通常または排他スコープを作成するCreate a regular or exclusive scope

製品: Exchange Server 2013Applies to: Exchange Server 2013

管理役割スコープでユーザーが使用できるオブジェクトを決定すると、割り当てられたコマンドレットとパラメーターを使用してオブジェクトを変更できます。管理スコープを追加することで、ユーザーが組織内の特定のサーバー、データベース、受信者、およびその他のオブジェクトを管理できると同時に、その他のオブジェクトへの変更が制限されるように、管理役割の割り当てを構成することができます。Management role scopes determine what objects are made available to a user so that the objects can be changed using the cmdlets and parameters assigned to them. By adding a management scope, you can configure management role assignments so users can administer specific servers, databases, recipients, and other objects in your organization while being restricted from changing other objects.

重要

通常または排他的スコープを作成すると、割り当てる管理役割で定義された書き込みスコープが無効になります。管理役割で構成された読み取りスコープは、無効にすることはできません。When you create a regular or exclusive scope, you override the write scope that's defined on the management role you're assigning. You can't override the read scope that's configured on the management role.

カスタム管理スコープを作成して、管理役割の割り当てを追加または変更することができます。事前に作成された管理スコープまたは組織単位 (OU) 管理スコープで管理役割割り当てを作成する場合は、「ユーザーまたは USG に役割を追加する」を参照してください。You can create a custom management scope and add or change a management role assignment. If you want to create a management role assignment with a prebuilt or organizational unit (OU) management scope, see Add a role to a user or USG.

Microsoft Exchange Server 2013 での管理役割スコープおよび割り当ての詳細については、以下のトピックを参照してください。For more information about management role scopes and assignments in Microsoft Exchange Server 2013, see the following topics:

スコープに関連する他の管理タスクについては、「高度な権限」を参照してください。Looking for other management tasks related to scopes? Check out Advanced permissions.

始める前に把握しておくべき情報What do you need to know before you begin?

  • 各手順の推定完了時間:5 分Estimated time to complete each procedure: 5 minutes

  • この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「管理スコープ」。You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Management scopes" entry in the Role management permissions topic.

  • これらの手順を実行するには、シェルを使用する必要があります。You must use the Shell to perform these procedures.

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

ヒント

問題がある場合は、Having problems? Exchange のフォーラムで質問してください。Ask for help in the Exchange forums. Exchange Serverでフォーラムを参照してください。Visit the forums at Exchange Server.

手順 1:カスタム スコープを作成するStep 1: Create a custom scope

カスタム スコープを作成するには、次のいずれかのスコープの種類を選択します。To create a custom scope, choose one of the following types of scopes.

受信者フィルター スコープRecipient filter scope

受信者フィルターベースのスコープは、 RecipientRestrictionFilterパラメーターを使用して作成された、新しい managementscopeコマンドレットです。Recipient filter-based scopes are created by using the RecipientRestrictionFilter parameter on the New-ManagementScope cmdlet. フィルター処理する受信者プロパティのほかに、受信者フィルターを作成すると、フィルター クエリーを実行する OU を指定できます。When you create a recipient filter, in addition to the recipient properties to filter, you can specify the OU in which the filter query runs. ベース OU を指定すると、役割の書き込みスコープがさらに制限されます。When you specify a base OU, you further restrict the write scope of the role.

管理スコープ フィルターの詳細については、「管理ロールのスコープ フィルターについて」を参照してください。For more information about management scope filters, see Understanding management role scope filters.

次の構文を使用して、ベース OU を指定したドメイン制限フィルター スコープを作成します。Use the following syntax to create a domain restriction filter scope with a base OU.

New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]

この例では、contoso.com/Sales OU 内のすべてのメールボックスを取り込むスコープを作成します。This example creates a scope that includes all mailboxes within the contoso.com/Sales OU.

New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter { RecipientType -eq 'UserMailbox' } -RecipientRoot "contoso.com/Sales OU"

注意

フィルターを特定の OU 内だけでなく、管理役割の暗黙的な読み取りスコープ全体に適用する場合は、受信者ルートパラメーターを省略できます。You can omit the RecipientRoot parameter if you want the filter to apply to the entire implicit read scope of the management role and not just within a specific OU.

構文およびパラメーターの詳細については、「New-ManagementScope」を参照してください。For detailed syntax and parameter information, see New-ManagementScope.

サーバー フィルターの構成スコープServer filter configuration scope

サーバーフィルターベースの構成スコープは、 ServerRestrictionFilterパラメーターを使用して、新しい managementscopeコマンドレットで作成します。Server filter-based configuration scopes are created by using the ServerRestrictionFilter parameter on the New-ManagementScope cmdlet. サーバー フィルターを使用すると、指定するフィルターに一致するサーバーのみに適用されるスコープを作成できます。A server filter enables you to create a scope that applies only to the servers that match the filter you specify.

管理スコープ フィルターの詳細情報およびフィルター可能なサーバー プロパティの一覧については、「管理ロールのスコープ フィルターについて」を参照してください。For more information about management scope filters and for a list of filterable server properties, see Understanding management role scope filters.

サーバー フィルター スコープを作成するには、次の構文を使用します。Use the following syntax to create a server filter scope.

New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>

この例では、すべてのサーバーを 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com' AD (Active Directory) サイト内に含めるスコープを作成します。This example creates a scope that includes all the servers within the 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com' AD (Active Directory) site.

New-ManagementScope -Name "Servers in Seattle AD site" -ServerRestrictionFilter { ServerSite -eq 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com' }

構文およびパラメーターの詳細については、「New-ManagementScope」を参照してください。For detailed syntax and parameter information, see New-ManagementScope.

サーバー リストの構成スコープServer list configuration scope

サーバーリストベースの構成スコープは、 ServerListパラメーターを使用して、新しい managementscopeコマンドレットで作成します。Server list-based configuration scopes are created by using the ServerList parameter on the New-ManagementScope cmdlet. サーバー リスト スコープを使用すると、リストで指定するサーバーのみに適用されるスコープを作成できます。A server list scope enables you to create a scope that applies only to the servers you specify in a list.

サーバー リスト スコープを作成するには、次の構文を使用します。Use the following syntax to create a server list scope.

New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>

この例では、MBX1、MBX3、および MBX5 のみに適用されるスコープを作成します。This example creates a scope that applies only to MBX1, MBX3, and MBX5.

New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5

構文およびパラメーターの詳細については、「New-ManagementScope」を参照してください。For detailed syntax and parameter information, see New-ManagementScope.

データベース フィルターの構成スコープDatabase filter configuration scope

データベースフィルターベースの構成スコープは、 DatabaseRestrictionFilterパラメーターを使用して、新しい managementscopeコマンドレットで作成します。Database filter-based configuration scopes are created by using the DatabaseRestrictionFilter parameter on the New-ManagementScope cmdlet. データベース フィルターを使用すると、指定したフィルターと一致するデータベースのみに適用されるスコープを作成できます。A database filter enables you to create a scope that applies only to the databases that match the filter you specify.

重要

データベーススコープに関連付けられている役割割り当ては、Microsoft Exchange Server 2010 Service Pack 1 (SP1) 以降または exchange 2013 を実行しているサーバーに接続しているユーザーにのみ適用されます。Role assignments associated with database scopes are applied only to users who connect to servers running Microsoft Exchange Server 2010 Service Pack 1 (SP1) or later or Exchange 2013. データベース スコープに関連付けられている役割割り当てが割り当てられているユーザーが Exchange 2010 SP1 以前のサーバーに接続している場合、この役割割り当てはユーザーに適用されず、役割割り当てによって提供されるアクセス許可がユーザーに与えられることはありません。If a user assigned a role assignment associated with a database scope connects to a pre-Exchange 2010 SP1 server, the role assignment isn't applied to the user, and the user won't be granted any permissions provided by the role assignment.

管理スコープ フィルターの詳細情報およびフィルター可能なデータベース プロパティの一覧については、「管理ロールのスコープ フィルターについて」を参照してください。For more information about management scope filters and for a list of filterable database properties, see Understanding management role scope filters.

データベース制限フィルターを作成するには、次の構文を使用します。Use the following syntax to create a database restriction filter.

New-ManagementScope -Name <scope name> -DatabaseRestrictionFilter <filter query>

この例では、データベースの Name プロパティに "Executive" という文字列が含まれる全データベースを含むスコープを作成します。This example creates a scope that includes all the databases that contain the string "Executive" in the Name property of the database.

New-ManagementScope -Name "Executive Databases" -DatabaseRestrictionFilter { Name -Like '*Executive*' }

構文およびパラメーターの詳細については、「New-ManagementScope」を参照してください。For detailed syntax and parameter information, see New-ManagementScope.

データベース リストの構成スコープDatabase list configuration scope

データベースリストベースの構成スコープは、新しい ManagementScopeコマンドレットでdatabaselistパラメーターを使用して作成されます。Database list-based configuration scopes are created by using the DatabaseList parameter on the New-ManagementScope cmdlet. データベース リスト スコープを使用すると、リストで指定するデータベースのみに適用されるスコープを作成できます。A database list scope enables you to create a scope that applies only to the databases you specify in a list.

重要

データベーススコープに関連付けられている役割割り当ては、Microsoft Exchange Server 2010 Service Pack 1 (SP1) 以降または exchange 2013 を実行しているサーバーに接続しているユーザーにのみ適用されます。Role assignments associated with database scopes are applied only to users who connect to servers running Microsoft Exchange Server 2010 Service Pack 1 (SP1) or later or Exchange 2013. データベース スコープに関連付けられている役割割り当てが割り当てられているユーザーが Exchange 2010 SP1 以前のサーバーに接続している場合、この役割割り当てはユーザーに適用されず、役割割り当てによって提供されるアクセス許可がユーザーに与えられることはありません。If a user assigned a role assignment associated with a database scope connects to a pre-Exchange 2010 SP1 server, the role assignment isn't applied to the user, and the user won't be granted any permissions provided by the role assignment.

データベース リスト スコープを作成するには、次の構文を使用します。Use the following syntax to create a database list scope.

New-ManagementScope -Name <scope name> -DatabaseList <database 1>, <database 2...>

この例では、"Database 1"、"Database 2"、および "Database 3" のみに適用されるスコープを作成します。This example creates a scope that applies only to the databases Database 1, Database 2, and Database 3.

New-ManagementScope -Name "Primary databases" -DatabaseList "Database 1", "Database 2", "Database 3"

構文およびパラメーターの詳細については、「New-ManagementScope」を参照してください。For detailed syntax and parameter information, see New-ManagementScope.

排他的スコープExclusive scope

New-ManagementScope コマンドレットで作成するスコープは、排他的スコープとして指定できます。Any scope that you create with the New-ManagementScope cmdlet can be designated as an exclusive scope. 排他的スコープを作成するには、前のセクションのいずれかのコマンドを使用して、受信者フィルターベースのスコープ、サーバーフィルターベースのスコープ、サーバーリストベースのスコープ、データベースフィルターベースのスコープ、またはデータベースリストベースのスコープを作成し コマンドへの排他的な切り替え。To create an exclusive scope, you use the same commands in one of the preceding sections to create a recipient filter-based scope, server filter-based scope, server list-based scope, database filter-based scope, or database list-based scope, and then add the Exclusive switch to the command.

警告

排他的な管理スコープを作成した場合、変更対象のオブジェクトを含んだ排他的スコープが割り当てられている役割割り当てに限り、そのオブジェクトにアクセスできます。排他的スコープのある役割を割り当てられた管理者のみが、これらの排他的または保護オブジェクトにアクセスできます。When you create exclusive management scopes, only the role assignees assigned exclusive scopes that contain objects to be modified can access those objects. Only those administrators assigned a role with the exclusive scope can access these exclusive, or protected, objects.

この例では、Executives 部門のユーザーに一致する排他的な受信者フィルター ベース スコープを作成します。This example creates an exclusive recipient filter-based scope that matches any user in the Executives department.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive

既定では、排他的スコープを作成すると、排他的スコープを作成したこと、および既存の排他的でない役割割り当てに対する排他的スコープの影響を認識していることの確認を求められます。By default, when an exclusive scope is created, you're required to acknowledge that you created an exclusive scope and that you're aware of the impact that an exclusive scope has on existing role assignments that aren't exclusive. 警告を表示しないようにするには、 Forceスイッチを使用します。If you want to suppress the warning, you can use the Force switch. この例では、前の例と同じですが、警告のないスコープを作成します。This example creates the same scope as the previous example, but without a warning.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive -Force

構文およびパラメーターの詳細については、「New-ManagementScope」を参照してください。For detailed syntax and parameter information, see New-ManagementScope.

手順 2:管理役割割り当てを追加または変更するStep 2: Add or change a management role assignment

スコープを作成したら、そのスコープを新しいまたは既存の管理役割割り当てに追加する必要があります。After you create the scope, you must add it to a new or existing management role assignment.

管理スコープを作成して、作成する新しい管理役割割り当てに追加する場合は、次のトピックを参照してください。If you create a management scope and want to add it to a new management role assignment that you're going to create, see the following topics:

管理役割スコープを作成して、既存の役割管理割り当てに追加する場合は、次のトピックを参照してください。If you create a management role scope and want to add it to an existing management role assignment, see the following topics: