組み込みの役割グループをミラーするリンクされた役割グループを作成する

  • [アーティクル]

製品: Exchange Server 2013

Microsoft Exchange Server 2013 のリンクされた管理役割グループを使用して、Exchange 2013 リソース フォレスト内の役割グループを、外部ユーザー フォレストのユニバーサル セキュリティ グループ (USG) とリンクできます。 これは、ユーザー フォレスト内のアカウントを持つ管理者が、リソース フォレストで Exchange を実行しているサーバーを管理する場合に便利です。 リンクされた役割グループの詳細については、「 管理役割グループについて」を参照してください。

既定では、Exchange 2013 には、さまざまな機能とジョブ機能を管理するためのアクセス許可を提供する多数の組み込み役割グループが含まれています。 各役割グループは、機能とジョブ機能ごとに特定のアクセス許可を提供するように調整されています。 ただし、これらの役割グループを外部フォレストの USG にリンクすることはできません。 ローカル リソース フォレストからのユーザーと USG のみを含めることができます。 幸いなことに、リンクされた役割グループを使用して、これらの組み込みの役割グループをレプリケートできます。

組み込みの各役割グループは、リンクされた役割グループとして再作成できます。 各役割グループに割り当てられているすべての管理ロールと管理スコープが、新しいリンクされた役割グループに追加されます。 管理ロールとスコープの詳細については、次のトピックを参照してください。

役割グループに関連するその他の管理タスクをお探しですか? [アクセス許可] を確認します

はじめに把握しておくべき情報

  • 各手順の推定完了時間:10 分

  • この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「ロール 管理のアクセス許可 」トピックの「役割グループ」エントリを参照してください。

  • これらの手順を実行するには、シェルを使用する必要があります。

  • リンクされた役割グループを構成するには、リンクされた役割グループが存在するリソース Active Directory フォレストと、ユーザーまたは USG が存在する外部 Active Directory フォレストとの間で一方向の信頼が必要です。 リソース フォレストは、外部フォレストを信頼する必要があります。

  • 外部 Active Directory フォレストに関する以下の情報を把握している必要があります。

    • 資格情報: 外部 Active Directory フォレストにアクセスできるユーザー名とパスワードが必要です。 この情報は、New-RoleGroup コマンドレットの LinkedCredential パラメーターと共に使用されます。 この情報は、 Get-Credential コマンドレットを実行することで取得されます。 ユーザー名の形式は ドメイン\ユーザー名です

    • ドメイン コントローラー: 外部 Active Directory フォレスト内の Active Directory ドメイン コントローラーの完全修飾ドメイン名 (FQDN) が必要です。 この情報は、New-RoleGroup コマンドレットの LinkedDomainController パラメーターと共に使用されます。

    • 外部 USG: リンクされた役割グループに関連付けるメンバーを含む、外部 Active Directory フォレスト内の USG のフル ネームが必要です。 この情報は、New-RoleGroup コマンドレットの LinkedForeignGroup パラメーターと共に使用されます。

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。

ヒント

問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Serverのフォーラムにアクセスしてください。

シェルを使用して組み込みの役割グループを複製するリンクされた役割グループを作成する

次の各セクションでは、各役割グループをリンクされた役割グループとして再作成する方法について説明します。 各セクションの手順を完了して、組み込みのすべての役割グループをリンクされた役割グループとして再作成します。

リンクされた "Organization Management/組織の管理" 役割グループを作成する

組織管理役割グループをリンクされた役割グループとして再作成するには、他の組み込み役割グループの再作成に使用する手順とは異なる手順を実行します。 これは、組織管理役割グループが、その役割とすべての管理ロールとの間でロールの割り当てを委任しているためです。 委任ロールの割り当てを再作成するには、追加の手順が必要です。

  1. 外部フォレスト内で 組織の管理 役割グループにリンクされる USG を作成します。

  2. 変数に外部 Active Directory フォレストの資格情報を格納します。

    $ForeignCredential = Get-Credential

  3. 組織の管理 役割グループに割り当てられたすべての役割を変数に格納します。

    $OrgMgmt  = Get-RoleGroup "Organization Management"

  4. 組織の管理 のリンクされた役割グループを作成し、組み込みの 組織の管理 役割グループに割り当てられた役割を追加します。

    New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles

  5. 新しい Organization Management のリンクされたロール グループと My* エンド ユーザー ロールの間のすべての通常の割り当てを削除します。

    Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment

  6. 新しい組織の管理 のリンクされた役割グループとすべての管理役割の間の委任の役割の割り当てを追加します。

    Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

この例では、以下の値が各パラメーターに使用されていることを想定しています。

  • LinkedForeignGroup: Organization Management Administrators

  • LinkedDomainController: DC01.users.contoso.com

この例では、上記の値を使用して 組織の管理 役割グループをリンクされた役割グループとして作成し直します。

$ForeignCredential = Get-Credential

$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

他のすべてのリンクされた役割グループを作成する

組み込みの役割グループ (組織の管理役割グループ以外) をリンクされた役割グループとして作成し直すには、グループごとに以下の手順を実行します。

  1. 各新しい役割グループにリンクされる各役割グループの外部フォレスト内で USG を作成します。

  2. 変数に外部 Active Directory フォレストの資格情報を格納します。 これを行う必要があるのは 1 回だけです。

    $ForeignCredential = Get-Credential

  3. 以下のコマンドレットを使用して役割グループ一覧を取得します。

    Get-RoleGroup

  4. 組織の管理 役割グループ以外の各役割グループに対して、次の操作を実行します。

    $RoleGroup = Get-RoleGroup <name of role group to re-create>
New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

  5. リンクされた役割グループとして作成し直す必要がある組み込みの役割グループごとに、上記の手順を繰り返します。

この例では、以下の値が各パラメーターに使用されていることを想定しています。

  • LinkedDomainController: DC01.users.contoso.com

  • 組み込みの役割グループを、リンクされた役割グループとして再作成しますRecipient Management, Server Management

  • 受信者管理の外部グループのリンクされた役割グループ: Recipient Management Administrators

  • サーバー管理の外部グループのリンクされた役割グループ: Server Management Administrators

上記の値を使用して、この例では、Recipient Management と "Server Management/サーバーの管理" 役割グループをリンクされた役割グループとして作成し直します。

$ForeignCredential = Get-Credential

Get-RoleGroup

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

その他のタスク

リンクされた役割グループを作成した後で、次の操作も実行できます。

外部フォレスト内の Active Directory ユーザーとコンピューターを使用する外部 USG を追加します。

組み込みの役割グループのメンバーを削除します。 詳細については、「役割グループのメンバーの管理」を参照してください。

新しいリンクされた役割グループのロールのスコープを追加、削除、または変更します。 詳細については、「 役割グループの管理」を参照してください。

追加のリンクされたロール グループを作成します。 詳細については、「 リンクされた役割グループを管理する」を参照してください。