アクセス許可の Exchange 2003 との共存について
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2016-11-28
Microsoft Exchange Server 2010 と Exchange Server 2003 では、アクセス許可が完全に分かれています。Exchange 2010 と Exchange 2003 では、使用するアクセス許可モデルが異なるためです。既存の Exchange 2003 管理者のアクセス許可を Exchange 2010 サーバーに与えるための手順 (およびその逆) を実行する必要があります。また、Exchange 2010 と Exchange 2003 の管理は、各バージョンの管理ツールを使用して別々に実行します。管理者にアクセス許可を与えて、Exchange 2010 と Exchange 2003 とを組み合わせた組織を管理できるようにできます。
Exchange 2010 と Exchange 2003 の共存計画の詳細については、「Exchange 2003 - アップグレードと共存のロードマップ計画」を参照してください。
Exchange 2010 のアクセス許可
Exchange 2010 では、役割ベースのアクセス制御 (RBAC) のアクセス許可モデルが使用されます。このモデルは、複数ある管理役割のうち 1 つが割り当てられている管理役割グループで構成されます。管理役割には、管理者が Exchange 組織内でタスクを実行できるアクセス許可が含まれています。管理者は役割グループのメンバーとして追加され、その役割の持つすべてのアクセス許可が与えられます。次の表は、役割グループ、役割グループに割り当てられる役割の一部、および役割グループのメンバーとなる可能性のあるユーザーの種類についての説明の一例です。
Exchange 2010 の役割グループと役割の例
| 管理役割グループ | 管理役割 | この役割グループのメンバー |
|---|---|---|
組織の管理 |
この役割グループに割り当てられる役割には、次のようなものがあります。
|
Exchange 2010 組織全体を管理する必要のあるユーザーは、この役割グループのメンバーとなる必要があります。一部の例外を除き、この役割グループのメンバーは Exchange 2010 組織のほぼ全部を管理することができます。 既定では、Exchange 2010 の Active Directory の準備に使用するユーザー アカウントは、この役割グループのメンバーです。 この役割グループの詳細と、この役割グループに割り当てられる役割の完全な一覧については、「組織の管理」を参照してください。 |
組織の管理のみ表示 |
この役割グループに割り当てられる役割は次のとおりです。
|
Exchange 2010 組織全体の構成を表示する必要のあるユーザーは、この役割グループのメンバーとなる必要があります。このようなユーザーは、組織や受信者の構成を変更せずに、サーバー構成と受信者情報を表示して監視機能を実行できる必要があります。 この役割グループの詳細については、「表示専用組織の管理」を参照してください。 |
Recipient Management |
この役割グループに割り当てられる役割は次のとおりです。
|
Exchange 2010 組織でメールボックス、連絡先、配布グループなどの受信者を管理する必要のあるユーザーは、この役割グループのメンバーである必要があります。これらのユーザーは、受信者の作成、既存の受信者の変更や削除、またはメールボックスの移動を行うことができます。 この役割グループの詳細と、この役割グループに割り当てられる役割の完全な一覧については、「受信者の管理」を参照してください。 |
サーバー管理 |
この役割グループに割り当てられる役割には、次のようなものがあります。
|
Exchange サーバーの構成 (受信コネクタ、証明書、データベース、仮想ディレクトリなど) を管理する必要があるユーザーは、この役割グループのメンバーである必要があります。これらのユーザーは、Exchange サーバーの構成の変更、データベースの作成や、トランスポート キューの再起動および操作を行うことができます。 この役割グループの詳細と、この役割グループに割り当てられる役割の完全な一覧については、「サーバー管理」を参照してください。 |
証拠開示管理 |
この役割グループに割り当てられる役割は次のとおりです。
|
法的手続きのサポートまたは法的情報保留の構成のためにメールボックスの検索を実行する必要があるユーザーは、この役割グループのメンバーである必要があります。 これは、法務部門の担当者など、Exchange 管理者でない人が含まれる可能性のある役割グループの一例です。これにより、法務担当者は Exchange 管理者の介入なしにタスクを実行することができます。 この役割グループの詳細と、この役割グループに割り当てられる役割の完全な一覧については、「検出の管理」を参照してください。 |
前の表のように、Exchange 2010 により、管理者に付与するアクセス許可を詳細なレベルで制御できます。Exchange 2010 では、11 の役割グループから選択できます。役割グループおよびそのアクセス許可の完全な一覧については、「組み込みの役割グループ」を参照してください。
Exchange 2010 では役割グループ数が多く、異なる役割を組み合わせて役割グループを作成することによりカスタマイズが可能であるため、Active Directory オブジェクトのアクセス制御リスト (ACL) の操作は不要で無効となります。Exchange 2010 では、ACL を使用して個々の管理者やグループにアクセス許可を適用することはなくなりました。メールボックスを作成する管理者やメールボックスにアクセスするユーザーなど、すべてのタスクは RBAC で管理します。RBAC によりタスクが承認され、かつタスクが許可されている場合は、Exchange が Exchange Trusted Subsystem ユニバーサル セキュリティ グループ (USG) 内のユーザーの代理でこのタスクを実行します。一部の例外を除き、Exchange 2010 がアクセスする必要のある Active Directory 内のオブジェクト上の ACL にはすべて Exchange Trusted Subsystem USG が付与されます。これが、Exchange 2003 のアクセス許可の処理方法から根本的に変更された点です。
Active Directory で与えられるアクセス許可は、Exchange 2010 管理ツールを使用する際に RBAC によって与えられるアクセス許可とは別のものです。
RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。
Exchange 2003 のアクセス許可
Exchange 2003 には、次の管理役割があります。
Exchange 管理者 (参照のみ可) この役割によって、Exchange 2003 サーバーと受信者の情報を表示するアクセス許可が Exchange 2003 管理者に与えられます。
Exchange 管理者 この役割によって、Exchange 2003 サーバーと受信者へのすべてのアクセス許可 (所有権の取得、アクセス許可の変更、およびユーザー メールボックスのオープンを除く) が Exchange 2003 管理者に与えられます。管理者が、オブジェクトの追加またはオブジェクト プロパティの変更は必要とするが、オブジェクトに対するアクセス許可の委任を必要としない場合は、この役割が割り当てられます。
Exchange 管理者 (完全) この役割によって、Exchange 2003 サーバーと受信者へのすべてのアクセス許可 (アクセス許可の変更を含む) が Exchange 2003 管理者に与えられます。 この役割は、オブジェクトに対するアクセス許可の委任を必要とする管理者に割り当てられます。
Exchange 2003 では、管理者をこれらの役割の 1 つに区分することができます。アクセス許可は、ユーザーまたはユーザーがメンバーとなっている USG のいずれかに直接割り当てられます。ユーザーの操作はすべて、そのユーザーの Active Directory アカウントのコンテキスト内で実行されます。
さらに詳細にアクセス許可を割り当てる必要がある場合は、アドレス リストやデータベースなど、個別の Exchange 2003 オブジェクトの ACL を変更する必要があります。管理役割と同じように、ユーザーまたはユーザーがメンバーになっているセキュリティ グループは ACL に直接追加され、ユーザーのコンテキストで操作が実行されます。
Exchange 2003 管理グループの詳細については、Microsoft サポート技術情報の文書番号 823018 「Exchange 2003 で Exchange 管理者ロールのアクセス許可の概要」を参照してください。
Exchange 2010 と Exchange 2003 が共存する場合のアクセス許可
前述のように、Exchange 2010 と Exchange 2003 のアクセス許可モデルは異なります。Exchange 2010 ではアクセス許可の付与に役割グループを使用しますが、Exchange 2003 ではアクセス許可の付与に管理グループと ACL を組み合わせて使用します。Exchange 2010 と Exchange 2003 のアクセス許可は、両方のバージョンが同じフォレスト内に存在していても完全に別のものです。つまり、既定のまま追加構成をしないと、Exchange 2003 管理者には Exchange 2010 サーバーを管理するアクセス許可がなく、Exchange 2010 管理者には Exchange 2003 サーバーを管理するアクセス許可がないことになります。このため、次の点を検討する必要があります。
Exchange 2010 管理者に Exchange 2003 サーバーの管理のためのアクセス権を与えるかどうか。逆も同様です。
Exchange 2010 のアクセス許可をカスタマイズして、Exchange 2003 のカスタマイズと同じにするかどうか。
Exchange 2010 のアクセス許可を Exchange 2003 の管理者に与える
Exchange 2003 管理者が Exchange 2010 サーバーを管理できるようにするには、Exchange 2003 管理者を 1 つまたは複数の Exchange 2010 役割グループのメンバーとして追加する必要があります。役割グループには、ユーザーまたは USG のいずれかを追加できます。役割グループに与えられるアクセス許可は、メンバーとして追加するユーザーまたは USG に適用されます。
重要
ドメインのローカルまたはグローバルの Active Directory セキュリティ グループを使用する場合、これらのセキュリティ グループを Exchange 2010 役割グループのメンバーとして追加するには、USG に変更する必要があります。Exchange 2010 では USG のみがサポートされています。
次の表に、Exchange 2003 管理役割と Exchange 2010 役割グループとの間のマッピングを示します。
Exchange 2003 の管理役割および Exchange 2010 の役割グループ
| Exchange 2003 の管理役割 | Exchange 2010 の役割グループ |
|---|---|
Exchange 管理者 (完全) |
組織の管理 |
Exchange 管理者 |
Exchange 2010 には、同等の役割グループは含まれません。委任の役割割り当てがない場合、組織の管理 役割グループに基づくカスタム役割グループが Exchange 管理者の役割グループと同等の役割グループを持つようにするには、これを Exchange 2010 で作成する必要があります。 カスタム役割グループの作成の詳細については、「役割グループを作成する」を参照してください。 |
Exchange 管理者 (参照のみ可) |
組織の管理のみ表示 |
Exchange 2003 管理者がすべて Exchange 2003 の 3 つの管理役割のいずれかのメンバーである場合は、各管理グループのメンバーを Exchange 2010 の同等の役割グループにそれぞれ追加する必要があります。ユーザーおよび USG の役割グループへの追加の詳細については、「役割グループにメンバーを追加する」を参照してください。
Exchange 2003 オブジェクト上の ACL を変更して Exchange 2003 管理者により詳細なアクセス許可を与えたうえで、これらの管理者に Exchange 2010 サーバーと同様のアクセス許可を割り当てるには、以下の操作を実行する必要があります。
Exchange 2003 オブジェクトへの ACL カスタマイズをインベントリし、各オブジェクトへのアクセス許可を与えられた管理者を識別します。
各 Exchange 2003 オブジェクトを分類 (データベース、サーバー、または受信者オブジェクトであるかどうかなど) します。
対応する Exchange 2010 役割グループにオブジェクトをマッピングします。組み込みの役割グループの一覧については、「組み込みの役割グループ」を参照してください。
各種オブジェクトの USG またはユーザーを、対応する Exchange 2010 役割グループに追加します。ユーザーおよび USG の役割グループへの追加の詳細については、「役割グループにメンバーを追加する」を参照してください。
以上の操作を完了すると、Exchange 2003 管理者は、管理対象の Exchange 2010 オブジェクトにマッピングされる役割グループのメンバーとなります。このような管理者は、Exchange 2010 管理ツールを使用して、Exchange 2010 サーバーおよび受信者を管理できるようになります。
重要
一般的に、Exchange 2003 サーバーと受信者は Exchange 2003 管理ツールで、Exchange 2010 サーバーと受信者は Exchange 2010 管理ツールで管理する必要があります。詳細については、「Exchange 2003 - アップグレードと共存のロードマップ計画」を参照してください。
管理者に与える必要のある特定のアクセス許可のセットが組み込みの役割グループにない場合、カスタム役割グループを作成できます。カスタム役割グループの作成時に、追加する役割を選択できます。これによって、役割グループのメンバーが管理する特定の機能を定義できます。たとえば管理者に配布グループのみを管理させる場合は、カスタム役割グループを作成し、"Distribution Groups/配布グループ" の役割だけを選択することができます。このカスタム役割グループのメンバーは、配布グループのみを管理できます。カスタム役割グループを作成する方法の詳細については、「役割グループを作成する」を参照してください。
特定の Exchange 2003 オブジェクトに選択的なアクセス許可 (管理者に特定のデータベースのみの管理を許可するなど) を与えており、これと同じ構成を Exchange 2010 サーバーに適用する場合は、後の「Exchange 2003 で管理スコープを使用して Exchange 2010 の ACL カスタマイズを再作成する」を参照してください。
Exchange 2003 のアクセス許可を Exchange 2010 の管理者に与える
Exchange 2010 管理者が Exchange 2003 サーバーを管理する場合は、Exchange 2010 管理者を、Exchange 2003 の 3 つの管理グループの 1 つまたは適切な ACL (Exchange 2003 アクセス許可をカスタマイズした場合) に追加します。Exchange 2003 管理グループには、ユーザーまたは USG のいずれかを追加できます。役割グループは USG なので、Exchange 2003 の管理役割に直接追加できます。このトピックでは、Exchange 2010 管理者をビルトイン Exchange 2003 管理グループに追加することについて説明します。
前の "Exchange 2003 管理役割と Exchange 2010 役割グループ" の表に記載されている Exchange 2010 役割グループと Exchange 2003 管理グループとの間のマッピングと同じものが適用されます。Exchange 2010 組織の管理者が Exchange 2003 管理役割に対してフル アクセスできるようにするには、組織の管理 役割グループを Exchange 管理者 (完全) の管理グループに追加します。組織の管理のみ表示 役割グループと Exchange 管理者 (参照のみ可) の管理グループで、同じ手順を実行します。
以上の操作を完了すると、Exchange 2010 管理者は、所属する役割グループにマッピングされる管理グループのメンバーとなり、Exchange 2003 管理ツールを使用して Exchange 2003 サーバーおよび受信者を管理できるようになります。
重要
一般的に、Exchange 2003 サーバーと受信者は Exchange 2003 管理ツールで、Exchange 2010 サーバーと受信者は Exchange 2010 管理ツールで管理する必要があります。詳細については、「Exchange 2003 - アップグレードと共存のロードマップ計画」を参照してください。
Exchange 2003 管理グループへのユーザーまたは USG の追加の詳細については、サポート技術情報の文書番号 823018 「Exchange 2003 で Exchange 管理者ロールのアクセス許可の概要」を参照してください。
Exchange 2010 で管理スコープを使用して Exchange 2003 の ACL カスタマイズを再作成する
Exchange 2003 では、特定のメールボックス ストアやユーザーを管理したり、メールボックスの作成先のメールボックス ストアを制御したりすることができるユーザーを制限する場合は、制限しようとするオブジェクトの ACL を変更する必要があります。Exchange 2010 にも同じ機能がありますが、ACL を変更する必要はありません。管理スコープ (RBAC のコンポーネント) を使用して制限します。
管理スコープを使用すると、組み込みのスコープとカスタム スコープにより、管理者が管理できるオブジェクトを定義できます。管理スコープを適用すると、管理できる受信者、メールボックスを作成できるメールボックス データベースや、管理者の小規模グループのみで管理する必要がある受信者やサーバーを定義できます。
次の種類の管理スコープを作成できます。
定義済み相対 Exchange 2010 には、定義済み相対スコープが含まれます。ユーザーが参照して変更できる内容を制御できます。たとえば、定義済み相対スコープを使用すると、ユーザー自身に関する情報のみを参照するよう制御したり、組織全体に関する情報を参照するよう制御したりできます。
受信者 受信者スコープによって、管理者が作成、変更、または削除できる受信者を制御します。これは組織単位 (OU)、受信者フィルター、またはその両方に基づきます。受信者フィルターによって、受信者がスコープに含まれるために一致する必要がある条件を指定します。たとえば、特定の場所や部署の全ユーザーが含まれる受信者フィルター スコープを作成する場合などがあります。OU と受信者フィルターを組み合わせて、特定の OU 内の特定のマネージャーのみにレポートするユーザーという条件に一致させることもできます。
サーバー サーバー スコープによって、管理者が管理できるサーバーを制御します。サーバー リストまたはサーバー フィルターのいずれかを指定できます。サーバー リストを使用して、管理できるサーバーの静的一覧を定義します。サーバー フィルターは受信者フィルターと同様に機能します。このフィルターで、一致する必要がある条件を指定できます。たとえば、特定の Active Directory サイト内の全サーバーという条件に一致するサーバー スコープを作成する場合があります。
データベース データベース スコープによって、管理者が管理できるデータベースを制御します。データベース スコープにより、メールボックスの作成先や移動先にすることのできるデータベースも制御できます。データベース スコープは、サーバー スコープと同様に、リストまたはフィルターとして定義できます。たとえば、特定の支社が管理する特定のメールボックス データベースで、管理者によるメールボックスの作成や移動を許可するリストやフィルターを作成する場合があります。
排他的 定義済み相対スコープを除き、前述のスコープはすべて排他的スコープとしても作成することができます。排他的スコープは、ACL の拒否のアクセス制御エントリ (ACE) のように機能します。排他的スコープと一致するオブジェクトがあると、その他の排他的でないスコープがそのオブジェクトと一致している場合でも、排他的スコープが割り当てられている管理者のみがそのオブジェクトを管理できます。これは、上級管理者の場合に特に便利です。数人の非常に信頼されている人だけが上級管理者のメールボックスを管理できるようにしたい場合があるからです。別の広範囲な標準の受信者スコープに上級管理者のメールボックスが含まれていても、その広範囲な標準の受信者スコープが割り当てられている管理者に排他的スコープも割り当てられていない限り、その管理者は上級管理者のメールボックスを管理できません。
管理スコープは、管理役割、管理役割の割り当て、および管理役割グループで、オブジェクトの管理者と種類、および管理場所を制御するために使用されます。詳細については、以下のトピックを参照してください。
カスタマイズした ACL を使用して Exchange 2003 で定義した管理スコープを使用し、Exchange 2010 で同じアクセス許可モデルを作成するには、カスタマイズした ACL をインベントリし、その ACL と一致する管理スコープを作成する必要があります。受信者、サーバー、およびデータベース オブジェクトで使用できるフィルター可能なプロパティを使用して、各管理スコープでアクセスを制御するオブジェクトを含む管理スコープを作成できます。管理スコープ フィルターで使用できるプロパティの詳細については、「管理ロールのスコープ フィルターについて」を参照してください。
管理スコープ作成の詳細については、「通常または排他スコープを作成する」を参照してください。
© 2010 Microsoft Corporation.All rights reserved.