Quelle est l'autorisation qui permet d'autoriser/refuser la consultation des calendriers des utilisateurs d'un domaine ?
Serveur Exchange 2003 SP2 sur Windows 2003 R2.
 
Parce qu'actuellement, les membres du groupe "Admins du domaine" peuvent consulter les calendriers de tous les utilisateurs sans que ces utilisateurs aient partagés leur calendrier... Un peu gênant...
 
Merci d'avance...

D'un côté les bonnes pratiques veulent qu'on utilise pas son compte standard pour des taches d'admin.
Sinon c'est dans les permissions étendues de la bal

Comment ça ?
 
Tu veux dire qu'il faut passer sur chaque BAL de l'organisation ? C'est bizarre car à la mise en service, je me souviens que même les membres du groupe Admins du domaine ne pouvaient pas accéder à tous les calendriers...  
 
Parce que maintenant sur un calendrier avec les autorisations basiques (Par défaut et anonyme : aucune), les admins du domaine accèdent aux calendriers...
 
Merci pour ta réponse

regarde les permissions étendues dans l'ADUC sur tes comptes user

Tu veux parler des "Droits de boîtes aux lettres" sur l'onglet "Exchange - Paramètres avancés" ?

Tu prends le problème à l'envers, ton souci c'est pas les permissions par défaut, c'est que qqun ait son compte d'utilisateur dans le groupe admins du domaine. (comme l'a souligné je@nb)

Tous les membres actuels du groupe Admins du domaine se doivent d'y être.

Tu as besoin que des utilisateurs soient loggés en admins du domaine en permanence ? Pourquoi ? Tu te rends compte du risque que ça représente, en terme de sécurité ?

Parce qu'ils font partie de la DSI... Et tous responsables de ce qu'ils font.

Ca te fera une belle jambe qu'ils soient responsable le jour ton AD ou ton exchange seront par terre parce qu'ils ont fait une connerie alors qu'ils avaient les droits d'admins
La bonne façon de faire est pour tes gars (et toi) c'est de tourner réelement avec un compte user normal de base (pour la boite mail et autre utilisation de bas bureautique, web & co), et d'avoir un compte user different avec les droits d'admin à n'utiliser qu'en cas de besoin.

Pas de risque, la majorité ne touche pas à l'administration des serveurs et à l'infrastructure.
Après c'est plus politique, ça me semble pas anormal qu'un DSI fasse parti du groupe des Admins du domaine.
Enfin tout ça ne répond pas à ma question...

 
Le risque est énorme si   Ils sont par exemple sans doute bien plus au fait de ces choses que la moyenne, mais meme le meilleur des admins n'est pas a l'abris d'une infection par un malware par inatention ou autre : avec leur belle session admin du domaine ouverte, le malware peut infecter d'un cout tout ton parc dans le domaine
 

 
Qu'il ai un compte admin du domaine c'est normal, qu'il bosse en permanence avec une session ouverte avec les droits d'admin du domaine c'est pas normal du tout non, surtout s'il touche jamais a l'admin  
 

 
Ben un peu quand meme si : en faisant comme on te le dit quand il vont inviter quelqu'un a un RDV Outlook ils ne verront pas son calendrier mais juste ses infos free/busy par exemple, pour aller voir les infos faudrait vraiment aller les chercher avec le compte admin.
Et de toutes façons si les mecs sont tous admins du domaine, la différence est mince entre un compte admin qui a les droit pour voir une ressource et un compte admin qui peut se mettre ces même droits en 30 secondes...

Pas besoin malheureusement d'être membre d'un groupe d'administrateurs pour chopper des saloperies... Après ça se passe en amont avec la sécurité de l'accès Internet (filtrage d'URL, analyse des flux HTTP, SMTP) , des antivirus (clés USB  ) et autres. Un DSI ne se connecte jamais aux serveurs Windows via TSE, il s'en moque, ce n'est plus son rôle. Je n'évoque même pas les serveurs Unix ou Linux. Sauf que ponctuellement, il doit pouvoir avoir accès à tout d'où son appartenance au groupe des Admins du domaine. Son appartenance à ce groupe ne lui apporte en fait qu'un accès "full" aux fichiers bureautiques.
 

Je ne me vois pas annoncer à mon DSI que son compte ne fait pas/plus parti des Admins du domaine et qu'il doit utiliser un autre login pour accéder à plus de choses. Après, c'est sûr qu'on pourrait très bien mettre le compte dans un groupe de sécurité qui aurait accès à tous les fichiers et retirer le compte des Admins du domaine mais bon... Politiquement c'est gênant.
 

Certes, mais ils ne veulent plus avoir accès aux calendriers de titi ou toto en faisant un simple "Ouvrir un calendrier partagé" de titi ou toto car vis à vis du respect de la vie privée ce n'est pas bon... Puisque ces dits calendriers ne sont pas partagés par titi ou toto... Mais rester dans le groupe des Admins du domaine. D'où ma question... J'ai bien vu dans les propriétés de l'utilisateur les propriétés de droits de boites aux lettres mais si je dois me taper toutes les BAL, ça va vite me lasser...  
 
C'est intéressant ces discussions

Si meme le DSI n'est pas sensible aux arguments et risques techniques evidents face a un maigre confort d'utilisation et une illusion d'importance, t'es pas dans la me*de pour faire passer une vraie politique du sécu dans ta boite

 
Pour les chopper, non. Pour les répandre ...  
 

 
Il n'est pas en RDP, le risque. Plutôt sur l'accès aux partages, par exemple ... Ou encore l'exécution/manipulation de services à distance.
 

 
T'as la réponse plus loin, groupe de sécu qui va bien. D'autant qu'à priori, il ne se doutera de rien, vu ce que tu dis.  
 

 
Ca n'est qu'une question de présentation. Si tu arrives en braillant "t'es qu'un luser avec des droits pareil tu vas tout nous foutre par terre, tacheron", forcément, il va mal le prendre. Si tu présentes une nouvelle stratégie de sécurité, documentée et expliquée, quitte à lui créer un compte domain admin avec un mdp bien costaud, et bien compliqué à taper, ça peut passer beaucoup mieux.  
 

 
Et pourtant. T'as la solution simple et sûre, ou la chiante et dégueu, fais ton choix camarade