組織の管理

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2015-03-09

組織の管理 管理役割グループは、Microsoft Exchange Server 2010 の役割ベースのアクセス制御 (RBAC) というアクセス許可モデルを構成するいくつかの組み込みの役割グループの 1 つです。役割グループには、指定された一連のタスクの実行に必要なアクセス許可を含む 1 つ以上の管理役割が割り当てられます。役割グループのメンバーには、役割グループに割り当てられた管理役割に対するアクセス権が付与されます。役割グループの詳細については、「管理役割グループについて」を参照してください。

組織の管理役割グループのメンバーである管理者は、Microsoft Exchange Server 2010 組織全体に対する管理アクセス許可を持ち、一部の例外を除き、任意の Exchange 2010 オブジェクトに対してほぼすべてのタスクを実行できます。既定では、この役割グループのメンバーは、メールボックスの検索および対象範囲外の最上位の管理役割の管理はできません。詳細については、後の「委任専用の役割の割り当て」を参照してください。

重要

組織の管理 役割グループは極めて強力な役割であるため、Exchange 組織全体に影響を与える可能性がある組織レベルの管理タスクを実行するユーザーまたはユニバーサル セキュリティ グループ (USG) のみ、この役割グループのメンバーにする必要があります。

この役割グループは、Exchange Server 2007 での Exchange 組織管理者の役割と同等です。

RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。

役割グループ メンバーシップ

既定では、組織で Exchange 2010 のインストールに使用されるアカウントが組織の管理役割グループのメンバーとして追加されます。このアカウントは、必要に応じて他のメンバーを役割グループに追加できます。

この役割グループに対してメンバーを追加または削除する場合、次のトピックを参照してください。

• 役割グループにメンバーを追加する

• 役割グループからメンバーを削除する

既定では、"Organization Management/組織の管理" 役割グループのメンバーのみ、この役割グループに対してメンバーを追加または削除できます。他の役割グループの委任を追加する方法の詳細については、「役割グループの委任を追加または削除する」を参照してください。

次のコマンドを使用して、この役割グループのメンバーであるユーザーまたは USG の一覧を表示できます。

Get-RoleGroupMember "Organization Management"

役割グループのメンバーの詳細については、「役割グループのメンバーを表示する」を参照してください。

役割グループのカスタマイズ

この役割グループには、既定で管理役割が割り当てられます。含まれている役割の一覧については、「この役割グループに割り当てられている管理役割」を参照してください。組織のニーズに合わせて、この役割グループに対して役割の割り当てを追加または削除できます。

Exchange 2010 で提供される役割グループは、よりきめ細かなタスクに合うように設計されています。役割を役割グループに割り当てることで、その役割グループのメンバーがその役割に関連付けられているタスクを実行できるようにできます。たとえば、"Journaling /ジャーナリング" 役割では、ジャーナリング エージェントとジャーナリング ルールを管理できます。役割グループに役割を割り当てる方法については、「管理役割の割り当てについて」を参照してください。

この役割グループに割り当てられる役割には、既定の管理スコープが与えられます。管理スコープは、役割グループのメンバーが表示または変更できる Exchange オブジェクトを決定します。役割と役割グループ間の割り当てに関連付けられているスコープは、変更できます。たとえば、役割グループのメンバーのみが特定の組織単位または特定の場所の受信者を変更できるようにする場合に、この操作を行うことができます。管理スコープの詳細については、「管理役割スコープについて」を参照してください。

この役割グループのカスタマイズ方法について詳しくは、次のトピックを参照してください。

• 役割グループに役割を追加する

• 役割グループから役割を削除する

• 役割グループにメンバーを追加する

• 役割グループからメンバーを削除する

• 役割グループ内の役割の割り当てのスコープを変更する

役割グループを作成し、この役割グループに割り当てられている役割の一部を新しい役割グループに割り当てる場合は、「役割グループを作成する」をご覧ください。

この役割をカスタマイズするいくつかの方法を次に示します。

• アクセス許可の所有者   組織内のアクセス許可が Exchange 管理者以外の特定のグループによって制御されている場合、役割グループを作成して、その新しい役割グループに "Role Management/役割管理" 役割の正規と委任の役割割り当てを移動できます。こうすることにより、組織の管理役割グループのメンバーが RBAC アクセス許可を管理できないようにできます。

• Active Directory の分割型アクセス許可   ユーザー アカウントなどの組織内のセキュリティ プリンシパルの作成が、Exchange 管理者以外の特定のグループによって制御されている場合、役割グループを作成して、その新しい役割グループに、"Mail Recipient Creation/メール受信者の作成" 役割および "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割の正規と委任の役割割り当てを移動できます。これを行うと、組織の管理 役割グループのメンバーが Active Directory オブジェクトを作成できなくなります。ただしメンバーは、新しい Active Directory オブジェクトのメールを引き続き有効にすることができます。分割型アクセス許可の詳細については、「分割型アクセス許可について」を参照してください。

カスタマイズの制限

この役割グループに対しては、次の制限付きで、任意の役割を追加または削除できます。

• この役割グループから委任役割割り当てを削除する前に、すべての役割に、役割グループまたは USG に対する少なくとも 1 つの委任役割割り当てがある必要があります。

• この役割グループから正規の役割割り当てを削除する前に、"Role Management/役割管理" 役割に、役割グループまたは USG に対する少なくとも 1 つの正規の役割割り当てがある必要があります。

これらの制限は、システムから自分自身を誤ってロックアウトしないようにすることを目的としています。すべての役割と 1 つ以上の役割グループまたは USG 間に少なくとも 1 つの委任役割割り当てを存在するように要求することで、常に役割を役割担当者に割り当てられるようになります。"Role Management/役割管理" 役割と 1 つ以上の役割グループまたは USG 間に少なくとも 1 つの正規の役割割り当てが存在するように要求することで、常に役割グループと役割の割り当てを構成できるようになります。

重要

これらの制限により、役割グループまたは USG を委任または正規の役割割り当ての対象にすることが必要になります。最後の割り当てがユーザーに対するものである場合、"Role Management/役割管理" 役割の委任役割割り当てまたは正規の割り当てを削除することはできません。

委任専用の役割の割り当て

組織の管理役割グループと、"Mailbox Search/メールボックス検索" や "Unscoped Role Management/スコープ外役割管理" などの管理役割間の一部の役割の割り当ては、委任専用の役割の割り当てです。これらの役割を使用すると、メールボックスの内容などの機密情報や個人情報にアクセスしたり、強力な対象範囲外の管理役割を作成したりできます。

委任専用の役割割り当てを使用すると、組織の管理役割グループのメンバーのみ、関連する役割を他の役割グループ、管理役割割り当てポリシー、ユーザー、または USG に割り当てられるようになります。組織の管理役割グループのメンバーには、既定では、その役割が提供するアクセス許可が付与されません。これにより、個人情報の誤った公開や特権の誤った昇格を避けられるようになります。

ただし、組織の管理役割グループのメンバーは、自分自身に任意の役割を割り当てられるため、実質的にすべてのタスクを実行できます。たとえば、組織の管理役割グループのメンバーは、"Mailbox Search/メールボックス検索" 役割を組織の管理役割グループに割り当てることができます。この役割の割り当てを行うと、組織の管理役割グループのメンバーは、"Mailbox Search/メールボックス検索" 役割によって有効にされたタスクを実行できます。

委任役割割り当ての詳細については、「管理役割の割り当てについて」を参照してください。

追加のアクセス許可

組織の管理役割グループのメンバーに付与されるアクセス許可は、主にその役割グループに割り当てられた管理役割によって決まります。ただし、実行する必要があるタスクには、管理役割の対象に含まれていないタスクが存在します。一部のタスクは Exchange 管理ツール外で行われるため、RBAC アクセス許可モデルは適用されません。これらのタスクについては、組織の管理役割グループを特定の Active Directory オブジェクトのアクセス制御リスト (ACL) に追加することで、アクセス許可を提供します。

次のタスクに対するアクセス許可の付与は、組織の管理役割グループに割り当てられた管理役割でなく、Active Directory オブジェクトの ACL によって行われます。

• Setup.exe による DomainPrep と ForestPrep の実行

• 組織内の追加のサーバーの展開

• 委任セットアップによるサーバーのプロビジョニング

• 最上位のパブリック フォルダーの作成、管理、および削除

• 最上位パブリック フォルダーのアクセス許可の管理

ACL を使用して 組織の管理 役割グループに付与されたすべてのアクセス許可を確認するには、「Exchange 2010 の展開のアクセス許可のリファレンス」を参照してください。

この役割グループに割り当てられている管理役割

次の表は、この役割グループに割り当てられるすべての管理役割、および各役割の割り当ての次の属性の一覧です。

• 正規割り当て   役割グループのメンバーが、関連付けられている管理役割によって利用可能にされた管理役割エントリにアクセスできるようにします。

• 委任割り当て   役割グループのメンバーが、特定の役割を他の役割グループ、役割割り当てポリシー、ユーザー、または USG に割り当てられるようにします。

• 受信者の読み取りスコープ   Active Directory から読み取りできる役割グループの受信者オブジェクト メンバーを決定します。

• 受信者の書き込みスコープ   Active Directory で変更できる役割グループの受信者オブジェクト メンバーを決定します。

• 構成の読み取りスコープ   Active Directory から読み取りできる役割グループの構成オブジェクトとサーバー オブジェクトのメンバーを決定します。

• 構成の書き込みスコープ   Active Directory で変更できる役割グループの構成オブジェクトとサーバー オブジェクトのメンバーを決定します。

役割の割り当てと管理スコープについて詳しくは、次のトピックを参照してください。

• 管理役割の割り当てについて

• 管理役割スコープについて

この役割グループに割り当てられている管理役割

管理役割	正規の割り当て	委任の割り当て	受信者の読み取りスコープ	受信者の書き込みスコープ	構成の読み取りスコープ	構成の書き込みスコープ
"Active Directory Permissions/Active Directory アクセス許可" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Address Lists/アドレス一覧" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
ApplicationImpersonation 役割		X	Organization	Organization	None	None
"Audit Logs/監査ログ" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Cmdlet Extension Agents/コマンドレット拡張エージェント" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Database Availability Groups/データベース可用性グループ" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Database Copies/データベース コピー" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Databases/データベース" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Disaster Recovery/障害回復" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Distribution Groups/配布グループ" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Edge Subscriptions/エッジ サブスクリプション" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"E-Mail Address Policies/電子メール アドレス ポリシー" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Exchange Connectors/Exchange コネクター" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Exchange Server Certificates/Exchange Server 証明書" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
Exchange Servers 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Exchange Virtual Directories/Exchange 仮想ディレクトリ" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Federated Sharing/フェデレーションの共有" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
Information Rights Management 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Journaling/ジャーナリング" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Legal Hold/法的情報保留" 役割	X	X	Organization	Organization	OrganizationConfig	None
"Mail Enabled Public Folders/メールが有効なパブリック フォルダー" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Mail Recipient Creation Role/メール受信者の作成" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Mail Recipient/メール受信者" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Mail Tips/メール ヒント" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Mailbox Import Export/メールボックスのインポート エクスポート" 役割		X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Mailbox Search/メールボックス検索" 役割		X	Organization	Organization	None	None
"Message Tracking/メッセージ追跡" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Migration/移行" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Monitoring/監視" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Move Mailboxes/メールボックスの移動" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Organization Client Access/組織クライアント アクセス" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Organization Configuration/組織の構成" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Organization Transport Settings/組織トランスポート設定" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"POP3 and IMAP4 Protocols/POP3 および IMAP4 プロトコル" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Public Folder Replication/パブリック フォルダーのレプリケーション" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Public Folders/パブリック フォルダー" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Receive Connectors/受信コネクター" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Recipient Policies/受信者ポリシー" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Remote and Accepted Domains/リモートおよび承認済みドメイン" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Retention Management/保有管理" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Role Management/役割管理" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Send Connectors/送信コネクタ" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Support Diagnostics/サポート診断" 役割		X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Transport Agents/トランスポート エージェント" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Transport Hygiene/トランスポート検疫" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Transport Queues/トランスポート キュー" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Transport Rules/トランスポート ルール" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"UM Mailboxes/UM メールボックス" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"UM Prompts/UM プロンプト" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Unscoped Role Management/スコープ外役割管理" 役割		X	Organization	Organization	OrganizationConfig	OrganizationConfig
"Unified Messaging/ユニファイド メッセージング" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
"User Options/ユーザー オプション" 役割	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
表示専用の監査ログの役割	X	X	Organization	None	OrganizationConfig	None
"View-Only Configuration/表示専用構成" 役割	X	X	Organization	None	OrganizationConfig	None
"View-Only Recipients/表示専用受信者" 役割	X	X	Organization	None	OrganizationConfig	None
MyBaseOptions 役割		X	Self	Self	OrganizationConfig	OrganizationConfig
MyContactInformation 役割		X	Self	Self	OrganizationConfig	OrganizationConfig
MyDiagnostics 役割		X	Self	Self	OrganizationConfig	OrganizationConfig
MyDistributionGroupMembership 役割		X	MyGAL	MyGAL	None	None
MyDistributionGroups 役割		X	MyGAL	MyDistributionGroups	OrganizationConfig	None
MyProfileInformation 役割		X	Self	Self	OrganizationConfig	OrganizationConfig
MyRetentionPolicies 役割		X	Self	Self	OrganizationConfig	OrganizationConfig
MyTextMessaging 役割		X	Self	Self	OrganizationConfig	OrganizationConfig
MyVoiceMail 役割		X	Self	Self	OrganizationConfig	OrganizationConfig

 © 2010 Microsoft Corporation.All rights reserved.