次の方法で共有

ユーザーまたは USG に役割を追加する

  • [アーティクル]

適用先 : Exchange Server 2010

管理役割の割り当てによって、管理役割をユーザーまたはユニバーサル セキュリティ グループ (USG) に割り当てることができます。管理者がユーザーまたは USG に役割を割り当てることにより、それらのユーザーは管理役割で定義されているコマンドレット、スクリプト、およびそれらのパラメーターに基づいてタスクを実行できるようになります。

ユーザーと USG に役割を直接割り当てることもできますが、管理者とエンド ユーザーにアクセス許可を付与するために推奨される方法は、管理役割グループと管理役割の割り当てポリシーを使用することです。役割グループと割り当てポリシーを使用する場合は、アクセス許可モデルを大幅に簡素化できます。

役割を管理役割グループまたは管理役割の割り当てポリシーに割り当てる場合は、以下のトピックを参照してください。

役割グループにメンバーを追加する場合や、役割の割り当てポリシーをエンド ユーザーに割り当てる場合は、以下のトピックを参照してください。

詳細については、「役割ベースのアクセス制御について」を参照してください。

Dd351056.note(ja-jp,EXCHG.140).gif注 :
役割の割り当ては追加可能です。つまり、すべての役割が評価時に一緒に追加されるということです。2 つの役割が 1 人のユーザーに対して割り当てられ、このうち 1 つの役割のみにコマンドレッドが含まれている場合でも、コマンドレットはそのユーザーで使用可能です。
既定では、役割の割り当てを行っても、他のユーザーに同じ役割を割り当てるアクセス許可は付与されません。ユーザーが他のユーザーまたは USG に役割を割り当てられるようにするには、「役割割り当てを委任する」を参照してください。

役割の割り当てを追加するには、Exchange 管理シェルを使用する必要があります。

実行内容

  • スコープなしで役割の割り当てを作成する
  • 定義済みの相対スコープを持つ役割の割り当てを作成する
  • 受信者フィルター ベースのスコープを持つ役割の割り当てを作成する
  • サーバー フィルターまたはリスト ベースの構成スコープを持つ役割の割り当てを作成する
  • OU スコープを持つ役割の割り当てを作成する
  • 排他的な受信者スコープまたは構成スコープを持つ役割の割り当てを作成する

スコープで新しい割り当てを作成すると、そのスコープは役割の非明示的な書き込みスコープを上書きします。ただし、役割の暗黙的な読み取り範囲は引き続き適用されます。新しいスコープは、役割の暗黙的な読み取り範囲以外のオブジェクトを返すことはできません。詳細については、「管理役割スコープについて」を参照してください。

このトピックに記載したすべての手順では、役割を USG に割り当てるために SecurityGroup パラメーターを使用しています。代わりに、特定のユーザーに役割を割り当てる場合は、SecurityGroup パラメーターの代わりに User パラメーターを使用します。各コマンドの他の構文はすべて同じです。

スコープなしで役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

スコープなしで役割の割り当てを作成することができます。このようにすると、役割の暗黙的な読み取り、および暗黙的な書き込みスコープが適用されます。

次の構文を使用して、スコープを持たない USG に役割を割り当てます。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

たとえば、"Exchange Servers/Exchange サーバー" という役割を SeattleAdmins USG に割り当てるには、次のコマンドを実行します。

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

定義済みの相対スコープを持つ役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

定義済みの相対スコープがビジネス要件に適していれば、カスタム スコープを作成せずに、そのスコープを役割の割り当てに適用できます。定義済みスコープとその説明の一覧については、「管理役割スコープについて」を参照してください。

次の構文を使用して、定義済みのスコープを持つ USG に役割を割り当てます。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

たとえば、"Exchange Servers/Exchange サーバー" という役割を SeattleAdmins USG に割り当て、Organization 定義済みスコープを適用するには、次のコマンドを使用します。

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

受信者フィルター ベースのスコープを持つ役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

受信者フィルター ベースのスコープを作成し、役割の割り当てと組み合わせて使用する場合は、CustomRecipientWriteScope パラメーターを使用して、USG への役割割り当てに使用するコマンドに、そのスコープを含める必要があります。CustomRecipientWriteScope パラメーターを使用する場合、RecipientOrganizationalUnitScope パラメーターは使用できません。

役割の割り当てにスコープを追加する前に、スコープを作成しておく必要があります。詳細については、「通常または排他スコープを作成する」を参照してください。

次の構文を使用して、受信者フィルター ベースのスコープを持つ USG に役割を割り当てます。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

たとえば、"Mail Recipients/メール受信者" という役割を "Seattle Recipient Admins/Seattle の受信者管理者" という USG に割り当て、"Seattle Recipients/Seattle の受信者" というスコープを適用するには、次のコマンドを実行します。

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

サーバー フィルターまたはリスト ベースの構成スコープを持つ役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

サーバー フィルター ベースまたはリスト ベースの構成スコープを作成し、役割の割り当てと組み合わせて使用する場合は、CustomConfigWriteScope パラメーターを使用して、USG への役割割り当てに使用するコマンドに、そのスコープを含める必要があります。

役割の割り当てにスコープを追加する前に、スコープを作成しておく必要があります。詳細については、「通常または排他スコープを作成する」を参照してください。

次の構文を使用して、構成スコープを持つ USG に役割を割り当てます。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

たとえば、"Exchange Servers/Exchange サーバー" という役割を MailboxAdmins USG に割り当て、"Mailbox Servers/メールボックス サーバー" というスコープを適用するには、次のコマンドを実行します。

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

OU スコープを持つ役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

組織単位 (OU) に対して役割の書き込みスコープをスコープする場合、RecipientOrganizationalUnitScope パラメーターに OU を直接指定できます。RecipientOrganizationalUnitScope パラメーターを使用する場合、CustomRecipientWriteScope パラメーターは使用できません。

次のコマンドを使用して役割を USG に割り当て、役割の書き込みスコープを特定の OU に限定できます。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

たとえば、"Mail Recipients/メール受信者" という役割を SalesRecipientAdmins USG に割り当て、割り当てを contoso.com ドメイン内の Sales\Users という OU にスコープするには、次のコマンドを使用します。

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

排他的な受信者スコープまたは構成スコープを持つ役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

排他的な受信者スコープまたは構成スコープを持つ排他的な役割の割り当てを作成するには、「受信者フィルター ベースのスコープを持つ役割の割り当てを作成する」および「サーバー フィルターまたはリスト ベースの構成スコープを持つ役割の割り当てを作成する」で記載したのと同じ手順を使用できます。排他的スコープを持つ役割の割り当てを作成する場合の唯一の違いは、排他的な受信者スコープと排他的な構成スコープのどちらを使用しているかに応じて、次の排他的なパラメーターを使用する必要があることです。

  • 排他的な受信者の範囲   CustomRecipientWriteScope パラメーターではなく ExclusiveRecipientWriteScope パラメーターを使用します。
  • 排他的な構成の範囲   CustomConfigWriteScope パラメーターではなく ExclusiveConfigWriteScope パラメーターを使用します。

この手順を実行する場合は、役割を割り当てられた被割り当て者は、排他的なスコープの中に含まれているオブジェクトに対して操作を実行できます。排他的なスコープの詳細については、「排他スコープについて」を参照してください。

排他的なスコープと正規のスコープの両方を持つ役割の割り当てを作成することはできません。

たとえば、"Mail Recipients/メール受信者" という役割を "Protected User Admins/保護されたユーザー管理者" という USG に割り当て、"Protected Users/保護されたユーザー" という排他的なスコープを適用するには、次のコマンドを実行します。

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"