分割型アクセス許可について

製品: Exchange Server 2013

Microsoft Exchange Server 2013 オブジェクトと Active Directory オブジェクトの管理を分離する組織では、"分割アクセス許可 モデル" と呼ばれるものを使用します。 分割アクセス許可を使用すると、組織は組織内の特定のグループに特定のアクセス許可と関連タスクを割り当てることができます。 この作業の分離は、標準とワークフローを維持するのに役立ち、組織の変更を制御するのに役立ちます。

分割アクセス許可の最上位レベルは、Exchange管理と Active Directory 管理の分離です。 多くの組織には、組織のExchange インフラストラクチャを管理する管理者 (サーバーと受信者を含む) と Active Directory インフラストラクチャを管理する管理者の 2 つのグループがあります。 Active Directory インフラストラクチャは多くの場所、ドメイン、サービス、アプリケーション、さらには Active Directory フォレストにまたがることが多いため、これは多くの組織にとって重要な分離です。 Active Directory 管理者は、Active Directory に加えられた変更が他のサービスに悪影響を及ぼさないようにする必要があります。 その結果、通常、そのインフラストラクチャの管理は、少数の管理者グループのみが許可されます。

同時に、サーバーや受信者を含むExchangeのインフラストラクチャも複雑であり、特殊な知識が必要になる場合があります。 さらに、Exchangeは、組織のビジネスに関する極めて機密性の高い情報を格納します。 Exchange管理者は、この情報にアクセスできる可能性があります。 組織は、Exchange管理者の数を制限することで、Exchange構成を変更できるユーザーと機密情報にアクセスできるユーザーを制限します。

分割アクセス許可は、通常、Active Directory でのセキュリティ プリンシパルの作成 (ユーザーやセキュリティ グループなど) と、それらのオブジェクトの後続の構成を区別します。 これにより、アクセスを許可するオブジェクトを作成できるユーザーを制御することで、ネットワークへの不正アクセスの可能性を減らすことができます。 ほとんどの場合、Active Directory 管理者のみがセキュリティ プリンシパルを作成できますが、Exchange管理者などの他の管理者は、既存の Active Directory オブジェクトの特定の属性を管理できます。

Exchangeと Active Directory の管理を分離するさまざまなニーズをサポートするために、Exchange 2013 では、共有アクセス許可モデルと分割アクセス許可モデルのどちらを使用するかを選択できます。 Exchange 2013 には、RBAC と Active Directory という 2 種類の分割アクセス許可モデルが用意されています。 Exchange 2013 は、既定で共有アクセス許可モデルに設定されます。

ロール ベースのAccess Controlと Active Directory の説明

分割アクセス許可を理解するには、Exchange 2013 のロール ベースのAccess Control (RBAC) アクセス許可モデルが Active Directory でどのように機能するかを理解する必要があります。 RBAC モデルは、だれがどのアクションを実行できるか、およびそれらのアクションを実行できるオブジェクトを制御します。 このトピックで説明する RBAC のさまざまなコンポーネントの詳細については、「ロール ベースのAccess Controlについて」を参照してください。

Exchange 2013 では、Exchange オブジェクトに対して実行されるすべてのタスクは、Exchange管理シェルまたはExchange管理センター (EAC) インターフェイスを使用して実行する必要があります。 これらの管理ツールはどちらも RBAC を使用して、実行されるすべてのタスクを承認します。

RBAC は、Exchange 2013 を実行しているすべてのサーバーに存在するコンポーネントです。 RBAC は、アクションを実行するユーザーが許可されているかどうかを確認します。

  • ユーザーがアクションの実行を承認されていない場合、RBAC ではアクションの続行は許可されません。

  • ユーザーがアクションの実行を承認されている場合、RBAC は、要求されている特定のオブジェクトに対してアクションを実行する権限がユーザーに与えられているかどうかを確認します。

    • ユーザーが承認されている場合は、RBAC によってアクションを続行できます。

    • ユーザーが承認されていない場合、RBAC はアクションの続行を許可しません。

RBAC でアクションの続行が許可されている場合、アクションは、ユーザーのコンテキストではなく、Exchange信頼されたサブシステムのコンテキストで実行されます。 Exchange信頼されたサブシステムは、Exchange組織内のすべてのExchange関連オブジェクトに対する読み取り/書き込みアクセス権を持つ、高い特権を持つユニバーサル セキュリティ グループ (USG) です。 また、Administrators ローカル セキュリティ グループと Exchange Windows Permissions USG のメンバーでもあります。これにより、Exchangeは Active Directory オブジェクトを作成および管理できます。

警告

Exchange信頼されたサブシステム セキュリティ グループのメンバーシップに手動で変更を加えないでください。 また、オブジェクト アクセス制御リスト (ACL) に追加したり、オブジェクト アクセス制御リストから削除したりしないでください。 Exchange信頼されたサブシステム USG を自分で変更することで、Exchange組織に回復不可能な損害を与える可能性があります。

Exchange管理ツールを使用する場合、ユーザーが持つ Active Directory アクセス許可は関係ないことを理解することが重要です。 RBAC を使用して、Exchange管理ツールでアクションを実行する権限がユーザーに与えられている場合、ユーザーは Active Directory のアクセス許可に関係なくアクションを実行できます。 逆に、ユーザーが Active Directory のEnterprise管理者で、メールボックスの作成などのアクションを実行する権限がない場合、Exchange管理ツールでは、RBAC に従って必要なアクセス許可がないため、アクションは成功しません。

重要

RBAC アクセス許可モデルはActive Directory ユーザーとコンピューター管理ツールには適用されませんが、Active Directory ユーザーとコンピューターはExchange構成を管理できません。 そのため、ユーザーは Active Directory オブジェクトの一部の属性 (ユーザーの表示名など) を変更するアクセス権を持つことができますが、Exchange管理ツールを使用する必要があるため、Exchange属性を管理するには RBAC によって承認されている必要があります。

共有のアクセス許可

共有アクセス許可モデルは、Exchange 2013 の既定のモデルです。 これが使用するアクセス許可モデルである場合は、何も変更する必要はありません。 このモデルでは、Exchange オブジェクトと Active Directory オブジェクトの管理を、Exchange管理ツール内から分離しません。 これにより、管理者は、Exchange管理ツールを使用して Active Directory にセキュリティ プリンシパルを作成できます。

次の表は、Exchangeのセキュリティ プリンシパルの作成を有効にするロールと、既定で割り当てられている管理ロール グループを示しています。

セキュリティ プリンシパル管理ロール

管理役割 役割グループ

"メール受信者の作成" 役割

組織の管理

受信者の管理

"Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割

組織の管理

メール受信者作成ロールが割り当てられているロール グループ、ユーザー、または USG のみが、Active Directory ユーザーなどのセキュリティ プリンシパルを作成できます。 既定では、組織の管理と受信者管理の役割グループには、このロールが割り当てられます。 そのため、これらのロール グループのメンバーは、セキュリティ プリンシパルを作成できます。

セキュリティ グループの作成とメンバーシップロールが割り当てられているロール グループ、ユーザー、または USG のみが、セキュリティ グループを作成したり、メンバーシップを管理したりできます。 既定では、組織管理の役割グループのみがこのロールに割り当てられます。 そのため、組織管理役割グループのメンバーのみが、セキュリティ グループのメンバーシップを作成または管理できます。

他のユーザーがセキュリティ プリンシパルを作成できるようにするには、メール受信者作成ロールとセキュリティ グループ作成ロールとメンバーシップ ロールを他のロール グループ、ユーザー、または USG に割り当てることができます。

Exchange 2013 で既存のセキュリティ プリンシパルの管理を有効にするには、既定では、メール受信者ロールが組織の管理および受信者管理の役割グループに割り当てられます。 メール受信者ロールが割り当てられているロール グループ、ユーザー、または USG のみが、既存のセキュリティ プリンシパルを管理できます。 他のロール グループ、ユーザー、または USG が既存のセキュリティ プリンシパルを管理できるようにするには、メール受信者ロールを割り当てる必要があります。

ロール グループ、ユーザー、または USG にロールを追加する方法の詳細については、次のトピックを参照してください。

分割アクセス許可モデルに切り替えて、共有アクセス許可モデルに戻す場合は、「共有アクセス許可の構成Exchange 2013」を参照してください。

アクセス許可を分割する

組織でExchange管理と Active Directory 管理を分離する場合は、分割アクセス許可モデルをサポートするようにExchangeを構成する必要があります。 正しく構成されている場合、Active Directory 管理者などのセキュリティ プリンシパルを作成する管理者のみがこれを行うことができ、Exchange管理者のみが既存のセキュリティ プリンシパルのExchange属性を変更できます。 このアクセス許可の分割は、Active Directory のドメインパーティションと構成パーティションの行にほぼ沿って行われます。 パーティションは名前付けコンテキストとも呼ばれます。 ドメイン パーティションには、特定のドメインのユーザー、グループ、およびその他のオブジェクトが格納されます。 構成パーティションには、Active Directory を使用したサービスのフォレスト全体の構成情報 (Exchangeなど) が格納されます。 通常、ドメイン パーティションに格納されているデータは Active Directory 管理者によって管理されますが、オブジェクトにはExchange管理者が管理できるExchange固有の属性が含まれている場合があります。 構成パーティションに格納されているデータは、このパーティションにデータを格納する各サービスの管理者によって管理されます。 Exchangeの場合、通常は管理者Exchange。

Exchange 2013 では、次の 2 種類の分割アクセス許可がサポートされています。

  • RBAC 分割アクセス許可: Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成するためのアクセス許可は、RBAC によって制御されます。 Exchange サーバー、サービス、および適切な役割グループのメンバーであるユーザーのみが、セキュリティ プリンシパルを作成できます。

  • Active Directory 分割アクセス許可: Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成するためのアクセス許可は、Exchangeユーザー、サービス、またはサーバーから完全に削除されます。 RBAC でセキュリティ プリンシパルを作成するオプションは用意されていません。 Active Directory でセキュリティ プリンシパルを作成する場合は、Active Directory 管理ツールを使用する必要があります。

    重要

    Active Directory 分割アクセス許可は、Exchange 2013 がインストールされているコンピューターでセットアップを実行することで有効または無効にできますが、Active Directory 分割アクセス許可の構成は、Exchange 2013 サーバーと Exchange 2010 サーバーの両方に適用されます。 ただし、Microsoft Exchange Server 2007 サーバーには影響しません。

組織が共有アクセス許可の代わりに分割アクセス許可モデルを使用することを選択した場合は、RBAC 分割アクセス許可モデルを使用することをお勧めします。 RBAC 分割アクセス許可モデルは、Active Directory 分割アクセス許可とほぼ同じ管理分離を提供しながら、大幅に柔軟性を提供します。ただし、Exchange サーバーとサービスは RBAC 分割アクセス許可モデルでセキュリティ プリンシパルを作成できます。

セットアップ中に Active Directory の分割アクセス許可を有効にするかどうかを確認するメッセージが表示されます。 Active Directory 分割アクセス許可を有効にすることを選択した場合は、セットアップを再実行し、Active Directory 分割アクセス許可を無効にすることによってのみ、共有アクセス許可または RBAC 分割アクセス許可に変更できます。 この選択は、組織内のすべてのExchange 2010 および Exchange 2013 サーバーに適用されます。

次のセクションでは、RBAC と Active Directory の分割アクセス許可について詳しく説明します。

RBAC 分割型アクセス許可

RBAC セキュリティ モデルでは、既定の管理ロールの割り当てを変更して、Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成できるユーザーと、Active Directory 構成パーティション内の組織データExchange管理するユーザーを分離します。 メールボックスや配布グループを持つユーザーなどのセキュリティ プリンシパルは、メール受信者の作成とセキュリティ グループの作成とメンバーシップの役割のメンバーである管理者が作成できます。 これらのアクセス許可は、Exchange管理ツールの外部でセキュリティ プリンシパルを作成するために必要なアクセス許可とは別のままです。 Exchangeメール受信者の作成ロールまたはセキュリティ グループ作成ロールとメンバーシップ ロールが割り当てられていない管理者は、セキュリティ プリンシパルのExchange関連の属性を変更できます。 Active Directory 管理者は、Exchange管理ツールを使用して Active Directory セキュリティ プリンシパルを作成することもできます。

Exchange サーバーとExchange信頼されたサブシステムには、RBAC と統合するユーザーとサード パーティのプログラムに代わって Active Directory でセキュリティ プリンシパルを作成するアクセス許可もあります。

RBAC 分割アクセス許可は、次の場合に組織に適した選択です。

  • 組織では、Active Directory 管理ツールのみを使用し、特定の Active Directory アクセス許可が割り当てられているユーザーのみがセキュリティ プリンシパルの作成を実行する必要はありません。

  • 組織では、Exchange サーバーなどのサービスでセキュリティ プリンシパルを作成できます。

  • メールボックス、メールが有効なユーザー、配布グループ、および役割グループを作成するために必要なプロセスを簡略化するには、Exchange管理ツール内からの作成を許可します。

  • Exchange管理ツール内で配布グループと役割グループのメンバーシップを管理する必要があります。

  • Exchange サーバーに代わってセキュリティ プリンシパルを作成できるようにする必要があるサード パーティのプログラムがあります。

組織で、Exchange管理ツールまたはExchange サービスを使用して Active Directory 管理を実行できないExchangeと Active Directory 管理の完全な分離が必要な場合は、このトピックの後半の Active Directory 分割アクセス許可セクションを参照してください。

共有アクセス許可から RBAC 分割アクセス許可への切り替えは、既定で付与されているロール グループからセキュリティ プリンシパルを作成するために必要なアクセス許可を削除する手動プロセスです。 次の表は、Exchangeのセキュリティ プリンシパルの作成を有効にするロールと、既定で割り当てられている管理ロール グループを示しています。

セキュリティ プリンシパル管理ロール

管理役割 役割グループ

"メール受信者の作成" 役割

組織の管理

受信者の管理

"Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割

組織の管理

既定では、組織の管理と受信者管理の役割グループのメンバーは、セキュリティ プリンシパルを作成できます。 組み込みの役割グループから作成する新しい役割グループにセキュリティ プリンシパルを作成する機能を転送する必要があります。

RBAC 分割アクセス許可を構成するには、次の操作を行う必要があります。

  1. Active Directory 分割アクセス許可が有効になっている場合は無効にします。

  2. セキュリティ プリンシパルを作成できる Active Directory 管理者を含む役割グループを作成します。

  3. メール受信者作成ロールと新しい役割グループの間に、通常のロール割り当てと委任ロールの割り当てを作成します。

  4. セキュリティ グループの作成ロールとメンバーシップ ロールと新しいロール グループの間に、定期的なロール割り当てと委任ロールの割り当てを作成します。

  5. メール受信者作成ロールと組織管理ロールと受信者管理ロール グループの間で、通常の管理ロールと委任管理ロールの割り当てを削除します。

  6. セキュリティ グループの作成ロールとメンバーシップ ロールと組織管理ロール グループの間で、通常のロール割り当てと委任ロールの割り当てを削除します。

これを行うと、作成した新しい役割グループのメンバーのみが、メールボックスなどのセキュリティ プリンシパルを作成できるようになります。 新しいグループは、オブジェクトのみを作成できます。 新しいオブジェクトのExchange属性を構成することはできません。 新しいグループのメンバーである Active Directory 管理者はオブジェクトを作成する必要があります。次に、Exchange管理者はオブジェクトのExchange属性を構成する必要があります。 Exchange管理者は、次のコマンドレットを使用できません。

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

ただし、Exchange管理者は、トランスポート ルール、配布グループなどのExchange固有のオブジェクトを作成および管理し、Exchange関連の属性を任意のオブジェクトで管理できます。

さらに、新しいメールボックス ウィザードなどの EAC とOutlook Web Appに関連付けられている機能も使用できなくなり、使用しようとするとエラーが生成されます。

新しい役割グループが新しいオブジェクトのExchange属性も管理できるようにする場合は、メール受信者ロールも新しい役割グループに割り当てる必要があります。

分割アクセス許可モデルの構成の詳細については、「分割アクセス許可の構成Exchange 2013」を参照してください

Active Directory の分割型アクセス許可

Active Directory 分割アクセス許可では、Active Directory 管理ツールを使用して、メールボックスや配布グループなどの Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成する必要があります。 Exchange信頼されたサブシステムとExchange サーバーに付与されるアクセス許可に対して、管理者とサーバーが実行できる操作を制限するために、いくつかの変更Exchange行われます。 次の機能の変更は、Active Directory の分割アクセス許可を有効にすると発生します。

  • メールボックス、メールが有効なユーザー、配布グループ、その他のセキュリティ プリンシパルの作成は、Exchange管理ツールから削除されます。

  • 配布グループ メンバーの追加と削除は、Exchange管理ツールでは実行できません。

  • セキュリティ プリンシパルを作成するために、Exchange信頼されたサブシステムとExchange サーバーに付与されたすべてのアクセス許可が削除されます。

  • Exchange サーバーとExchange管理ツールでは、Active Directory 内の既存のセキュリティ プリンシパルのExchange属性のみを変更できます。

たとえば、Active Directory 分割アクセス許可が有効になっているメールボックスを作成するには、最初に必要な Active Directory アクセス許可を持つユーザーが Active Directory ツールを使用してユーザーを作成する必要があります。 その後、ユーザーは、Exchange管理ツールを使用してメールボックスを有効にすることができます。 Exchange管理ツールを使用してExchange管理者は、メールボックスのExchange関連属性のみを変更できます。

Active Directory の分割アクセス許可は、次の場合に組織に適しています。

  • 組織では、Active Directory 管理ツールのみを使用するか、Active Directory で特定のアクセス許可を付与されたユーザーのみがセキュリティ プリンシパルを作成する必要があります。

  • セキュリティ プリンシパルを作成する機能と、Exchange組織を管理するユーザーを完全に分離する必要があります。

  • Active Directory 管理ツールを使用して、配布グループの作成、それらのグループのメンバーの追加と削除など、すべての配布グループ管理を実行する必要があります。

  • Exchange サーバーや、その代わりにExchangeを使用するサード パーティのプログラムがセキュリティ プリンシパルを作成することは望まれません。

重要

Active Directory 分割アクセス許可への切り替えは、セットアップ ウィザードを使用するか、コマンド ラインから実行中setup.exeActiveDirectorySplitPermissions パラメーターを使用して、Exchange 2013 をインストールするときに選択できます。 コマンド ラインから再実行setup.exeすることで、2013 Exchangeインストールした後で Active Directory 分割アクセス許可を有効または無効にすることもできます。 Active Directory 分割アクセス許可を有効にするには、 ActiveDirectorySplitPermissions パラメーターを true. 無効にするには、 false. PrepareAD スイッチを ActiveDirectorySplitPermissions パラメーターと共に常に指定する必要があります。
同じフォレスト内に複数のドメインがある場合は、Active Directory 分割アクセス許可を適用するときに PrepareAllDomains スイッチを指定するか、各ドメインで PrepareDomain スイッチを使用してセットアップを実行する必要があります。 PrepareAllDomains スイッチを使用するのではなく、各ドメインで PrepareDomain スイッチを使用してセットアップを実行する場合は、Exchange サーバー、メール対応オブジェクト、またはExchange サーバーからアクセスできるグローバル カタログ サーバーを含むすべてのドメインを準備する必要があります。

重要

ドメイン コントローラーに 2010 または Exchange 2013 Exchangeインストールしている場合、Active Directory 分割アクセス許可を有効にすることはできません。
Active Directory 分割アクセス許可を有効または無効にした後は、組織内の Exchange 2010 サーバーと Exchange 2013 サーバーを再起動して、更新されたアクセス許可を持つ新しい Active Directory アクセス トークンを強制的に取得することをお勧めします。

Exchange 2013 では、Exchange Windows アクセス許可セキュリティ グループからアクセス許可とメンバーシップを削除することで、Active Directory の分割アクセス許可が実現されます。 このセキュリティ グループには、共有アクセス許可と RBAC 分割アクセス許可で、Active Directory 全体の多くの非Exchange オブジェクトと属性に対するアクセス許可が与えられます。 このセキュリティ グループに対するアクセス許可とメンバーシップを削除することで、Exchange管理者とサービスは、これらの非Exchange Active Directory オブジェクトを作成または変更できなくなります。

Active Directory 分割アクセス許可を有効または無効にするときに、Exchange Windowsアクセス許可のセキュリティ グループおよびその他のExchange コンポーネントに対して行われる変更の一覧については、次の表を参照してください。

注意

Active Directory 分割アクセス許可が有効になっている場合、Exchange管理者がセキュリティ プリンシパルを作成できるようにするロール グループへのロールの割り当ては削除されます。 これは、関連付けられた Active Directory オブジェクトを作成するアクセス許可がないため、実行時にエラーが発生するコマンドレットへのアクセスを削除するために行われます。

Active Directory の分割アクセス許可の変更

Action Exchangeによって行われた変更

最初のExchange 2013 サーバーのインストール中に Active Directory の分割アクセス許可を有効にする

次は、セットアップ ウィザードを使用するか、パラメーターと共に実行setup.exeして Active Directory 分割アクセス許可を有効にした場合に/PrepareAD/ActiveDirectorySplitPermissions:true発生します。

  • Microsoft Exchange Protected Groups という組織単位 (OU) が作成されます。

  • Exchange Windowsアクセス許可セキュリティ グループは、Microsoft Exchange保護されたグループ OU に作成されます。

  • Exchange信頼されたサブシステムセキュリティ グループは、Exchange Windowsアクセス許可セキュリティ グループに追加されません。

  • 次の種類の管理ロールを持つ管理ロールへの委任されていない管理ロールの割り当ての作成はスキップされます。

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Exchange Windowsアクセス許可セキュリティ グループに割り当てられているアクセス制御エントリ (ACE) は、Active Directory ドメイン オブジェクトに追加されません。

PrepareAllDomains または PrepareDomain スイッチを使用してセットアップを実行すると、準備された各子ドメインで次のことが発生します。

  • Exchange Windowsアクセス許可セキュリティ グループに割り当てられているすべての ACE は、ドメイン オブジェクトから削除されます。

  • EXCHANGE WINDOWSアクセス許可セキュリティ グループに割り当てられている ACE を除き、各ドメインで ACE が設定されます。

共有アクセス許可または RBAC 分割アクセス許可から Active Directory 分割アクセス許可に切り替える

コマンドと/ActiveDirectorySplitPermissions:trueパラメーターを使用してコマンドをsetup.exe実行すると、次の/PrepareADことが発生します。

  • Microsoft Exchange保護されたグループと呼ばれる OU が作成されます。

  • Exchange Windowsアクセス許可セキュリティ グループは、Microsoft Exchange保護されたグループ OU に移動されます。

  • Exchange信頼されたサブシステム セキュリティ グループは、Exchange Windowsアクセス許可セキュリティ グループから削除されます。

  • 次の種類のロールを持つ管理ロールへの委任されていないロールの割り当ては削除されます。

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Exchange Windowsアクセス許可セキュリティ グループに割り当てられているすべての ACE は、ドメイン オブジェクトから削除されます。

PrepareAllDomains または PrepareDomain スイッチを使用してセットアップを実行すると、準備された各子ドメインで次のことが発生します。

  • Exchange Windowsアクセス許可セキュリティ グループに割り当てられているすべての ACE は、ドメイン オブジェクトから削除されます。

  • EXCHANGE WINDOWSアクセス許可セキュリティ グループに割り当てられている ACE を除き、各ドメインで ACE が設定されます。

Active Directory 分割アクセス許可から共有アクセス許可または RBAC 分割アクセス許可に切り替える

コマンドと/ActiveDirectorySplitPermissions:falseパラメーターを使用してコマンドをsetup.exe実行すると、次の/PrepareADことが発生します。

  • Exchange Windowsアクセス許可のセキュリティ グループは、Microsoft Exchange セキュリティ グループ OU に移動されます。

  • Microsoft Exchange保護されたグループ OU は削除されます。

  • Exchange信頼されたサブシステムセキュリティ グループがExchange Windowsアクセス許可セキュリティ グループに追加されます。

  • EXCHANGE WINDOWSアクセス許可セキュリティ グループのドメイン オブジェクトに ACE が追加されます。

PrepareAllDomains または PrepareDomain スイッチを使用してセットアップを実行すると、準備された各子ドメインで次のことが発生します。

  • EXCHANGE WINDOWSアクセス許可セキュリティ グループのドメイン オブジェクトに ACE が追加されます。

  • ACE は、Exchange Windowsアクセス許可セキュリティ グループに割り当てられた ACE を含め、各ドメインで設定されます。

Active Directory 分割から共有アクセス許可への切り替え時に、メール受信者の作成とセキュリティ グループの作成とメンバーシップのロールへのロールの割り当ては自動的に作成されません。 Active Directory 分割アクセス許可が有効になる前に委任ロールの割り当てがカスタマイズされた場合、それらのカスタマイズはそのまま残されます。 これらのロールと組織管理の役割グループの間にロールの割り当てを作成するには、「共有アクセス許可の構成Exchange 2013」を参照してください。

Active Directory 分割アクセス許可を有効にすると、次のコマンドレットは使用できなくなります。

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Active Directory 分割アクセス許可を有効にすると、次のコマンドレットにアクセスできますが、それらを使用して配布グループを作成したり、配布グループ のメンバーシップを変更したりすることはできません。

  • Add-DistributionGroupMember

  • New-DistributionGroup

  • Remove-DistributionGroup

  • Remove-DistributionGroupMember

  • Update-DistributionGroupMember

一部のコマンドレットは、引き続き使用できますが、Active Directory 分割アクセス許可で使用する場合は、機能が限られている場合があります。 これは、ドメイン Active Directory パーティション内の受信者オブジェクトと、構成 Active Directory パーティション内にある構成オブジェクトExchange構成オブジェクトを構成できる可能性があるためです。 また、ドメイン パーティションに格納されているオブジェクトに対してExchange関連の属性を構成することもできます。 コマンドレットを使用してオブジェクトを作成したり、オブジェクトのExchange関連以外の属性を変更しようとすると、ドメイン パーティションでエラーが発生します。 たとえば、メールボックスにアクセス許可を追加しようとすると、 Add-ADPermission コマンドレットはエラーを返します。 ただし、受信コネクタに対するアクセス許可を構成すると、 Add-ADPermission コマンドレットは成功します。 これは、受信コネクタが構成パーティションに格納されている間、メールボックスがドメイン パーティションに格納されるためです。

さらに、Exchange管理センターとOutlook Web App (新しいメールボックス ウィザードなど) の関連機能も使用できなくなり、使用しようとするとエラーが生成されます。

ただし、Exchange管理者は、トランスポート ルールなどのExchange固有のオブジェクトを作成および管理できます。

Active Directory 分割アクセス許可モデルの構成の詳細については、「分割アクセス許可の構成Exchange 2013」を参照してください。