リンクされた役割グループを管理する

  • [アーティクル]

製品: Exchange Server 2013

リンクされた管理役割グループを使用すると、外部 Active Directory フォレストのユニバーサル セキュリティ グループ (USG) のメンバーが、リソース Active Directory フォレスト内の Microsoft Exchange Server 2013 組織を管理できます。 外部フォレスト内の USG をリンクされた役割グループに関連付けることにより、その USG のメンバーには、リンクされた役割グループに割り当てられた管理ロールによって提供されるアクセス許可が付与されます。 リンクされた役割グループの詳細については、「 管理役割グループについて」を参照してください。

リンクされた役割グループを作成して構成するには、New-RoleGroup コマンドレットと Set-RoleGroup コマンドレットを使用する必要があります。 構文およびパラメーターの詳細については、以下のトピックを参照してください。

役割グループに関連する追加の管理タスクについては、「アクセス許可」を参照してください。

はじめに把握しておくべき情報

  • 各手順の推定完了時間: 5 から 10 分

  • この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「ロール 管理のアクセス許可 」トピックの「役割グループ」エントリを参照してください。

  • Exchange 管理センター (EAC) を使用して、リンクされた役割グループを作成または構成することはできません。 Exchange 管理シェル を使用する必要があります。

  • 少なくとも、リンクされた役割グループを構成するには、リンクされた役割グループが存在するリソース Active Directory フォレストと、ユーザーまたは USG が存在する外部 Active Directory フォレストとの間に一方向の信頼が確立されている必要があります。 リソース フォレストは、外部フォレストを信頼する必要があります。

  • 外部 Active Directory フォレストに関する以下の情報を把握している必要があります。

    • 資格情報: 外部 Active Directory フォレストにアクセスできるユーザー名とパスワードが必要です。 この情報は、New-RoleGroup コマンドレットと Set-RoleGroup コマンドレットの LinkedCredential パラメーターと共に使用されます。

    • ドメイン コントローラー: 外部 Active Directory フォレスト内の Active Directory ドメイン コントローラーの完全修飾ドメイン名 (FQDN) が必要です。 この情報は、New-RoleGroup コマンドレットと Set-RoleGroup コマンドレットの LinkedDomainController パラメーターと共に使用されます。

    • 外部 USG: リンクされた役割グループに関連付けるメンバーを含む、外部 Active Directory フォレスト内の USG のフル ネームが必要です。 この情報は、New-RoleGroup コマンドレットと Set-RoleGroup コマンドレットの LinkedForeignGroup パラメーターと共に使用されます。

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。

ヒント

問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Serverのフォーラムにアクセスしてください。

リンクされた役割グループを作成する

シェルを使用してスコープのないリンクされた役割グループを作成する

リンクされた役割グループを作成して管理役割をリンクされた役割グループに割り当てるには、次の手順を実行します。

  1. 変数に外部 Active Directory フォレストの資格情報を格納します。

    $ForeignCredential = Get-Credential

  2. 以下の構文を使用して、リンクされた役割グループを作成します。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>

  3. 外部 Active Directory フォレストにあるコンピューター上で Active Directory ユーザーとコンピューターを使用して、メンバーを外部 USG に追加、または外部 USG から削除します。

この例では、次のことが行われます。

  • users.contoso.com 外部 Active Directory フォレストの資格情報を取得します。 これらの資格情報は、外部フォレスト内の DC01.users.contoso.com ドメイン コントローラーに接続するために使用されます。

  • Exchange 2013 がインストールされたリソース フォレスト内に "Compliance Role Group/準拠役割グループ" という名前のリンクされた役割グループを作成します。

  • 新しい役割グループを users.contoso.com 外部 Active Directory フォレスト内の "Compliance Administrators USG/準拠管理者 USG" にリンクします。

  • "Transport Rules/トランスポート ルール" および "Journaling /ジャーナリング" 管理役割をリンクされた新しい役割のグループに割り当てます。

$ForeignCredential = Get-Credential

New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

シェルを使用してカスタム管理スコープ付きのリンクされた役割グループを作成する

カスタム受信者管理スコープ、カスタム構成管理スコープ、またはその両方を使用して、リンクされたロール グループを作成できます。 リンクされた役割グループを作成し、カスタム スコープを持つ管理ロールを割り当てるには、次の操作を行います。

  1. 変数に外部 Active Directory フォレストの資格情報を格納します。

    $ForeignCredential = Get-Credential

  2. 以下の構文を使用して、リンクされた役割グループを作成します。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>

  3. 外部 Active Directory フォレストにあるコンピューター上で Active Directory ユーザーとコンピューターを使用して、メンバーを外部 USG に追加、または外部 USG から削除します。

この例では、次のことが行われます。

  • users.contoso.com 外部 Active Directory フォレストの資格情報を取得します。 これらの資格情報は、外部フォレスト内の DC01.users.contoso.com ドメイン コントローラーに接続するために使用されます。

  • Exchange 2013 がインストールされたリソース フォレスト内に "Seattle Compliance Role Group/Seattle の準拠役割グループ" という名前のリンクされた役割グループを作成します。

  • 新しい役割グループを users.contoso.com 外部 Active Directory フォレスト内の "Seattle Compliance Administrators USG/Seattle の準拠管理者 USG" にリンクします。

  • "Transport Rules/トランスポート ルール" および "Journaling /ジャーナリング" 管理役割を "Seattle Recipients/Seattle 受信者" カスタム受信者スコープ付きのリンクされた新しい役割のグループに割り当てます。

$ForeignCredential = Get-Credential

New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

管理のスコープの詳細については、「管理役割スコープについて」を参照してください。

シェルを使用して OU スコープ付きのリンクされた役割グループを作成する

OU 受信者スコープを使用するリンクされたロール グループを作成できます。 リンクされた役割グループを作成し、OU スコープで管理ロールを割り当てるには、次の操作を行います。

  1. 変数に外部 Active Directory フォレストの資格情報を格納します。

    $ForeignCredential = Get-Credential

  2. 以下の構文を使用して、リンクされた役割グループを作成します。

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>

  3. 外部 Active Directory フォレストにあるコンピューター上で Active Directory ユーザーとコンピューターを使用して、メンバーを外部 USG に追加、または外部 USG から削除します。

この例では、次のことが行われます。

  • users.contoso.com 外部 Active Directory フォレストの資格情報を取得します。 これらの資格情報は、外部フォレスト内の DC01.users.contoso.com ドメイン コントローラーに接続するために使用されます。

  • Exchange 2013 がインストールされたリソース フォレスト内に "Executives Compliance Role Group/エグゼクティブ準拠の役割グループ" という名前のリンクされた役割グループを作成します。

  • 新しい役割グループを users.contoso.com 外部 Active Directory フォレスト内のエグゼクティブ準拠管理者 USG にリンクします。

  • "Transport Rules/トランスポート ルール" および "Journaling /ジャーナリング" 管理役割を OU 受領者スコープ エグゼクティブ OU 付きのリンクされた新しい役割のグループに割り当てます。

$ForeignCredential = Get-Credential

New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

管理のスコープの詳細については、「管理役割スコープについて」を参照してください。

リンクされた役割グループの外部 USG を変更する

シェルを使用してリンクされた役割グループの外部 USG を変更する

リンクされた役割グループに関連付けられた外部 USG を変更するには、次の手順を実行します。

  1. 変数に外部 Active Directory フォレストの資格情報を格納します。

    $ForeignCredential = Get-Credential

  2. 次の構文を使用して、リンクされた既存の役割グループの外部 USG を変更します。

    Set-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential

この例では、次のことが行われます。

  • users.contoso.com 外部 Active Directory フォレストの資格情報を取得します。 これらの資格情報は、外部フォレスト内の DC01.users.contoso.com ドメイン コントローラーに接続するために使用されます。

  • 外部 USG に関連付けられている役割グループを、Compliance Role Group から Regulatory Compliance Officers に変更します。

$ForeignCredential = Get-Credential

Set-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Regulatory Compliance Officers" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential