リンクされた役割グループを作成する
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2012-07-23
リンクされた管理役割グループを使用すると、外部 Active Directory 内のユニバーサル セキュリティ グループ (USG) のメンバーがリソース Active Directory フォレスト内の Microsoft Exchange Server 2010 組織を管理できるようになります。外部フォレスト内の USG をリンクされた役割グループに関連付けることによって、その USG のメンバーに対して、リンクされた役割グループに割り当てられた管理役割で提供されるアクセス許可が付与されます。リンクされた役割グループの詳細については、「管理役割グループについて」を参照してください。
重要
リンクされた役割グループ上でユーザーを追加または削除するには、外部 Active Directory フォレストの USG 内のメンバーを追加または削除する必要があります。リンクされた役割グループのメンバーを変更するために、Add-RoleGroupMember、Remove-RoleGroupMember、または Update-RoleGroupMember コマンドレットを使用することはできません。
管理およびスペシャリスト ユーザーに関連する他の管理タスクについては、「管理者および専門家ユーザーの管理」を参照してください。
前提条件
リンクされた役割グループを構成するには、少なくともリンクされた役割グループが存在することになるリソース Active Directory フォレストとユーザーまたは USG が存在している外部 Active Directory フォレスト間に一方向の信頼が確立されている必要があります。リソース フォレストは外部フォレストを信頼する必要があります。
外部 Active Directory フォレストに関する以下の情報を把握している必要があります。
資格情報 外部 Active Directory フォレストにアクセスできるユーザー名とパスワードを有する必要があります。この情報は、New-RoleGroup コマンドレットの LinkedCredential パラメーターで使用されます。
ドメイン コントローラー 外部 Active Directory フォレスト内の Active Directory ドメイン コントローラーの完全修飾ドメイン名 (FQDN) を有する必要があります。この情報は、New-RoleGroup コマンドレットの LinkedDomainController パラメーターで使用されます。
外部 USG リンクされた役割グループに関連付けるメンバーを含む外部 Active Directory フォレスト内の USG の完全名を有する必要があります。この情報は、New-RoleGroup コマンドレットの LinkedForeignGroup パラメーターで使用されます。
シェルを使用してスコープのないリンクされた役割グループを作成する
この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割グループ」。
注意
EMC を使用して、スコープのないリンクされた役割グループを作成することはできません。
リンクされた役割グループを作成して管理役割をリンクされた役割グループに割り当てるには、次の手順を実行します。
変数に外部 Active Directory フォレストの資格情報を格納します。
$ForeignCredential = Get-Credential以下の構文を使用して、リンクされた役割グループを作成します。
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>外部 Active Directory フォレストにあるコンピューター上で Active Directory ユーザーとコンピューターを使用して、メンバーを外部 USG に追加、または外部 USG から削除します。
この例では、次のことが行われます。
users.contoso.com 外部 Active Directory フォレストの資格情報を取得します。これらの資格情報を使用して、外部フォレストにある DC01.users.contoso.com ドメイン コントローラーに接続します。
Exchange 2010 がインストールされたリソース フォレスト内に "Compliance Role Group/準拠役割グループ" という名前のリンクされた役割グループを作成します。
新しい役割グループを users.contoso.com 外部 Active Directory フォレスト内の "Compliance Administrators USG/準拠管理者 USG" にリンクします。
"Transport Rules/トランスポート ルール" および "Journaling /ジャーナリング" 管理役割をリンクされた新しい役割のグループに割り当てます。
$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"
構文とパラメーターの詳細については、「New-RoleGroup」を参照してください。
シェルを使用してカスタム管理スコープ付きのリンクされた役割グループを作成する
この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割グループ」。
注意
EMC を使用して、カスタム管理スコープ付きのリンクされた役割グループを作成することはできません。
カスタム受領者管理スコープ、カスタム構成管理スコープ、または両方が付いているリンクされた役割グループを作成できます。リンクされた役割グループを作成してカスタム スコープ付きの管理の役割をそのグループに割り当てるには、次の手順を実行します。
変数に外部 Active Directory フォレストの資格情報を格納します。
$ForeignCredential = Get-Credential以下の構文を使用して、リンクされた役割グループを作成します。
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>外部 Active Directory フォレストにあるコンピューター上で Active Directory ユーザーとコンピューターを使用して、メンバーを外部 USG に追加、または外部 USG から削除します。
この例では、次のことが行われます。
users.contoso.com 外部 Active Directory フォレストの資格情報を取得します。これらの資格情報を使用して、外部フォレストにある DC01.users.contoso.com ドメイン コントローラーに接続します。
Exchange 2010 がインストールされたリソース フォレスト内に "Seattle Compliance Role Group/Seattle の準拠役割グループ" という名前のリンクされた役割グループを作成します。
新しい役割グループを users.contoso.com 外部 Active Directory フォレスト内の "Seattle Compliance Administrators USG/Seattle の準拠管理者 USG" にリンクします。
"Transport Rules/トランスポート ルール" および "Journaling /ジャーナリング" 管理役割を "Seattle Recipients/Seattle 受信者" カスタム受信者スコープ付きのリンクされた新しい役割のグループに割り当てます。
$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"
管理のスコープの詳細については、「管理役割スコープについて」を参照してください。
構文とパラメーターの詳細については、「New-RoleGroup」を参照してください。
シェルを使用して OU スコープ付きのリンクされた役割グループを作成する
この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割グループ」。
注意
EMC を使用して、組織ユニット (OU) スコープ付きのリンクされた役割グループを作成することはできません。
OU 受領者スコープを使用するリンクされている役割グループを作成できます。リンクされた役割グループを作成して OU スコープ付きの管理役割をそのグループに割り当てるには、次の手順を実行します。
変数に外部 Active Directory フォレストの資格情報を格納します。
$ForeignCredential = Get-Credential以下の構文を使用して、リンクされた役割グループを作成します。
New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>外部 Active Directory フォレストにあるコンピューター上で Active Directory ユーザーとコンピューターを使用して、メンバーを外部 USG に追加、または外部 USG から削除します。
この例では、次のことが行われます。
users.contoso.com 外部 Active Directory フォレストの資格情報を取得します。これらの資格情報を使用して、外部フォレストにある DC01.users.contoso.com ドメイン コントローラーに接続します。
Exchange 2010 がインストールされたリソース フォレスト内に "Executives Compliance Role Group/エグゼクティブ準拠の役割グループ" という名前のリンクされた役割グループを作成します。
新しい役割グループを users.contoso.com 外部 Active Directory フォレスト内のエグゼクティブ準拠管理者 USG にリンクします。
"Transport Rules/トランスポート ルール" および "Journaling /ジャーナリング" 管理役割を OU 受領者スコープ エグゼクティブ OU 付きのリンクされた新しい役割のグループに割り当てます。
$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"
管理のスコープの詳細については、「管理役割スコープについて」を参照してください。
構文とパラメーターの詳細については、「New-RoleGroup」を参照してください。
その他のタスク
リンクされた役割グループを作成した後に、以下の作業も実行できます。
© 2010 Microsoft Corporation.All rights reserved.