ユーザーまたは USG に役割を追加する

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2012-07-23

管理役割の割り当てによって、管理役割をユーザーまたはユニバーサル セキュリティ グループ (USG) に割り当てることができます。管理者がユーザーまたは USG に役割を割り当てることにより、それらのユーザーは管理役割で定義されているコマンドレット、スクリプト、およびそれらのパラメーターに基づいてタスクを実行できるようになります。

ユーザーと USG に役割を直接割り当てることもできますが、管理者とエンド ユーザーにアクセス許可を付与するために推奨される方法は、管理役割グループと管理役割の割り当てポリシーを使用することです。役割グループと割り当てポリシーを使用する場合は、アクセス許可モデルを簡素化できます。

役割を管理役割グループまたは管理役割の割り当てポリシーに割り当てる場合は、以下のトピックを参照してください。

• 役割グループに役割を追加する

• 割り当てポリシーに役割を追加する

役割グループにメンバーを追加する場合や、役割の割り当てポリシーをエンド ユーザーに割り当てる場合は、以下のトピックを参照してください。

• 役割グループにメンバーを追加する

• メールボックスの割り当てポリシーを変更する

詳細については、「役割ベースのアクセス制御について」を参照してください。

注意

役割の割り当ては追加可能です。つまり、すべての役割が評価時に一緒に追加されるということです。2 つの役割が 1 人のユーザーに対して割り当てられ、このうち 1 つの役割のみにコマンドレッドが含まれている場合でも、コマンドレットはそのユーザーで使用可能です。
既定では、役割の割り当てを行っても、他のユーザーに同じ役割を割り当てるアクセス許可は付与されません。ユーザーが他のユーザーまたは USG に役割を割り当てられるようにするには、「役割割り当てを委任する」を参照してください。

役割の割り当てを追加するには、シェルを使用する必要があります。

スコープで割り当てを作成すると、そのスコープは役割の暗黙的な書き込みスコープを上書きします。ただし、役割の暗黙的な読み取り範囲は引き続き適用されます。新しいスコープは、役割の暗黙的な読み取り範囲以外のオブジェクトを返すことはできません。詳細については、「管理役割スコープについて」を参照してください。

このトピックに記載したすべての手順では、役割を USG に割り当てるために SecurityGroup パラメーターを使用しています。特定のユーザーに役割を割り当てる場合は、SecurityGroup パラメーターの代わりに User パラメーターを使用します。各コマンドの他の構文はすべて同じです。

役割に関連する他の管理タスクについては、「高度なアクセス許可の管理」を参照してください。

スコープなしで役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

注意

スコープを持たない役割割り当ての作成に、EMC を使用することはできません。

スコープなしで役割の割り当てを作成することができます。このようにすると、役割の暗黙的な読み取り、および暗黙的な書き込みスコープが適用されます。

次の構文を使用して、スコープを持たない USG に役割を割り当てます。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

この例では、"Exchange Servers/Exchange サーバー" という役割を SeattleAdmins という USG に割り当てます。

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。

定義済みの相対スコープを持つ役割割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

注意

定義済み相対スコープを持つ役割割り当ての作成に、EMC を使用することはできません。

定義済みの相対スコープがビジネス要件に適していれば、カスタム スコープを作成せずに、そのスコープを役割の割り当てに適用できます。定義済みスコープとその説明の一覧については、「管理役割スコープについて」を参照してください。

次の構文を使用して、定義済みスコープを持つ USG に役割を割り当てます。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

この例では、"Exchange Servers/Exchange サーバー" という役割を SeattleAdmins という USG に割り当て、Organization 定義済みスコープを適用します。

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。

受信者フィルター ベースのスコープを持つ役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

注意

受信者フィルター ベースのスコープを持つ役割割り当ての作成に、EMC を使用することはできません。

受信者フィルター ベースのスコープを作成し、役割の割り当てと組み合わせて使用する場合は、CustomRecipientWriteScope パラメーターを使用して、USG への役割割り当てに使用するコマンドに、そのスコープを含める必要があります。CustomRecipientWriteScope パラメーターを使用する場合、RecipientOrganizationalUnitScope パラメーターは使用できません。

役割の割り当てにスコープを追加する前に、スコープを作成しておく必要があります。詳細については、「通常または排他スコープを作成する」を参照してください。

次の構文を使用して、受信者フィルター ベースのスコープを持つ USG に役割を割り当てます。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

この例では、"Seattle Recipient Admins/シアトルの受信者管理者" という USG に "Mail Recipients/メール受信者" の役割を割り当て、"Seattle Recipients/シアトルの受信者" というスコープを適用します。

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。

サーバー フィルター ベース、データベース フィルター ベース、サーバー リスト ベース、またはデータベース リスト ベースの構成スコープを持つ役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

注意

サーバー フィルター ベース、データベース フィルター ベース、サーバー リスト ベース、またはデータベース リスト ベースの構成スコープを持つ役割割り当ての作成に EMC を使用することはできません。

サーバー フィルター ベース、データベース フィルター ベース、サーバー リスト ベース、またはデータベース リスト ベースの構成スコープを作成し、役割の割り当てと組み合わせて使用する場合は、CustomConfigWriteScope パラメーターを使用して、USG への役割割り当てに使用するコマンドに、そのスコープを含める必要があります。

役割の割り当てにスコープを追加する前に、スコープを作成しておく必要があります。詳細については、「通常または排他スコープを作成する」を参照してください。

次の構文を使用して、構成スコープを持つ USG に役割を割り当てます。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

この例では、"Exchange Servers/Exchange サーバー" という役割を MailboxAdmins という USG に割り当て、"Mailbox Servers/メールボックス サーバー"というスコープを適用します。

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

前の例では、サーバー構成スコープを持つ役割割り当ての追加方法が示されています。データベース構成スコープを追加するための構文は同じです。サーバー スコープではなくデータベース スコープの名前を指定します。

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。

OU スコープを持つ役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

注意

組織単位 (OU) スコープを持つ役割割り当ての作成に、EMC を使用することはできません。

OU に対して役割の書き込みスコープをスコープする場合、RecipientOrganizationalUnitScope パラメーターに OU を直接指定できます。RecipientOrganizationalUnitScope パラメーターを使用する場合、CustomRecipientWriteScope パラメーターは使用できません。

次の構文を使用して役割を USG に割り当て、役割の書き込みスコープを特定の OU に限定できます。

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

この例では、"Mail Recipients/メール受信者" という役割を SalesRecipientAdmins という USG に割り当て、その割り当てを contoso.com ドメイン内の "sales/users" という OU にスコープします。

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。

排他的な受信者スコープまたは構成スコープを持つ役割の割り当てを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。

注意

排他的な受信者スコープまたは構成スコープを持つ役割割り当ての作成に、EMC を使用することはできません。

排他的な受信者スコープまたは構成スコープを持つ排他的な役割の割り当てを作成するには、「Create a role assignment with a recipient filter-based scope」および「Create a role assignment with a server or database filter or list-based configuration scope」で記載したのと同じ手順を使用できます。排他的スコープを持つ役割の割り当てを作成する場合の唯一の違いは、排他的な受信者スコープと排他的な構成スコープのどちらを使用しているかに応じて、次の排他的なパラメーターを使用する必要があることです。

• 排他的な受信者の範囲   CustomRecipientWriteScope パラメーターではなく ExclusiveRecipientWriteScope パラメーターを使用します。

• 排他的な構成の範囲   CustomConfigWriteScope パラメーターではなく ExclusiveConfigWriteScope パラメーターを使用します。

この手順を実行する場合、役割を割り当てられた被割り当て者は、排他的スコープの中に含まれているオブジェクトに対して操作を実行できます。排他的スコープの詳細については、「排他スコープについて」を参照してください。

排他的スコープと正規のスコープの両方を持つ役割の割り当てを作成することはできません。

この例では、"Protected User Admins/保護されたユーザー管理者" という USG に "Mail Recipients/メール受信者" の役割を割り当て、"Protected Users/保護されたユーザー" という排他的スコープを適用します。

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。

 © 2010 Microsoft Corporation.All rights reserved.