受信者テンプレートをセキュリティで保護する方法
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2007-03-26
Microsoft Exchange Server 2007 では、既存の受信者をテンプレートとして使用できます。これにより、すべての構成設定を明示的に指定する必要がなく、一貫した方法で受信者を準備できます。新しい受信者を作成する際に既存の受信者をテンプレートとして使用できますが、この目的専用の特定の受信者を維持することもできます。新しい受信者を準備するためのテンプレートとしてのみ使用される受信者は、受信者テンプレートと呼ばれます。
受信者テンプレートは、実際の人物、リソース、またはグループとは関連付けられていません。そのため、汎用アカウントを使用することに関連するリスクを最小限にするため、受信者テンプレートをセキュリティで保護する必要があります。これは、メールボックスおよびメール ユーザー テンプレートで特に重要です。両方とも Active Directory ディレクトリ サービス ログオン資格情報を持ち、適切にセキュリティで保護されていない場合、予期しない方法で組織のリソースへのアクセスに使用できるためです。
ここでは、Active Directory ユーザーとコンピュータおよび Exchange 管理コンソールまたは Exchange 管理シェルを使用して、受信者テンプレートをセキュリティで保護する方法について説明します。
開始する前に
この手順を実行するには、使用するアカウントに次の役割が委任されている必要があります。
- Exchange 受信者管理者の役割
- 該当する Active Directory コンテナのアカウント オペレータの役割
アクセス許可、役割の委任、および Exchange 2007 を管理するために必要な権限の詳細については、「アクセス許可に関する考慮事項」を参照してください。
手順
受信者テンプレートをセキュリティで保護するために実行する手順は、すべての受信者で同じです。ただし、メールボックスやメール ユーザーなど、Active Directory ログオン資格情報を持つ受信者に対しては、追加のタスクを実行する必要があります。このトピックは次のセクションに分けられています。
- メールボックスおよびメール ユーザー テンプレートのセキュリティ保護
- 配布グループ、動的配布グループ、およびメール連絡先テンプレートのセキュリティ保護
メールボックスおよびメール ユーザー テンプレートのセキュリティ保護
メールボックス テンプレートとメール ユーザー テンプレートは両方とも、Active Directory ログオン資格情報を持ち、アクセス許可を与えられたリソースにアクセスできます。そのため、メールボックスまたはメール ユーザー テンプレートの関連付けられたユーザー アカウントが、リソースへのアクセスに使用されないようにする必要があります。
.gif "note") 注 : |
|---|
| このセクションの手順ではメールボックス テンプレートをセキュリティで保護する方法を示しますが、メール ユーザー テンプレートでも手順は同じです。 |
少なくとも、メールボックスおよびメール ユーザー テンプレートをセキュリティで保護するには、次の手順を実行する必要があります。
Active Directory ユーザーとコンピュータを使用してメールボックス テンプレートをセキュリティで保護するには、次の操作を行います。
Active Directory ユーザーとコンピュータを開始します。
コンソール ツリーで、メールボックス テンプレートのユーザー アカウントが属する組織単位 (OU) を選択します。
詳細ウィンドウで、メールボックス テンプレートと関連付けられたユーザー アカウントを右クリックし、[アカウントの無効化] をクリックします。この手順により、アカウントが Active Directory へのログオンに使用できなくなります。
無効にしたユーザー アカウントを右クリックし、[プロパティ] をクリックします。
[<メールボックス> のプロパティ] の [所属するグループ] タブで、[追加] をクリックして [グループの選択] ダイアログ ボックスを開きます。
[選択するオブジェクト名を入力してください] ボックスで "テンプレート アカウント" と入力し、[名前の確認] をクリックします。
[OK] をクリックして、[グループの選択] ダイアログ ボックスを閉じます。
[所属するグループ] で [テンプレート アカウント] グループをクリックし、[プライマリ グループの設定] をクリックします。
[ドメイン ユーザー] グループを選択し、[削除] をクリックします。この手順により、誤って有効にされた場合であっても、アカウントはネットワーク リソースへのアクセスが取得できなくなります。
.gif "important")
重要 :テンプレート ユーザーがドメイン ユーザー セキュリティ グループのみのメンバである場合、これはそのユーザーのプライマリ セキュリティ グループであるため、そのメンバシップを削除することはできません。Active Directory では、すべてのユーザーが少なくとも 1 つのセキュリティ グループのメンバである必要があります。そのため、テンプレートとして使用するすべてのユーザー アカウントのプライマリ セキュリティ グループとして使用する専用のセキュリティ グループを作成する必要があります。このセキュリティ グループを、アクセス許可を割り当てるために使用することはできません。グループをセキュリティで保護する方法の詳細については、Active Directory の管理グループとアカウントのセキュリティ保護に関するページを参照してください (このサイトは英語の場合があります)。この手順では、管理者がこの目的のために "テンプレート アカウント" と呼ばれるセキュリティ グループを既に作成していることが前提となっています。 [OK] をクリックします。
メールボックスまたはメール ユーザー テンプレートをセキュリティで保護するためには、次の追加手順もお勧めします。ただし、次の手順を実行することにより変更された構成設定は、このテンプレートを使用することにより準備された新しい受信者にコピーされます。そのため、次の手順を実行した場合、このテンプレートを使用することにより準備された新しい受信者に関するこれらの設定を必ずリセットしてください。
Exchange 管理コンソールを使用してメールボックス テンプレートをセキュリティで保護するための追加手順を行うには、次の操作を行います。
Exchange 管理コンソールを起動します。
コンソール ツリーで、[受信者の構成] をクリックします。
結果ウィンドウで、メールボックス テンプレートを右クリックし、[プロパティ] をクリックします。
[<メールボックス テンプレート> のプロパティ] の [全般] タブで、[Exchange アドレス一覧に表示しない] チェック ボックスをオンにします。これにより、メールボックスまたはメール ユーザー テンプレートは、グローバル アドレス一覧 (GAL) またはその他の Exchange アドレス一覧に表示されなくなります。
[<メールボックス テンプレート> のプロパティ] の [メール フローの設定] タブで、[メッセージのサイズ制限] を選択し、[プロパティ] をクリックします。
[メッセージのサイズ制限] で、[受信メッセージ サイズ] の [最大メッセージ サイズ (KB)] チェック ボックスをオンにします。テキスト ボックスに 0 と入力します。受信者テンプレートは監視されないため、この手順によりメールボックス テンプレートは電子メール メッセージを受信しなくなります。
[OK] をクリックします。
[OK] をクリックします。
Exchange 管理シェルを使用してメールボックス テンプレートをセキュリティで保護するための追加手順を行うには、次の操作を行います。
メールボックス テンプレート Template Mailbox をセキュリティで保護するための追加手順を行うには、次のコマンドを実行します (メール ユーザーの場合は、同じパラメータで Set-MailUser コマンドレットを使用します)。
Set-Mailbox -Identity "Template Mailbox" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
セキュリティで保護された受信者テンプレートを使用することで準備された新しいメールボックスまたはメール ユーザー用のこれらの追加設定をリセットするには、以前の手順を繰り返し、変更を元に戻します。ただし、Exchange 管理シェルのパイプライン処理機能では、1 行のコードを使用するだけで新しい受信者を準備し、これらの設定をリセットすることができます。次の例は、メールボックスに対してこれを実行しています。プロセスはメール ユーザーでも同じですが、代わりに Get-MailUser、New-MailUser、および Set-MailUser コマンドレットを使用する必要があります。
Exchange 管理シェルを使用して、受信者テンプレートを使用することで新しいメールボックスを作成し、メールボックス テンプレートをセキュリティで保護するために行われた追加の構成設定をリセットするには、次の操作を行います。
メールボックス テンプレート Template Mailbox を使用することで John Smith 用のメールボックスを作成するために、次のコマンドを実行します (New-Mailbox コマンドレットの結果は、メールボックス テンプレートをセキュリティで保護するために行われた追加の構成設定をリセットするために、Set-Mailbox コマンドレットに対してパイプライン処理されます)。
$Temp = Get-Mailbox "Template Mailbox" New-Mailbox -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-Mailbox -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimitedパスワードの入力を求められたら、新しいメールボックスのパスワードを入力します。
構文およびパラメータの詳細については、以下の関連トピックを参照してください。
配布グループ、動的配布グループ、およびメール連絡先テンプレートのセキュリティ保護
配布グループ、動的配布グループ、およびメール連絡先テンプレートをセキュリティで保護するためには、次の手順をお勧めします。ただし、次の手順を実行することにより変更された構成設定は、このテンプレートを使用することにより準備された新しい受信者にコピーされます。そのため、次の手順を実行した場合、このテンプレートを使用することにより準備された新しい受信者に関するこれらの設定を必ずリセットしてください。
| 重要 : |
|---|
| ユニバーサル セキュリティ グループは、配布グループ テンプレートとしては使用しないでください。ユニバーサル セキュリティ グループは、Active Directory 内のリソースへのアクセス許可を付与するために使用できます。新しい配布グループの配布グループの種類を指定する必要があるため、Active Directory のセキュリティ プリンシパルを持つグループを配布グループ テンプレートとして使用すると、不必要なセキュリティ リスクとなります。 |
| 注 : |
|---|
| このセクションの手順ではメール連絡先テンプレートをセキュリティで保護する方法を示しますが、配布グループまたは動的配布グループ テンプレートでも手順は同じです。 |
Exchange 管理コンソールを使用してメール連絡先テンプレートをセキュリティで保護するには、次の操作を行います。
Exchange 管理コンソールを起動します。
コンソール ツリーで、[受信者の構成] をクリックします。
結果ウィンドウで、メール連絡先テンプレートを右クリックし、[プロパティ] をクリックします。
[<メール連絡先テンプレート> のプロパティ] の [全般] タブで、[Exchange アドレス一覧に表示しない] チェック ボックスをオンにします。これにより、メール連絡先テンプレートは、グローバル アドレス一覧 (GAL) またはその他の Exchange アドレス一覧に表示されなくなります。
[<メール連絡先テンプレート> のプロパティ] の [メール フローの設定] タブで、[メッセージのサイズ制限] を選択し、[プロパティ] をクリックします。
[メッセージのサイズ制限] で、[受信メッセージ サイズ] の [最大メッセージ サイズ (KB)] チェック ボックスをオンにします。テキスト ボックスに 0 と入力します。受信者テンプレートは監視されないため、この手順によりメール連絡先テンプレートは電子メール メッセージを受信しなくなります。
[OK] をクリックします。
[OK] をクリックします。
Exchange 管理シェルを使用してメール連絡先テンプレートをセキュリティで保護するには、次の操作を行います。
メール連絡先テンプレート Template Mail Contact をセキュリティで保護するための追加手順を行うには、次のコマンドを実行します (同じパラメータで、配布グループの場合は Set-DistributionGroup コマンドレットを使用し、動的配布グループの場合は Set-DynamicDistributionGroup コマンドレットを使用します)。
Set-MailContact -Identity "Template Mail Contact" -HiddenFromAddressListsEnabled $true -MaxReceiveSize 0KB
セキュリティで保護された受信者テンプレートを使用することで準備された受信者用のこれらの追加設定をリセットするには、以前の手順を繰り返し、変更を元に戻します。ただし、Exchange 管理シェルのパイプライン処理機能では、1 行のコードを使用するだけで新しい受信者を準備し、これらの設定をリセットすることができます。次の例は、メール連絡先に対してこれを実行しています。手順は配布グループまたは動的配布グループでも同じですが、代わりに配布グループの受信者の種類には Get-DistributionGroup、New-DistributionGroup、および Set-DistributionGroup コマンドレットを使用し、動的配布グループの受信者の種類には Get-DynamicDistributionGroup、New-DynamicDistributionGroup、および Set-DynamicDistributionGroup コマンドレットを使用する必要があります。
Exchange 管理シェルを使用して、受信者テンプレートを使用することで新しいメール連絡先を作成し、メール連絡先テンプレートをセキュリティで保護するために行われた追加の構成設定をリセットするには、次の操作を行います。
メール連絡先テンプレート Template Mail Contact を使用することで John Smith 用のメール連絡先を作成するために、次のコマンドを実行します (New-MailContact コマンドレットの結果は、メール連絡先テンプレートをセキュリティで保護するために行われた追加の構成設定をリセットするために、Set-MailContact コマンドレットに対してパイプライン処理されます)。
$Temp = Get-MailContact "Template Mail Contact" New-MailContact -Name "John Smith" -UserPrincipalName "jsmith@contoso.com" -OrganizationalUnit "contoso.com/Users" -Database "Server01\Mailbox Database" -TemplateInstance $Temp | Set-MailContact -HiddenFromAddressListsEnabled $false -MaxReceiveSize unlimited
構文およびパラメータの詳細については、以下の関連トピックを参照してください。
- Get-MailContact
- New-MailContact
- Set-MailContact
- Get-DistributionGroup
- New-DistributionGroup
- Set-DistributionGroup
- Get-DynamicDistributionGroup
- New-DynamicDistributionGroup
- Set-DynamicDistributionGroup
詳細情報
受信者テンプレートを使用することで受信者を作成する詳細な手順については、「テンプレートを使用して受信者を作成する方法」を参照してください。
受信者の詳細については、「受信者について」を参照してください。
Exchange 管理シェルでのパイプライン処理機能の詳細については、「パイプライン処理」を参照してください。
Exchange 2007 での管理インターフェイスの詳細については、「管理インターフェイス」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。