Active Directory 管理モデルの選択
管理要件、セキュリティ要件、および技術的な機能に基づいて、集中管理モデル、分散管理モデル、または両方を組み合わせたモデルを設計できます。集中モデルまたは分散モデルのどちらを使用するかを決定することにより、実質的には管理グループを 1 つ作成するか複数作成するかを決定することになります。
管理グループについて
管理グループは、オブジェクト (サーバー、ポリシー、ルーティング グループ、パブリック フォルダの階層など) をグループ化する方法を提供し、グループに対してアクセス許可の範囲を定義します。たとえば、組織に Exchange サーバーの 2 つのセットを管理する 2 つの管理者のセットがある場合、サーバーのこれらの 2 つのセットを含む 2 つの管理グループを作成できます。アクセス許可は、適切な Windows ユーザーおよびグループを 2 つの管理グループのセキュリティ設定に追加することによって確立できます。次に、Active Directory により、管理グループ内のすべての構成オブジェクトにこれらの設定が適用されます。Exchange アクセス許可を管理グループに割り当てるには、Exchange 管理委任ウィザードを使用できます。このウィザードにより、アクセス許可の割り当て、およびアクセス制御リスト (ACL) の作成と保守を簡単に行うことができます。
| 管理モデル | 詳細 |
|---|---|
集中 |
|
分散 |
|
複合 |
|
集中管理モデル
集中 Exchange 管理モデルの特徴は、単一の Exchange 管理グループ (既定の管理グループ)、集中サーバー管理、および集中ポリシー管理です。Exchange 2003 では管理モデルが物理インフラストラクチャから完全に独立しているため、企業が複数の支社から構成されている場合でも、Exchange 管理モデルを集中化できます。管理グループは 1 つしか存在できませんが、ルーティング グループは多数作成できます。管理モデルが高度に集中化されており、ビジネス単位間で厳密なセキュリティ境界を必要としない場合は、単一のフォレスト モデルを使用できます。
分散管理モデル
論理的なビジネス部門が Exchange サーバー管理の面で独立性を必要とする場合は、分散モデルが必要となることがあります。このモデルでは、個々のビジネス単位または領域が Exchange 組織の管理を完全に制御しますが、標準やガイドラインは中央のグループが管理できます。分散モデルでは、各領域または部門に対して少なくとも 1 つの管理グループを作成します。このモデルは、以前のバージョンの Exchange でのサイト モデルに似ており、多くの場合、独立して経営されている複数の支社を持つ組織で使用されます。管理グループを使用してビジネス単位を分けるだけで十分かどうか、またはビジネス単位間に厳密なセキュリティ境界を作成する必要があるかどうかも考慮する必要があります。後者の場合に厳密なセキュリティの境界を作成する唯一の方法は、別個のフォレストにビジネス単位を配置することです。
.gif "note") 注 : |
|---|
| 支社のサポート コストは非常に高くなることがあります。このため、これらのサポート コストと、ネットワーク接続をアップグレードしてサーバーを集中管理するコストを、比較検討する必要があります。 |
複合的な管理モデル
両方を組み合わせたモデルでは、地理的に異なった場所に対する管理責任を専門の管理グループに分けることができる一方で、組織の責任を定義する集中的な管理グループを割り当てることができます。この例では、集中管理される組織ポリシー グループの管理者が、組織全体で使用されるシステムおよび受信者ポリシーを制御します。地域グループは、管理者が地理的に異なった場所ごとに実行する日常的な管理タスクを定義します。これらの各グループには、パブリック フォルダやサーバーなど、ローカル グループが管理する他のオブジェクトが含まれます。
.gif "important") 重要 : |
|---|
| Exchange 組織が混在モード、つまり Exchange 2000 または Exchange 2003 サーバーと Exchange 5.5 サーバーが含まれている場合、Exchange は既定で、Exchange 5.5 サイトごとに 1 つの管理グループと 1 つのルーティング グループを表示します。 |