管理役割グループについてUnderstanding management role groups

製品: Exchange Server 2013Applies to: Exchange Server 2013

管理役割グループは、Microsoft Exchange Server 2013 の役割ベースのアクセス制御 (RBAC) アクセス許可モデルで使用されるユニバーサルセキュリティグループ (USG) です。A management role group is a universal security group (USG) used in the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013. 管理役割グループを利用すれば、ユーザーのグループに管理役割を簡単に割り当てることができます。A management role group simplifies the assignment of management roles to a group of users. 1 つの役割グループのすべてのメンバーが、同じ役割セットに割り当てられます。All members of a role group are assigned the same set of roles. 役割グループには、組織の管理、受信者の管理、その他のタスクなど、Exchange 2013 で重要な管理タスクを定義する管理者および専門家の役割が割り当てられます。Role groups are assigned administrator and specialist roles that define major administrative tasks in Exchange 2013 such as organization management, recipient management, and other tasks. 役割グループを使用すると、管理者または専門家ユーザーのグループに一連の広範なアクセス許可をより簡単に割り当てることができます。Role groups enable you to more easily assign a broader set of permissions to a group of administrators or specialist users.

注意

ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

ユーザーに自分のメールボックスまたは配布グループを管理するためのアクセス許可を割り当てる場合は、「管理役割の割り当てポリシーについて」を参照してください。If you want to assign permissions to users to manage their own mailbox or distribution groups, see Understanding management role assignment policies.

役割グループ レイヤーRole group layers

役割グループ モデルを構成するレイヤーを次に示します。The following are the layers that make up the role group model:

  • 役割グループのメンバー: 役割グループのメンバーは、役割グループのメンバーとして追加できるメールボックス、ユニバーサルセキュリティグループ (USG)、またはその他の役割グループです。Role group member: A role group member is a mailbox, universal security group (USG), or other role group that can be added as a member of a role group. メールボックス、USG、または別の役割グループを役割グループのメンバーとして追加すると、管理役割と役割グループの間で作成した割り当てが新しいメンバーに適用されます。When a mailbox, USG, or another role group is added as a member of a role group, the assignments that have been made between management roles and a role group are applied to the new member. これにより、管理役割で得られるすべてのアクセス許可が新しいメンバーに付与されます。This grants the new member all of the permissions provided by the management roles.

  • 管理役割グループ:管理役割グループは、役割グループのメンバーであるメールボックス、usg、およびその他の役割グループを含む特別な usg です。Management role group: The management role group is a special USG that contains mailboxes, USGs, and other role groups that are members of the role group. メンバーの追加や削除を行う場所であり、管理役割もここに割り当てられます。This is where you add and remove members, and it's also what management roles are assigned to. 役割グループにおけるすべての役割の組み合わせによって、役割グループに追加されたメンバーが Exchange 組織で管理できるすべての要素を定義します。The combination of all the roles on a role group defines everything that members added to a role group can manage in the Exchange organization.

  • 管理役割の割り当て: 管理役割の割り当ては、管理役割と役割グループをリンクします。Management role assignment: A management role assignment links a management role and a role group. 管理役割を役割グループに割り当てると、役割グループのメンバーに管理役割で定義されたコマンドレットとパラメーターを使用する権限が付与されます。Assigning a management role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the management role. 役割の割り当てでは、割り当てを使用できる場所を制御するため管理スコープを使用できます。Role assignments can use management scopes to control where the assignment can be used. 詳細については、「管理役割の割り当てについて」を参照してください。For more information, see Understanding management role assignments.

  • 管理役割スコープ:管理役割スコープは、役割の割り当てに影響または影響の範囲です。Management role scope: A management role scope is the scope of influence or impact on a role assignment. 役割をスコープ付きで役割グループに割り当てた場合、割り当てで管理できるオブジェクトが管理スコープの対象となります。When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. 割り当ておよびそのスコープが役割グループのメンバーに適用され、これによってメンバーが管理できるものが制限されます。The assignment, and its scope, are then given to the members of the role group, which restricts what those members can manage. スコープは、サーバーまたはデータベース、組織単位、あるいはサーバー、データベース、または受信者オブジェクトに対するフィルターで構成できます。A scope can be made up of lists of servers or databases, organizational units, or filters on server, database or recipient objects. 詳細については、「管理役割スコープについて」を参照してください。For more information, see Understanding management role scopes.

  • 管理役割: 管理** 役割は、管理役割エントリをグループ化するためのコンテナーです。Management role: A management role is a container for a grouping of management role entries. 役割は、その役割に割り当てられた役割グループのメンバーによって実行できる特定のタスクを定義するために使用されます。Roles are used to define the specific tasks that can be performed by the members of a role group assigned the role. 詳細については、「管理の役割について」を参照してください。For more information, see Understanding management roles.

  • 管理役割エントリ:管理役割エントリは、特定のタスクを実行するためのアクセスを可能にするコマンドレット、スクリプト、およびその他の特殊なアクセス許可へのアクセスを提供する管理役割の個々のエントリです。Management role entries: Management role entries are the individual entries on a management role that provide access to cmdlets, scripts, and other special permissions that enable access to perform a specific task. 通常、役割エントリは、管理役割と、管理役割が割り当てられた管理役割グループがアクセスできる 1 つのコマンドレットやスクリプト、そしてパラメーターで構成します。Most often, role entries consist of a single cmdlet or script and the parameters that can be accessed by the management role, and therefore the role group to which the role is assigned.

次の図は、前の一覧の各役割グループ レイヤーと、各レイヤーが他のレイヤーとどう関連するかを示しています。The following figure shows each of the role group layers in the preceding list and how each of the layers relates to the other.

管理役割グループ レイヤーManagement role group layers

管理役割グループレイヤーManagement role group layers

RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。For more information about RBAC, see Understanding Role Based Access Control.

役割グループの管理Role group management

役割グループを作成する場合、役割グループのメンバーを保持する USG を作成し、役割グループと指定する管理役割間の割り当てを作成します。必要に応じて、役割の割り当てに適用する管理スコープも指定できます。また、新しい役割グループのメンバーにする任意のメールボックスを追加できます。When you create a role group, you create the USG that holds the members of the role group, and you create the assignments between the role group and the management roles you specify. Optionally, you can also specify a management scope to apply to the role assignments, and you can add any mailboxes that you want to be members of the new role group.

役割グループを作成すると、各レイヤーが独立したオブジェクトになります。役割グループは、引き続きすべてのレイヤーが結合される中心点として機能しますが、各レイヤーは個別に管理されます。たとえば、作成時に役割グループに適用した管理スコープを変更するには、役割グループを作成した後に個々の役割の割り当てでスコープを変更する必要があります。役割グループ モデルの管理を実行するには、役割グループ モデルの個々のレイヤーを管理するコマンドレットを使用します。After you create a role group, each layer becomes an independent object. The role group continues to be the central point at which all of the layers are joined together, however, each layer is managed individually. For example, to modify the management scope that you applied to the role group when it was created, you need to change the scope on each individual role assignment after the role group is created. The management of the role group model is performed using the cmdlets that manage the individual layers of the role group model.

次の表は、役割グループ レイヤーと各レイヤーの管理に使用できる手順のトピックを示しています。The following table lists the role group layer and the procedural topics that you can use to manage each layer.

役割グループの管理のトピックRole group management topics

役割グループ モデル レイヤーRole group model layer 管理のトピックManagement topic

役割グループ メンバーRole group member

役割グループのメンバーの管理Manage role group members

役割グループRole group

役割グループの管理Manage role groups

管理役割および割り当てManagement roles and assignments

役割グループの管理Manage role groups

管理役割エントリManagement role entries

役割エントリを役割に追加するAdd a role entry to a role

役割エントリを変更するChange a role entry

役割から役割エントリを削除するRemove a role entry from a role

注意

役割グループの管理役割の管理役割エントリの変更は、高度なタスクであり、ほとんどの場合は必須ではありません。Changing the management role entries in management roles in a role group is an advanced task and is generally not required in most cases. 代わりに、要件に適した既存の管理役割を使用できることがあります。Instead, you may be able to use a pre-existing management role that suits your requirements. 詳細については、「組み込みの役割グループ」を参照してください。For more information, see Built-in role groups.

組み込みの役割グループBuilt-in role groups

組み込みの役割グループは、Exchange 2013 に付属している役割です。さまざまなレベルの管理アクセス許可をユーザーのグループに提供するために使用できる、一連の役割グループが得られます。組み込みの役割グループに対してユーザーを追加または削除できます。ほとんどの役割グループに対して役割の割り当てを追加または削除することもできます。ただし、以下のような例外があります。Built-in roles groups are roles shipped with Exchange 2013. They provide you with a set of role groups that you can use to provide varying levels of administrative permissions to groups of users. You can add or remove users to or from any built-in role group. You can also add or remove role assignments to or from most role groups. The only exceptions are the following:

  • 組織の管理 役割グループから、委任の役割の割り当てを削除することはできません。You can't remove any delegating role assignments from the Organization Management role group.

  • 組織の管理 役割グループから、"Role Management/役割管理" 役割を削除することはできません。You can't remove the Role Management role from the Organization Management role group.

次の表は、Exchange 2013 に付属しているすべての組み込みの役割グループの一覧です。組み込みの役割グループの詳細については、「組み込みの役割グループ」を参照してください。The following table lists all the built-in role groups included with Exchange 2013. For more information about built-in role groups, see Built-in role groups.

組み込みの役割グループBuilt-in role groups

役割グループRole group 説明Description

組織の管理Organization Management

組織の管理役割グループのメンバーである管理者には、Exchange 2013 組織全体に対する管理アクセス許可があり、一部の例外を除き、任意の Exchange 2013 オブジェクトに対してほぼすべてのタスクを実行できます。既定では、この役割グループのメンバーは、メールボックスの検索および対象範囲外の最上位の管理役割の管理はできません。Administrators who are members of the Organization Management role group have administrative access to the entire Exchange 2013 organization and can perform almost any task against any Exchange 2013 object, with some exceptions. By default, members of this role group can't perform mailbox searches and management of unscoped top-level management roles.

表示限定の組織管理View-only Organization Management

組織の管理のみ表示 役割グループのメンバーである管理者は、Exchange 組織の任意のオブジェクトのプロパティを表示できます。Administrators who are members of the View Only Organization Management role group can view the properties of any object in the Exchange organization.

受信者の管理Recipient Management

Recipient Management 役割グループのメンバーである管理者は、Exchange 2013 組織内の Exchange 2013 受信者を作成または変更するための管理アクセスを持ちます。Administrators who are members of the Recipient Management role group have administrative access to create or modify Exchange 2013 recipients within the Exchange 2013 organization.

UM 管理UM Management

UM Management 役割グループのメンバーである管理者は、ユニファイド メッセージング (UM) サービス構成、メールボックスの UM プロパティ、UM プロンプト、および UM 自動応答構成など、Exchange 組織内の機能を管理できます。Administrators who are members of the UM Management role group can manage features in the Exchange organization such as Unified Messaging (UM) service configuration, UM properties on mailboxes, UM prompts, and UM auto attendant configuration.

検出の管理Discovery Management

Discovery Management 役割グループのメンバーである管理者またはユーザーは、特定の条件を満たすデータについて、Exchange 組織内のメールボックスを検索でき、メールボックスに訴訟ホールドを構成することもできます。Administrators or users who are members of the Discovery Management role group can perform searches of mailboxes in the Exchange organization for data that meets specific criteria and can also configure litigation holds on mailboxes.

レコードの管理Records Management

Records Management 役割グループのメンバーであるユーザーは、アイテム保持ポリシー タグ、メッセージ分類、トランスポート ルールなどの準拠機能を構成できます。Users who are members of the Records Management role group can configure compliance features, such as retention policy tags, message classifications, transport rules, and more.

サーバー管理Server Management

この役割グループのメンバーである管理者は、データベース コピー、証明書、トランスポート キューと送信コネクタ、仮想ディレクトリ、クライアント アクセス プロトコルなど、トランスポート、クライアント アクセス、およびメールボックスの各機能にサーバー固有の構成ができます。Administrators who are members of this role group can configure server-specific configuration of transport , client access, and mailbox features such as database copies, certificates, transport queues and Send connectors, virtual directories, and client access protocols.

Help Desk (ヘルプ デスク)Help Desk

"Help Desk/ヘルプ デスク" 役割グループのメンバーであるユーザーは、Exchange 2013 受信者の制限された受信者管理を実行できます。Users who are members of the Help Desk role group can perform limited recipient management of Exchange 2013 recipients.

検疫管理Hygiene Management

"Hygiene Management/検疫管理" 役割グループのメンバーである管理者は、Exchange 2013 のスパム対策およびマルウェア対策機能を構成できます。Exchange 2013 に統合されているサードパーティ製プログラムによって、この役割グループにサービス アカウントが追加でき、Exchange の構成の取得および構成に必要なコマンドレットへのアクセスが許可されます。Users who are members of the Hygiene Management role group can configure the anti-spam and anti-malware features of Exchange 2013. Third-party programs that integrate with Exchange 2013 can add service accounts to this role group to grant those programs access to the cmdlets required to retrieve and configure the Exchange configuration.

コンプライアンス管理Compliance Management

コンプライアンス管理役割グループのメンバーであるユーザーは、そのポリシーに応じて Exchange コンプライアンス構成の構成と管理ができます。Users who are members of the Compliance Management role group can configure and manage Exchange compliance configuration in accordance with their policies.

パブリック フォルダーの管理Public Folder Management

"Public Folder Management/パブリック フォルダー管理" 役割グループのメンバーである管理者は、Exchange 2013 を実行するサーバー上にあるパブリック フォルダーを管理できます。Administrators who are members of the Public Folder Management role group can manage public folders on servers running Exchange 2013.

委任されたセットアップDelegated Setup

委任されたセットアップ役割グループのメンバーである管理者は、Exchange 2013 役割グループのメンバーによって既に準備された、組織の管理 を実行しているサーバーを展開できます。Administrators who are members of the Delegated Setup role group can deploy servers running Exchange 2013 that have been previously provisioned by a member of the Organization Management role group.

リンクされた役割グループLinked role groups

リンクされた役割グループは、Exchange 2013 を専用リソース フォレストにインストールし、ユーザーを他の信頼された外部フォレストに配置する組織で使用されます。リンクされた役割グループは、その名前が示すように、Exchange フォレストの役割グループと外部フォレストの USG 間にリンクを作成します。これは、Exchange を管理する管理者の Active Directory Domain Services (AD DS) ユーザー アカウントが、Exchange と同じリソース フォレストに存在しないときに便利です。リンクされた役割グループは 1 つの外部 USG にだけ関連付けることができます。また、Exchange フォレストと外部フォレスト間に双方向の信頼関係を作成する必要はありません。Exchange フォレストは、外部フォレストを信頼する必要がありますが、外部フォレストは、Exchange フォレストを信頼する必要がありません。Linked role groups are used in organizations that install Exchange 2013 in a dedicated resource forest and place users in other, trusted foreign forests. Linked role groups, as the name implies, create a link between a role group in the Exchange forest and a USG in a foreign forest. This is useful when the Active Directory Domain Services (AD DS) user accounts of the administrators you want to administer Exchange don't reside in the same resource forest as Exchange. Linked role groups can only be associated with one foreign USG. Additionally, you don't need to create a two-way trust between the Exchange forest and the foreign forest. The Exchange forest needs to trust the foreign forest but the foreign forest doesn't need to trust the Exchange forest.

複数フォレスト トポロジでのアクセス許可の詳細については、「複数フォレストのアクセス許可について」を参照してください。For more information about permissions in multiple-forest topologies, see Understanding multiple-forest permissions.

リンクされた役割グループは 2 つの部分で構成されます。A linked role group consists of two parts:

  • リンクされた役割グループ: リンクされた役割グループは、外部 USG を役割グループに割り当てられた管理役割の割り当てと関連付けるコンテナーオブジェクトです。Linked role group: The linked role group is a container object that associates the foreign USG with the management role assignments assigned to the role group.

  • 外部 usg: 外部 usg には、リンクされた役割グループによって提供されるアクセス許可を付与する必要があるメンバーが含まれています。Foreign USG: The foreign USG contains the members that should be granted the permissions provided by the linked role group.

リンクされた役割グループを作成する際、Exchange フォレストを管理するために必要なユーザーを含む外部フォレストおよびこれらのユーザーをメンバーとして含む USG、外部 USG 名、および外部フォレストへのアクセスに必要な資格情報にドメイン コントローラーを提供します。Exchange は、外部 USG のセキュリティ識別子 (SID) をリンクされた役割グループに追加します。USG SID は外部 USG の唯一の ID であるため、複数の外部フォレストがある場合、役割グループの名前に外部フォレストを指定することを強くお勧めします。When you create a linked role group, you provide a domain controller in the foreign forest that contains the users you want to manage the Exchange forest and the USG that contains those users as members, the foreign USG name, and the credentials required to access the foreign forest. Exchange adds the security identifier (SID) of the foreign USG to the linked role group. Because the USG SID is the only identification of the foreign USG, we strongly recommend that you specify the foreign forest in the name of the role group if you have multiple foreign forests.

リンクされた役割グループにはメンバーが含まれていません。役割グループのすべてのメンバーは、外部 USG を使用して管理されます。つまり、役割グループのメンバーの追加または削除に Update-RoleGroupMemberAdd-RoleGroupMember 、または Remove-RoleGroupMember コマンドレットを使用することはできません。メンバーを外部 USG に追加する場合、メンバーにはリンクされた役割グループによって提供されるアクセス許可が付与されます。A linked role group doesn't contain any members. All of the members of that role group are managed using the foreign USG. This means you can't use the Update-RoleGroupMember, Add-RoleGroupMember, or Remove-RoleGroupMember cmdlets to add or remove role group members. When you add members to the foreign USG, they are given the permissions provided by the linked role group.

独自のメンバーが含まれる標準役割グループを、リンクされた役割グループに変更することはできません。その逆も同じです。役割グループを標準役割グループからリンクされた役割グループに変更する場合は、新しいリンクされた役割グループを作成し、標準役割グループに存在する管理役割の割り当てをリンクされた役割グループにレプリケートする必要があります。組み込みの役割グループは標準役割グループであるため、組み込みの役割グループの場合も同じです。所属する Exchange フォレストのすべての管理を外部フォレストから実行する場合、リンクを設定した新しい役割グループを作成し、組み込みの役割グループに存在する管理役割を、リンクを設定した新しい役割グループに追加します。この操作方法の詳細については、「組み込みの役割グループをミラーするリンクされた役割グループを作成する」を参照してください。You can't change a standard role group, which contains its own members, to a linked role group and vice versa. If you want to change a role group from a standard role group to a linked role group, you must create a new linked role group and replicate the management role assignments that are present on the standard role group on the linked role group. This is also the case for built-in role groups because they're standard role groups. If you want to perform all of the management of your Exchange forest from a foreign forest, you need to create new linked role groups and add the management roles that exist on the built-in role groups to the new linked role groups. For more information about how to accomplish this, see Create linked role groups that mirror built-in role groups.

役割グループの委任Role group delegation

既定では、組織の管理 役割グループのメンバーは役割グループに対してメンバーを追加および削除できます。ただし、組織の管理 役割グループのメンバーでないユーザーが役割グループのメンバーを追加および削除できるようにしたい場合があります。その場合は、役割グループの委任を使用できます。By default, members of the Organization Management role group can add and remove members to and from role groups. However, you might want to enable users who aren't members of the Organization Management role group to add and remove role group members. If so, you can use role group delegation.

役割グループの委任は、各役割グループの ManagedBy プロパティによって制御されます。 ManagedBy プロパティには、その役割グループに対してメンバーを追加および削除できるユーザー、または役割グループの構成を変更できるユーザーの一覧が含まれます。ユーザーには、役割グループのメンバーでない限り、役割グループによって付与されるアクセス許可は割り当てられません。Role group delegation is controlled by the ManagedBy property on each role group. The ManagedBy property contains a list of users who can add and remove members to and from that role group or change the configuration of a role group. The users aren't assigned any permissions given by the role group unless they're also members of the role group.

役割グループで ManagedBy プロパティが設定されている場合、そのプロパティで役割グループ マネージャーとして一覧に示されているユーザーだけが、既定で役割グループまたは役割グループのメンバーシップを変更できます。If the ManagedBy property is set on a role group, only those users who are listed as role group managers on that property can modify a role group or the membership of a role group by default. ただし、役割グループまたは役割グループ メンバーシップを変更するコマンドレットのオプション パラメーターにより、その制限を無視できます。However, an optional parameter on cmdlets that modify role groups or role group membership can override that restriction. BypassSecurityGroupManagerCheckスイッチは、組織の管理役割のメンバーであるか、直接的または間接的に "role Management/役割管理" 管理役割が割り当てられているユーザーが使用できます。The BypassSecurityGroupManagerCheck switch can be used by users who are members of the Organization Management role or are assigned, either directly or indirectly, the Role Management management role. このスイッチを使用すると、 ManagedBy プロパティが無視され、ユーザーは役割グループまたは役割グループ メンバーシップを変更することができます。When this switch is used, the ManagedBy property is ignored and the user can modify the role group or role group membership.

ManagedBy プロパティが役割グループに設定されていない場合、組織の管理 役割のメンバーであるか、直接的または間接的に "Role Management/役割管理" 管理役割が割り当てられているユーザーだけが、役割グループまたは役割グループ メンバーシップを変更できます。If the ManagedBy property isn't set on a role group, only users who are members of the Organization Management role or are assigned, either directly or indirectly, the Role Management management role can modify a role group or role group membership.

注意

役割グループに割り当てられた役割を、役割の割り当ての委任を使用して割り当てることができる場合があります。役割の割り当ての委任を使用すると、委任された役割に割り当てられている役割グループのメンバーが、その役割を別の役割グループ、割り当てポリシー、ユーザー、または USG に割り当てることができます。役割グループのメンバーは、 ManagedBy プロパティにも追加されていない限り、その役割を割り当てることができるだけで、役割グループを委任できません。委任された役割の割り当ての詳細については、「 管理役割の割り当てについて」を参照してください。Roles assigned to a role group may be assigned using delegating role assignments. With delegating role assignments, members of a role group that's assigned a delegated role can assign that role to another role group, assignment policy, user, or USG. Members of the role group can assign only that role and can't delegate the role group, unless they're also added to the ManagedBy property. For more information about delegated role assignments, see Understanding management role assignments.

役割グループの委任を管理する方法の詳細については、「役割グループの管理」を参照してください。For more information about how to manage role group delegation, see Manage role groups.

役割グループ メンバーシップRole group membership

ユーザーが役割グループのメンバーになると、役割グループに割り当てられた管理役割がユーザーに割り当てられます。ユーザーが複数の役割グループのメンバーである場合、各役割グループの管理役割が集約されて、ユーザーに割り当てられます。ユーザー、USG、およびその他の役割グループは、役割グループのメンバーになることができます。When a user is made a member of a role group, the management roles assigned to the role group are assigned to the user. If a user is a member of multiple role groups, the management roles from each role group are aggregated and assigned to the user. Users, USGs, and other role groups can be members of role groups.

組織の管理 または "Role Management/役割管理" 役割グループのメンバーであるユーザーと、役割グループに対してユーザーの追加および削除の権限を委任されたユーザーだけが、役割グループのメンバーシップを管理できます。Only users who are members of the Organization Management or Role Management role groups and users who have been delegated the ability to add and remove users to or from role groups can manage role group membership.

役割グループのメンバーシップの管理方法の詳細については、「役割グループのメンバーの管理」を参照してください。For more information about how to manage role group membership, see Manage role group members.

役割グループ作成ワークフローRole group creation workflow

前述のように、役割グループは複数のレイヤーで構成されます。役割グループを作成したときに何が起こるかを理解するため、次の新しい役割グループを作成する例について考えます。As mentioned previously, a role group is made up of several layers. To help you understand what happens when a role group is created, consider the following example, which creates a new role group.

New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jenn", "Maria", "Chris", "Maija", "Carter", "Jenny", "Sam", "Lukas", "Isabel", "Katie"

上記のコマンドを実行すると、次の処理が行われます。When the preceding command is run, the following happens:

  1. 新しい役割グループオブジェクト (シアトル受信者管理) は、フォレストルートドメインの Microsoft Exchange セキュリティグループ OU の下に作成されます。A new role group object, which is a special USG, called Seattle Recipient Management is created under Microsoft Exchange Security Groups OU in the forest root domain.

  2. Ray、Jenn、Maria、Chris、Maija、Carter、Jenny、Sam、Lukas、Isabel、Katie のメールボックスが役割グループのメンバーとして追加されます。これらのユーザーには、この役割グループによって提供されているアクセス許可が付与されます。The mailboxes for Ray, Jenn, Maria, Chris, Maija, Carter, Jenny, Sam, Lukas, Isabel, and Katie are added as members of the role group. These users receive the permissions provided by this role group.

  3. ユーザー Brian と David が役割グループの ManagedBy プロパティに追加されます。これらのユーザーは役割グループに対してメンバーを追加および削除できますが、メンバーではないため、役割グループによって提供されるアクセス許可は付与されません。Katie も役割グループの ManagedBy プロパティに追加されます。彼女は ManagedBy プロパティに追加されており、役割グループのメンバーであるため、その役割グループに対してメンバーを追加および削除できます。また、役割グループによって提供されるアクセス許可も付与されます。The users Brian and David are added to the ManagedBy property of the role group. These users can add and remove members to and from the role group but won't be given any permissions provided by the role group because they're not members. Katie is also added to the ManagedBy property of the role group. Because she's added to the ManagedBy property, and she's a member of the role group, she can add or remove members to and from the role group, and she also receives the permissions provided by the role group.

  4. 次の管理役割の割り当てが作成されます。役割の割り当ては、コマンドで指定された各管理役割を役割グループに割り当てます。"Seattle Users/Seattle ユーザー" という管理スコープが、各役割の割り当てに追加されます。各役割の割り当ての名前は、割り当て中の管理役割と役割グループ名の組み合わせになります。The following management role assignments are created. The role assignments assign each management role specified in the command to the role group. The management scope Seattle Users is added to each role assignment. The name of each role assignment is a combination of the management role being assigned and the role group name.

    • Mail Recipients_Seattle Recipient Management

    • Distribution Groups_Seattle Recipient Management

    • Move Mailboxes_Seattle Recipient Management

    • UM Mailboxes_Seattle Recipient Management

このコマンドの結果をトピックの管理役割グループ レイヤーの図と比較すると、各ステップが役割グループ レイヤーと関連する場所がわかります。そして、このトピックの「役割グループの管理」にまとめた管理役割グループの管理トピックの説明に従って、各役割グループ レイヤーを管理することができます。If you compare the results of this command to the Management role group layers figure earlier in this topic, you can see where each step correlates to the role group layers. You can then refer to the Management role group management topics shown in "Role group management" earlier in this topic to manage each role group layer.