アクセス許可に関する考慮事項
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2007-07-12
Microsoft Exchange Server 2007 を Active Directory ディレクトリ サービス構造に統合する方法を計画する際は、組織内の管理モデルについて考慮します。Exchange 2007 を使用すると、管理者へのアクセス許可の割り当てを柔軟に行うことができます。一般的には、Active Directory および Exchange 2007 の以下の機能が管理の役割を編成する方法にどのように影響するかについて考慮することをお勧めします。
- 1 人の管理者が Microsoft Windows Server 2003 と Exchange の両方に対してタスクを実行できます。
- Exchange 管理者と Windows 管理者とでアクセス許可を分割できます。
- Exchange リソース フォレストを使用すると、Exchange 管理者の役割と Windows 管理者の役割を切り離すことができます。
ここでは、アクセス許可を柔軟に構成する方法と、Exchange 2007 で使用できる管理役割について説明します。
Exchange および Active Directory の分割型アクセス許可モデルについて
多くの Microsoft Exchange 組織、特に中規模以上の組織では、複数の Exchange 管理者がいる場合があります。これらの管理者は特定の管理タスクのセットを実行できるため、Exchange Server 2007 には定義済みの管理者の役割と分割型アクセス許可モデルが用意されています。このモデルを使用すると、組織のさまざまな管理役割に対して Active Directory で特定のアクセス許可を構成することができます。Exchange 2007 では、Exchange 受信者属性のアクセス許可はグループ化されています。これによって、他の管理アクセス許可から Exchange アクセス許可を分けるために手動で実行する必要があるアクセス許可の構成が最小限になります。アクセス許可モデルを計画および実装する方法の詳細については、以下のトピックを参照してください。
セキュリティおよびアクセス許可モデルへの変更
Exchange Server 2003 のセキュリティおよびアクセス許可モデルは、Exchange 2007 で変更されています。ここでは、Exchange アクセス許可モデルへの変更について説明し、その違いを示します。
プロパティ セット
プロパティ セットは、Active Directory 属性をグループ化したものです。プロパティごとにアクセス制御エントリ (ACE) を設定するのではなく、1 つの ACE を設定することで、このグループ化された Active Directory 属性に対するアクセスを制御できます。すべての Exchange 受信者属性をグループ化するプロパティ セットを電子メール情報と呼びます。
.gif "note") 注 : |
|---|
| Exchange Server 2003 サーバーの受信者のプロパティにアクセスするためのアクセス許可を持つ Exchange Server 2003 セキュリティ グループは、Exchange 2007 の Setup.Com または /PrepareAD パラメータを付けた Setup.Com を使用して Active Directory スキーマが更新される場合は、Exchange 2007 電子メール情報のプロパティ セットにアクセスするためのアクセス許可を持つようになります。 |
プロパティ セットの詳細については、「Exchange 2007 のプロパティ セット」を参照してください。
Exchange 2003 のセキュリティおよびアクセス許可モデル
アクセス許可の管理の簡略化に役立つように、Exchange Server 2003 には、Exchange 2003 管理委任ウィザードで使用できる定義済みのセキュリティの役割が用意されていました。これらの役割は、組織または管理グループ レベルで適用できる、標準化されたアクセス許可の集合です。
Exchange 2003 には、Exchange システム マネージャの委任ウィザードを介して使用できる次のセキュリティの役割があります。
- Exchange 管理者 (完全)
- Exchange 管理者
- Exchange 管理者 (参照のみ可)
このモデルには次のような制限がありました。
- 特異性が欠如していました。Exchange Administrator グループは非常に大きく、一部の顧客は個々のサーバー レベルでセキュリティおよびアクセス許可モデルを管理することを望んでいました。
- Exchange Server 2003 の各セキュリティの役割にはわずかな違いしかないと認識されていました。
- Windows (Active Directory) 管理者と Exchange 受信者管理者によるユーザーとグループの管理に明確な区別がありませんでした。たとえば、Exchange 受信者関連のタスクを実行するには、Exchange 管理者に高レベルのアクセス許可 (Windows ドメインの Account Operator のアクセス許可) を与える必要がありました。
Exchange 2007 のセキュリティおよびアクセス許可モデル
Exchange 2003 では "セキュリティ グループ" と呼ばれていた Exchange 管理者の役割を管理する機能を強化するために、Exchange のセキュリティおよびアクセス許可モデルでは次のような機能を追加および強化しました。
- 組み込みの Windows Server セキュリティ グループに似た管理者の役割が追加されました。これらの管理者の役割の詳細については、後の「Exchange 2007 での管理者の役割」を参照してください。
- Exchange 管理コンソール (以前の Exchange システム マネージャ) と Exchange 管理シェルを使用して、任意の管理者の役割からメンバを表示、追加、および削除できます。
Exchange 2007 での管理者の役割
Exchange 2007 には、Exchange 構成データを管理する次の定義済みのグループがあります。
- Exchange Organization Administrators
- Exchange Recipient Administrators
- Exchange View-Only Administrators
- Exchange Public Folder Administrators (Exchange Server 2007 Service Pack 1 の新機能)
これらの Exchange 管理者の役割は、Exchange Server Administrators を除き、Exchange Setup /PrepareAD の段階 (Exchange 2003 ForestPrep に似た組織準備段階) の間に /PrepareAD が実行されたドメイン内に配置された新しい Microsoft Exchange セキュリティ グループの組織単位 (OU) 内に作成されます。
管理者の役割をユーザーに追加すると、そのユーザーはその役割で許可されているアクセス許可を継承します。これらの管理者の役割には、Active Directory で Exchange データを管理するためのアクセス許可があります。これらのグループによって管理できる Exchange データは 3 種類あります。
- グローバル データ これは、特定のサーバーに関連付けられていない Active Directory 構成コンテナ内のデータです。このデータには、メールボックス ポリシー、アドレス一覧、および Exchange ユニファイド メッセージングの構成などが含まれます。通常、グローバル データは組織全体に影響し、すべてのユーザーに影響を及ぼします。少数の信頼されているユーザーのみがグローバル データを構成または変更できるようにすることをお勧めします。
- 受信者データ Exchange の受信者は、電子メール メッセージを送受信できる Active Directory ユーザー オブジェクトです。受信者データの例には、メールが有効な連絡先、配布グループ、メールボックス、およびパブリック フォルダ プロキシ オブジェクトなどの特定の受信者の種類が含まれます。
- サーバー データ Exchange サーバー データは、Active Directory の指定されたサーバーのノードの下に格納されています。このデータの例には、受信コネクタ、仮想ディレクトリ、サーバーごとの設定、およびメールボックスとストレージ グループのデータが含まれます。
Exchange 組織管理者の役割
Exchange Organization Administrators の役割は、Exchange 組織内のすべての Exchange プロパティとオブジェクトに対するフル アクセスを管理者に与えます。Exchange のセットアップ時にルート ドメインで、Setup /PrepareAD は Exchange Organization Administrators という名前の Active Directory セキュリティ グループを、Active Directory ユーザーとコンピュータの Microsoft Exchange セキュリティ グループ コンテナ内に作成します。
ユーザーを Exchange Organization Administrators の役割に追加すると、そのユーザーは Exchange Organization Administrators という管理者の役割のメンバになります。この役割は、Exchange 2007 によって Active Directory の準備中に作成されます。Exchange Organization Administrators の役割のメンバは、次のアクセス許可を持ちます。
- Active Directory の構成コンテナの Exchange 組織の所有者。所有者として、この役割のメンバは、Active Directory の構成コンテナの Exchange 組織データおよびローカルの Exchange Server Administrator グループに対するフル コントロールを持ちます。
- Active Directory のすべてのドメイン ユーザー コンテナに対する読み取りアクセス。Exchange は、組織のドメインごとに、ドメイン内の最初の Exchange 2007 サーバーのセットアップ時にこのアクセス許可を与えます。これらのアクセス許可は Exchange Recipient Administrator の役割のメンバになることで与えられます。
- Active Directory のすべてのドメイン ユーザー コンテナに含まれるすべての Exchange 固有の属性に対する書き込みアクセス。Exchange 2007 は、組織のドメインごとに、ドメイン内の最初の Exchange 2007 サーバーのセットアップ時にこのアクセス許可を与えます。これらのアクセス許可は Exchange Recipient Administrator の役割のメンバになることで与えられます。
- すべてのローカル サーバー構成データの所有者。所有者として、メンバはローカルの Exchange サーバーに対するフル コントロールを持ちます。Exchange 2007 は、各 Exchange サーバーのセットアップ時にこのアクセス許可を与えます。
Exchange Organization Administrators の役割のメンバであるユーザーは、Exchange 組織で最も高いレベルのアクセス許可を持ちます。Exchange 組織全体に影響するすべてのタスクは、このグループのメンバシップを必要とします。Exchange Organization Administrator のアクセス許可を必要とするタスクの例には、コネクタの作成や削除、サーバー ポリシーの変更、およびグローバル構成設定の変更があります。
| 注 : |
|---|
| Exchange 2007 をインストールすると、Exchange Organization Administrators の役割が、Exchange をインストールするコンピュータのローカルの Administrators グループのメンバとして追加されます。ドメイン コントローラのローカルの Administrators グループには、メンバ サーバーのローカルの Administrators グループとは異なるアクセス許可が与えられることに注意してください。ドメイン コントローラに Exchange 2007 をインストールすると、Exchange Organization Administrators の役割のユーザーには、ドメイン コントローラではないコンピュータに Exchange 2007 をインストールした場合には付与されない追加の Windows アクセス許可が与えられます。 |
Exchange 受信者管理者の役割
Exchange Recipient Administrators の役割は、Active Directory ユーザー、連絡先、グループ、動的配布リスト、またはパブリック フォルダ オブジェクトの任意の Exchange プロパティを変更するためのアクセス許可を持ちます。Exchange Setup /PrepareAD の実行時に、Exchange Recipient Administrator の役割が Active Directory の Microsoft Exchange セキュリティ グループ コンテナ内に作成されます。この役割によって、ユニファイド メッセージングのメールボックス設定やクライアント アクセスのメールボックス設定を管理することもできます。Exchange Organization Recipient Administrators の役割のメンバは、次のアクセス許可を持ちます。
- ドメイン内で Setup /PrepareDomain が実行された Active Directory 内のすべてのドメイン ユーザー コンテナに対する読み取りアクセス。
- ドメイン内で Setup /PrepareDomain が実行された Active Directory に存在するドメイン ユーザー コンテナのすべての Exchange 固有の属性に対する書き込みアクセス。
- Exchange View-Only Administrator の役割のメンバシップ。
Exchange Recipient Administrators の役割のメンバであるユーザーは、Setup /PrepareDomain が実行されていないドメインに対するアクセス許可を持ちません。新しい Exchange ドメインを追加するときは、必ず新しいドメインで Setup /PrepareDomain を実行して、そのドメインで Exchange 管理者の役割にアクセス許可を与えてください。
Exchange サーバー管理者の役割
Exchange Server Administrators の役割は、Active Directory 内、または Exchange 2007 がインストールされている物理的なコンピュータ上にある、ローカル サーバーの Exchange 構成データにのみアクセスできます。Exchange Server Administrators の役割のメンバであるユーザーは、特定のサーバーを管理するためのアクセス許可を持ちますが、Exchange 組織全体に影響を与える操作を実行するためのアクセス許可は持っていません。
この管理者の役割は Exchange 2007 によってセットアップ中に作成されます。Exchange Server Administrator の役割のメンバは、次のアクセス許可を持ちます。
- すべてのローカル サーバー構成データの所有者。所有者として、役割のメンバは、ローカル サーバー構成データに対するフル コントロールを持ちます。
- Exchange がインストールされているコンピュータのローカル管理者。
- Exchange View-Only Administrators の役割のメンバ。
Exchange View-Only Administrators
Exchange View-Only Administrators の役割は Active Directory 構成コンテナの Exchange 組織ツリー全体に対する読み取り専用アクセス、および Exchange 受信者を含むすべての Windows ドメイン コンテナに対する読み取り専用アクセスを持ちます。
Exchange Setup /PrepareAD の実行時に、Exchange View-Only Administrators の役割が Active Directory の Microsoft Exchange セキュリティ グループ コンテナ内に作成されます。
Exchange Public Folder Administrators
Exchange 2007 Service Pack 1 (SP1) の新機能
Exchange Public Folder Administrators の役割は、すべてのパブリック フォルダを管理する管理アクセス許可を持ちます。この管理者の役割は、"最上位のパブリック フォルダの作成" の拡張された権利を付与されます。この役割のメンバは、パブリック フォルダの作成や削除、およびレプリカ、クォータ、有効期限、管理アクセス許可、クライアントのアクセス許可などのパブリック フォルダ設定の管理を行うことができます。この管理者の役割は、パブリック フォルダのメールを有効にできますが、パブリック フォルダにあるプロキシ アドレスなどのメール受信者に関連するプロパティを変更することはできません。そのためには、Exchange Recipient Administrators の役割のメンバシップが必要になります。
管理者の役割およびアクセス許可の概要
次の表は、Exchange 2007 管理者の役割およびそれに関連する Exchange アクセス許可の一覧です。
| 管理者の役割 | メンバ | 所属するグループ | Exchange のアクセス許可 |
|---|---|---|---|
Exchange Organization Administrators |
管理者、または最初の Exchange 2007 サーバーのインストールに使用されたアカウント |
Exchange Recipient Administrators <サーバー名> のローカルの Administrators グループ |
Active Directory 内の Microsoft Exchange コンテナのフル コントロール |
Exchange Recipient Administrators |
Exchange Organization Administrators |
Exchange View-Only Administrators |
Active Directory ユーザー オブジェクトの Exchange プロパティのフル コントロール |
Exchange Server Administrators |
|
Exchange View-Only Administrators <サーバー名> のローカルの Administrators グループ |
Exchange <サーバー名> のフル コントロール |
Exchange View-Only Administrators |
Exchange Recipient Administrators Exchange Public Folder Administrators |
Exchange Recipient Administrators Exchange Server Administrators |
Active Directory 内の Microsoft Exchange コンテナに対する読み取りアクセス Exchange 受信者を含むすべての Windows ドメインに対する読み取りアクセス |
Exchange Servers |
各 Exchange 2007 コンピュータのアカウント |
Exchange View-Only Administrators |
特殊 |
Exchange Public Folder Administrators |
Exchange Organization Administrators |
Exchange View-Only Administrators |
パブリック フォルダを管理する機能 |
アドレス帳の属性
Exchange は Exchange データを格納するために多くの属性を使用します。Exchange は Exchange データを使用する他のディレクトリ対応のアプリケーションによって使用される可能性のある他の受信者属性も使用します。このため、これらの属性は Exchange 固有のプロパティ セットに追加されていませんでした。これらの属性は Active Directory のインストール中に作成された他のプロパティ セットに存在するか、またはどのプロパティ セットにも属していない可能性があります。
次の表に示される属性は、Microsoft Office Outlook を介してエンド ユーザーに提供されるグローバル アドレス一覧 (GAL) のデータです。Exchange 管理者がこれらの属性を更新できる必要があり、かつ Account Operators グループなど、ドメイン内でその特権を持つセキュリティ グループのメンバでない場合には Active Directory 管理者が読み取りと書き込みのアクセス許可を付与する必要があります。
| 適用されるオブジェクト | Exchange 管理コンソールの場所 | 属性 | 説明 |
|---|---|---|---|
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [ユーザー情報] または [連絡先の情報] タブ |
givenName |
名 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [ユーザー情報] または [連絡先の情報] タブ |
initials |
ミドル ネーム |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [ユーザー情報] または [連絡先の情報] タブ |
sn |
姓 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [ユーザー情報] または [連絡先の情報] タブ |
info |
"メモ" フィールド |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [アドレスおよび電話] タブ |
streetAddress |
番地 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [アドレスおよび電話] タブ |
l |
市区町村 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [アドレスおよび電話] タブ |
st |
都道府県 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [アドレスおよび電話] タブ |
postalCode |
郵便番号 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [アドレスおよび電話] タブ |
countryCode |
国/地域名 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [アドレスおよび電話] タブ |
telephoneNumber |
会社電話 |
ユーザー、連絡先 |
Exchange 管理シェル内でのみ利用可能 |
otherTelephoneNumber |
代替の会社電話 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [アドレスおよび電話] タブ |
pager |
ポケットベル |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [アドレスおよび電話] タブ |
facsimileTelephoneNumber |
FAX |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [アドレスおよび電話] タブ |
homePhone |
自宅電話 |
ユーザー、連絡先 |
Exchange 管理シェル内でのみ利用可能 |
otherHomePhone |
代替の自宅電話 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [アドレスおよび電話] タブ |
mobile |
モバイル機器 |
ユーザー、連絡先 |
Exchange 管理シェル内でのみ利用可能 |
otherfacsimileTelephoneNumber |
代替の FAX |
連絡先 |
Exchange 管理シェル内でのみ利用可能 |
telephoneAssistant |
秘書の電話 |
連絡先 |
Active Directory サービス インターフェイス (ADSI) Edit/LDAP |
telephoneAssistant |
秘書の電話 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [組織] タブ |
title |
役職 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [組織] タブ |
company |
会社名 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [組織] タブ |
department |
部署 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [組織] タブ |
physicalDeliveryOfficeName |
事業所 |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [組織] タブ |
manager |
マネージャ |
ユーザー、連絡先 |
ユーザーまたは連絡先のプロパティ内の [組織] タブ |
directReports |
直接報告者 |
ユーザー、連絡先 |
Exchange 管理シェル内でのみ利用可能 |
msExchAssistantName |
秘書の名前 |
グループ |
グループのプロパティ内の [グループの情報] タブ |
managedBy |
グループの所有者 |
グループ |
グループのプロパティ内の [グループの情報] タブ |
info |
"メモ" フィールド |
詳細情報
Exchange 管理者の役割を使用してアクセス許可を委任する方法の詳細については、「Add-ExchangeAdministrator」を参照してください。
Exchange 2007 のために、Active Directory とドメインを準備する方法については、「Active Directory とドメインを準備する方法」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。