ユーザーまたは USG に役割を追加する
製品: Exchange Server 2013
管理ロールの割り当ては、管理ロールをユーザーまたはユニバーサル セキュリティ グループ (USG) に割り当てることができます。 ユーザーまたは USG にロールを割り当てることで、これらのユーザーが、管理ロールで定義されているコマンドレットまたはスクリプトとそのパラメーターに依存するタスクを実行できるようになります。
役割を管理役割グループまたは管理役割の割り当てポリシーに割り当てる場合は、以下のトピックを参照してください。
役割グループにメンバーを追加する場合や、役割の割り当てポリシーをエンド ユーザーに割り当てる場合は、以下のトピックを参照してください。
詳細については、「役割ベースのアクセス制御について」を参照してください。
ロールに関連するその他の管理タスクをお探しですか? 詳細なアクセス許可を確認してください。
はじめに把握しておくべき情報
各手順の推定完了時間:5 分
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「 ロール管理 のアクセス許可」トピックの「ロールの割り当て」エントリを参照してください。
これらの手順を実行するには、シェルを使用する必要があります。
ユーザーと USG にロールを直接割り当てることができますが、管理者とエンド ユーザーにアクセス許可を付与する推奨される方法は、管理役割グループと管理ロールの割り当てポリシーを使用することです。 ロール グループと割り当てポリシーを使用すると、アクセス許可モデルが簡略化されます。
ロールの割り当ては追加的です。 これは、すべてのロールが評価されるときに一緒に追加されることを意味します。 2 つのロールがユーザーに割り当てられ、1 つのロールにコマンドレットが含まれているが、もう一方のロールが含まれていない場合、コマンドレットは引き続きユーザーが使用できます。
既定では、ロールの割り当ては、他のユーザーにロールを割り当てる機能を付与しません。 ユーザーが他のユーザーまたは USG にロールを割り当てできるようにするには、「 ロールの割り当てを委任する」を参照してください。
スコープを使用して割り当てを作成すると、スコープによってロールの暗黙的な書き込みスコープがオーバーライドされます。 ただし、役割の暗黙的な読み取りスコープは引き続き適用されます。 新しいスコープは、ロールの暗黙的な読み取りスコープの外部にあるオブジェクトを返すことはできません。 詳細については、「管理役割スコープについて」を参照してください。
このトピックのすべての手順では、 SecurityGroup パラメーターを使用して、ロールを USG に割り当てます。 ロールを特定のユーザーに割り当てる場合は、SecurityGroup パラメーターの代わりに User パラメーターを使用します。 各コマンドのその他の構文はすべて同じです。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Serverのフォーラムにアクセスしてください。
スコープなしで役割の割り当てを作成する
スコープを持たないロールの割り当てを作成できます。 このようにすると、役割の暗黙的な読み取り、および暗黙的な書き込みスコープが適用されます。
次の構文を使用して、スコープを持たない USG に役割を割り当てます。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>
この例では、"Exchange Servers/Exchange サーバー" という役割を SeattleAdmins という USG に割り当てます。
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
定義済みの相対スコープを持つ役割割り当てを作成する
定義済みの相対スコープがビジネス要件を満たしている場合は、カスタム スコープを作成するのではなく、そのスコープをロールの割り当てに適用できます。 定義済みスコープとその説明の一覧については、「管理役割スコープについて」を参照してください。
次の構文を使用して、定義済みスコープを持つ USG に役割を割り当てます。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >
この例では、"Exchange Servers/Exchange サーバー" という役割を SeattleAdmins という USG に割り当て、Organization 定義済みスコープを適用します。
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
受信者フィルター ベースのスコープを持つ役割の割り当てを作成する
受信者フィルターベースのスコープを作成し、ロールの割り当てでそれを使用する場合は、 CustomRecipientWriteScope パラメーターを使用して、USG にロールを割り当てるために使用するコマンドにスコープを含める必要があります。 CustomRecipientWriteScope パラメーターを使用する場合、RecipientOrganizationalUnitScope パラメーターは使用できません。
ロールの割り当てにスコープを追加する前に、スコープを作成する必要があります。 詳細については、「 標準または排他的スコープを作成する」を参照してください。
次の構文を使用して、受信者フィルター ベースのスコープを持つ USG に役割を割り当てます。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>
この例では、"Seattle Recipient Admins/シアトルの受信者管理者" という USG に "Mail Recipients/メール受信者" の役割を割り当て、"Seattle Recipients/シアトルの受信者" というスコープを適用します。
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
サーバー フィルター ベース、データベース フィルター ベース、サーバー リスト ベース、またはデータベース リスト ベースの構成スコープを持つ役割の割り当てを作成する
サーバー フィルター ベース、データベース フィルター ベース、サーバー リスト ベース、またはデータベース リスト ベースの構成スコープを作成し、役割の割り当てと組み合わせて使用する場合は、CustomConfigWriteScope パラメーターを使用して、USG への役割割り当てに使用するコマンドに、そのスコープを含める必要があります。
ロールの割り当てにスコープを追加する前に、スコープを作成する必要があります。 詳細については、「 標準または排他的スコープを作成する」を参照してください。
次の構文を使用して、構成スコープを持つ USG に役割を割り当てます。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>
この例では、"Exchange Servers/Exchange サーバー" という役割を MailboxAdmins という USG に割り当て、"Mailbox Servers/メールボックス サーバー"というスコープを適用します。
New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"
前の例では、サーバー構成スコープを使用してロールの割り当てを追加する方法を示します。 データベース構成スコープを追加する構文は同じです。 サーバー スコープの代わりにデータベース スコープの名前を指定します。
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
OU スコープを持つ役割の割り当てを作成する
ロールの書き込みスコープを組織単位 (OU) にスコープを設定する場合は、 RecipientOrganizationalUnitScope パラメーターで OU を直接指定できます。 RecipientOrganizationalUnitScope パラメーターを使用する場合は、CustomRecipientWriteScope パラメーターを使用できません。
次の構文を使用して役割を USG に割り当て、役割の書き込みスコープを特定の OU に限定できます。
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>
この例では、"Mail Recipients/メール受信者" という役割を SalesRecipientAdmins という USG に割り当て、その割り当てを contoso.com ドメイン内の "sales/users" という OU にスコープします。
New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
排他的な受信者スコープまたは構成スコープを持つ役割の割り当てを作成する
排他的な受信者または構成スコープを使用して排他ロールの割り当てを作成するには、「受信者フィルターベースのスコープを使用してロールの割り当てを作成する」および「サーバーまたはデータベース フィルターまたはリスト ベースの構成スコープを使用してロールの割り当てを作成する」セクションで提供されているのと同じ手順を使用できます。 唯一の違いは、排他スコープを使用してロールの割り当てを作成する場合、排他受信者スコープと排他構成スコープのどちらを使用しているかに応じて、次の排他的パラメーターを指定する必要があるということです。
排他受信者スコープ: CustomRecipientWriteScope パラメーターの代わりに ExclusiveRecipientWriteScope パラメーターを使用します。
排他構成スコープ: CustomConfigWriteScope パラメーターの代わりに ExclusiveConfigWriteScope パラメーターを使用します。
この手順を実行すると、ロールが割り当てられたロールの担当者は、排他スコープに含まれるオブジェクトに対してアクションを実行できます。 排他的スコープの詳細については、「排他スコープについて」を参照してください。
排他的スコープと正規のスコープの両方を持つ役割の割り当てを作成することはできません。
この例では、"Protected User Admins/保護されたユーザー管理者" という USG に "Mail Recipients/メール受信者" の役割を割り当て、"Protected Users/保護されたユーザー" という排他的スコープを適用します。
New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。