins de droits. Lattribution des
droits se fait par slection des cmdlets
PowerShell que le rle pourra excuter au final.
Les rles sont en fait des autorisations sur les
cmdlets PowerShell qui pourront tre excutes.
Membres : vous pouvez assigner le rle aussi bien un utilisateur unique qu un groupe entier mais il est
recommand dutiliser les groupes pour une administration simplifie.

Il est important de garder en tte ce fameux triangle du pouvoir afin de visionner les diffrents composants pour
vous y retrouver.

2. Les groupes de rles prdfinis


En sappuyant sur les 85 rles prdfinis, suite au dploiement de linfrastructure Exchange, lassistant
dinstallation configure de base les 13 groupes de rles suivants. 12 destination des administrateurs et 1
destination des utilisateurs :
Compliance Management : nouveaut dExchange 2013, ce groupe de rles permet aux administrateurs
de configurer et de valider les stratgies de conformits appliques lorganisation.
Delegated Setup : ce groupe de rles permet dinstaller et dsinstaller des serveurs Exchange prpeupls.
Discovery Management : ce groupe de rles permet de lancer des recherches selon des critres
spcifiques dans les botes aux lettres de lorganisation Exchange. Il est utilis dans le cadre de lutilisation
de la rtention lgale.
Help Desk : ce groupe de rles permet dafficher et de modifier la configuration des utilisateurs.
Hygiene Management : nouveaut dExchange Server 2013, ce groupe de rles permet de grer les
rgles antispam et lintgration des antivirus tiers.
Organization Management : ce groupe de rles permet la configuration et ladministration de toute
lorganisation Exchange. Il permet aussi la dlgation sur les groupes de rles et des rles de gestion. Le
compte Administrateur est membre de ce groupe.
Public Folder Management : ce groupe de rles permet ladministration complte des dossiers publics. Ils
peuvent grer les rplicas, les quotas
Recipient Management : ce groupe de rles permet ladministration des objets destinataires (Utilisateurs
extension de bote aux lettres, Utilisateurs extension de messagerie, Contact extension de
messagerie, Groupe extension de messagerie).
Records Management : ce groupe de rles permet de configurer les balises de rtention, de
classifications de messages, les rgles de transport
Server Management : ce groupe de rles permet la gestion des paramtres des serveurs Exchange sans
permettre la modification de paramtres ayant une porte sur lensemble de lorganisation.
Unified Messaging Management : ce groupe de rles permet la configuration des fonctionnalits de la
messagerie unifie.
View-Only Organization Management : ce groupe de rles permet dafficher la configuration et les objets
destinataires sans avoir la possibilit de faire des modifications.

Default Role Assignment Policy : cette stratgie permet de personnaliser les accs des utilisateurs
lorsquils se connectent aux options Outlook Web App.

Ateliers : Cration et dition dun groupe de rles


1. Prsentation de linfrastructure ncessaire aux ateliers
Afin de raliser les ateliers suivants, il est ncessaire davoir les composants dinfrastructure suivants :
DC - Contrleur de domaine pour le domaine eni.lan sous Windows Server 2012 configur avec lespace
de noms DNS. Le serveur appel AD-DC1 est configur avec ladresse IP 172.16.1.1.
EXCH - Serveur de messagerie Exchange 2013 configur avec les rles botes aux lettres (MBX) et
accs clients (CAS). Le serveur appel EXCH-SRV1 est configur avec ladresse IP 172.16.1.21.
Afin de raliser certaines manipulations, il est ncessaire que les machines soient connectes Internet, par
lajout dune seconde carte (connecte directement sur Internet) ou par une passerelle permettant laccs vers
Internet.
La machine sur laquelle les manipulations doivent tre ralises est indique dans le titre entre crochets "[ ]".

2. Dlgation laide de la console Utilisateurs et ordinateurs Active Directory


[DC] Ajout dun utilisateur ou dun groupe un groupe de rles existant laide de loutil Utilisateurs et ordinateurs
Active Directory
Lancez la console Utilisateurs et ordinateurs Active Directory partir du menu Outils dadministration.
Dans larborescence de la console, naviguez jusqu lunit dorganisation Microsoft Exchange
Security Groups.

Cliquez avec le bouton droit sur le groupe de scurit reprsentant le groupe de rles auquel vous souhaitez
ajouter lutilisateur ou le groupe, puis cliquez sur Proprits.
Dans longlet Membres, cliquez sur le bouton Ajouter et slectionnez le compte utilisateur ou le groupe de
votre choix.

3. Dlgation laide de la console Centre dadministration Exchange


[EXCH] Ajout dun utilisateur ou dun groupe et dun rle un groupe de rles existant laide de la console
Centre dadministration Exchange
Lancez la console Centre dadministration Exchange partir de votre navigateur internet en tapant ladresse
https:///ecp/, puis authentifiez-vous avec un compte ayant les privilges administratifs sur lorganisation
Exchange (le compte Administrateur par exemple).
Dans le menu de gauche, cliquez sur le lien Autorisations.

Slectionnez le groupe de rles auquel vous souhaitez ajouter lutilisateur ou le groupe de votre choix puis
cliquez sur licne reprsentant un crayon.

Dans la section Rles, cliquez sur licne reprsentant un + et slectionnez le compte utilisateur ou le groupe de
votre choix.

Dans la section Membres, cliquez sur licne reprsentant un + et slectionnez le compte utilisateur ou le groupe
de votre choix.
4. Dlgation laide de la console Exchange Management Shell
[EXCH] Cration dun rle et dun groupe de rles laide de la console Exchange Management Shell
Lancez la console Exchange Management Shell partir de lenvironnement de lancement de Windows ou du
menu Dmarrer.
Importez le module dadministration PowerShell pour Active Directory laide de la commande suivante :
Import-Module ActiveDirectory
laide de la commande suivante, lancez la cration dune unit dorganisation contenant les objets sur lesquels
les administrateurs membres du groupe de rles pourront agir :
New-ADOrganizationalUnit -Name "ENI Stagiaires"
laide de la commande suivante, lancez la cration dun groupe de scurit reprsentant les objets lesquels les
administrateurs membre du groupe de rles pourront agir :
New-ADGroup -Name "ENI Stagiaires" -SamAccountName enistagiaires
-GroupCategory Security -GroupScope Global -DisplayName "ENI Stagiaires"
-Path "OU=ENI Stagiaires,DC=eni,DC=lan"
laide de la commande suivante, lancez la cration dun nouveau primtre dapplication qui couvrira les objets
prsents la fois dans lunit dorganisation et dans le groupe prcdemment cr :
New-ManagementScope "ENI Stagiaires" -RecipientRestrictionFilter
{MemberOfGroup -eq "CN=ENI Stagiaires,OU=ENI Stagiaires,DC=eni,DC=lan"}
-RecipientRoot "OU=ENI Stagiaires,DC=eni,DC=lan"
laide de la commande suivante, lancez la cration dun nouveau rle en copiant le rle "Mail Recipients" :
New-ManagementRole -Name "Mailbox List" -Parent "Mail Recipients"

Affichez les commandes autorises par le nouveau rle laide de la commande suivante :
Get-ManagementRoleEntry -Identity "Mailbox List\*"
laide de la commande suivante, retirez lensemble des cmdlets accessible hormis Get-User ( lorigine il y
avait prs de 110 cmdlets utilisables). Validez la confirmation de suppression des commandes en tapant la touche
T.
Get-ManagementRoleEntry -Identity "Mailbox List\*" | Where{$_.Name
-ne "Get-User"} | Remove-ManagementRoleEntry
Lancez la cration du groupe de rles, laide de la commande suivante, qui reprend le rle et le
primtre prcdemment crs.
New-RoleGroup -name "ENI Stagiaires Mailbox List" -Role "Mailbox List"
-CustomRecipientWriteScope "ENI Stagiaires"
Dans la console Utilisateurs et ordinateurs Active Directory, dans lunit dorganisation Microsoft Exchange
Security Groups, vrifiez la prsence du groupe de scurit ayant pour nom celui du groupe de rles que vous
venez de crer.

Cliquez avec le bouton droit sur le nouveau groupe de scurit auquel vous souhaitez ajouter lutilisateur ou le
groupe, puis cliquez sur Proprits.
Dans longlet Membres, cliquez sur le bouton Ajouter et slectionnez le compte utilisateur ou le groupe de
votre choix.
Ouvrez une session avec le compte membre du nouveau groupe de scurit, puis tapez la commande suivante
dans la console Exchange Management Shell pour vrifier que seul un nombre limit de cmdlets sont
disponibles :
(Get-Command -Module <fqdn du serveur exchange>).Count