Active Directory での構成情報の管理

Exchange システム スナップインをカスタム コンソールに追加すると、[ドメイン コントローラの変更] ダイアログ ボックスが表示されます。このダイアログ ボックスでは、Exchange Server 2003 組織のフォレスト内のドメインからドメイン コントローラを選択することも、既定の構成をそのまま使用して書き込み可能な任意のドメイン コントローラに接続することもできます。Exchange Server 2003 組織の構成情報を取得するには、Active Directory にアクセスする必要があります。「Exchange Server 2003 と Active Directory」で説明したように、Active Directory は構成ディレクトリ パーティション内に格納されています。

注 :
Exchange Server 2003 組織を管理することができるコンピュータは、Exchange Server 2003 を実行するサーバーを含むフォレスト内のドメイン コントローラによって信頼されているドメインのメンバです。

ドメイン コントローラへのバインド

Exchange システム マネージャは ADSI (Active Directory Service Interfaces) を使用して、Active Directory と通信します。ADSI は LDAP (Lightweight Directory Access Protocol) に依存します。[ドメイン コントローラの変更] ダイアログ ボックスで特定のドメイン コントローラを指定した場合、Exchange システム マネージャを開いたときに、そのドメイン コントローラへの直接的な接続が確立されます。代わりに既定の構成を受け入れた (ドメイン コントローラを指定しない) 場合、ドメイン コントローラへのサーバーレス バインドが ADSI によって実行されます。

サーバーレス バインドは、ADSI が Netlogon サービスによって実装されたロケータ サービスを使用して、使用に最適なドメイン コントローラを発見するプロセスです。このドメイン コントローラは常に、Active Directory に接続するユーザーの現在のセキュリティ コンテキストに関連付けられたドメインに格納されています。各ドメイン コントローラは、ドメイン ネーム システム (DNS) 内のホスト名、および NetBIOS 名を WINS (Windows Internet Name Service) などのトランスポート固有メカニズムを使用して登録します。ロケータ サービスは、該当の名前を検索した後、その名前が登録されているドメイン コントローラにデータグラムを送信します。NetBIOS ドメイン名が検索対象の場合、データグラムはメールスロット メッセージです。メールスロットは、1 対 1 または 1 対多のプロセス間通信 (IPC) に対応したオペレーティング システムによって提供されるメカニズムです。DNS ドメイン名が検索対象の場合、データグラムは LDAP User Datagram Protocol (UDP) 検索です。応答するドメイン コントローラはそれぞれが、現在稼働中であることを示しています。

注 :

Exchange Server 2003 にはまだ NetBIOS が必要なため、ネットワークにインストール済みの WINS サーバーの使用を停止してはいけません。たとえば、RPC プロトコル バインド順で定義されている場合は、Exchange システム マネージャがリモート プロシージャ コール (RPC) に基づく Exchange サーバーとの通信のために、NetBIOS を選択する場合があります。RPC プロトコル バインド順は、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\Exchange Provider の下にある Rpc_Binding_Order という名前の REG_STRING レジストリ パラメータで定義されます。既定値の ncalrpc,ncacn_ip_tcp,ncacn_spx,ncacn_np,netbios,ncacn_vns_spp には、NetBIOS が含まれています。ただし、ドメイン コントローラとの通信は LDAP ベースなので、NetBIOS や WINS は必要ありません。

次の図に示すように、ロケータ サービスが優先的に使用するのはローカル Active Directory サイト内にあるドメイン コントローラであるため、最初に応答したドメイン コントローラが接続先となります。ロケータ サービスがドメイン コントローラにデータグラムを送信すると、ドメイン コントローラは Active Directory 内の [Configuration] コンテナ、[Sites] コンテナ、および [Subnets] コンテナ内にあるクライアントのインターネット プロトコル (IP) アドレスを調査し、そのクライアントの IP アドレス領域に対応するサブネット オブジェクトを検索します。サブネット オブジェクトの siteObject プロパティには、クライアントが存在するサイトの識別名 (たとえば、CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=fabrikam,DC=com) が示されます。ドメイン コントローラは、クライアントが存在するサイトの識別名と共に、このドメイン コントローラがそのサイトを対象とするかどうかを示すインジケータを使用してデータグラムに応答します。そのサイトがドメイン コントローラの処理対象ではなく、クライアント サイト内にあるドメイン コントローラに対してロケータ サービスが検索をまだ試みていない場合は、ロケータ サービスはローカル サイト内にあるドメイン コントローラの検索を再び試みます。ドメイン コントローラが見つかった後は、Active Directory への LDAP 接続が確立され、接続情報がキャッシュされるため、同じアプリケーションからの以降の接続では、サーバーレス バインド アルゴリズムを繰り返す必要がありません。バインド キャッシュには、接続特性 (たとえば、暗号化情報や認証情報) のほか、適切なサーバーへの接続ハンドルも格納されています。

注 :
サーバーレス バインドは、複数ドメイン コントローラ間で複数クライアントからの要求のバランスをとり、ドメイン コントローラが使用できなくなったときに別のドメイン コントローラへの自動切り替えが可能なため、優先的に使用される接続方法です。

構成ディレクトリ パーティション内の Exchange 組織

Exchange システム マネージャを使用して管理できる構成設定はそのほとんどが、Active Directory の構成ディレクトリ パーティション内のディレクトリ オブジェクトに格納されます。Exchange システム マネージャのコンソール ツリーに表示される構成オブジェクトの階層は、構成ディレクトリ パーティション内のディレクトリ オブジェクトの階層と厳密に一致します。わずかな違いのみ存在します。たとえば、管理グループおよびルーティング グループが 1 つずつ含まれる組織では、階層内の構成オブジェクトを表示する際に管理グループおよびルーティング グループの表示と非表示を切り替えることができます。この操作を行うには、Exchange 組織オブジェクト (Exchange システム マネージャのコンソール ツリー内にあるルート オブジェクト) のプロパティの [全般] タブで、[ルーティング グループを表示する] チェック ボックスおよび [管理グループを表示する] チェック ボックスをオンまたはオフにします。ただし、[管理グループ] コンテナおよび [ルーティング グループ] コンテナ内には、構成ディレクトリ パーティションが常に存在します。

構成ディレクトリ パーティションのディレクトリ オブジェクト (Active Directory サイトとサービスに表示される) の階層と、(管理グループとルーティング グループの表示を有効にした) Exchange システム マネージャでの構成オブジェクトの階層との比較を、次の図に示します。

Exchange システム マネージャでは、次の一般的なカテゴリに従って、構成ディレクトリ パーティションの構成オブジェクトがコンソール ツリー内に整理されます。

• グローバル Exchange オブジェクト   グローバル Exchange オブジェクトは、Exchange 組織全体に影響するインターネット メッセージ形式およびその他の設定を定義するオブジェクトです。たとえば、モバイル サービス オブジェクトは、Exchange 組織内のすべての受信者に適用される Exchange ActiveSync および Microsoft Office Outlook Mobile Access 用の設定を定義します。これらの構成オブジェクトに対応するディレクトリ オブジェクトは、構成ディレクトリ パーティション内では、Exchange 組織コンテナの下にある [Global Settings] コンテナ内に配置されています。
• 受信者オブジェクト   受信者オブジェクトは、メールボックスが有効なオブジェクトやメールが有効なオブジェクトに受信者更新サービスが割り当てる電子メール アドレスを指定するルールを定義します。受信者オブジェクトは、サーバー ベースのアドレス一覧の生成方法も決定します。Exchange システム マネージャで [受信者] コンテナ内の構成オブジェクトを使用すると、詳細テンプレートとアドレス テンプレートをカスタマイズし、Outlook のアドレス帳ユーザー インターフェイスを変更することができます。
  Exchange システム マネージャ内の [受信者] コンテナは、構成ディレクトリ パーティション内の多数のコンテナにあるディレクトリ オブジェクトを統合します。Active Directory の Exchange 組織の下では、アドレス一覧定義オブジェクトと受信者更新サービス オブジェクトが [Address Lists Container] コンテナ内に、詳細テンプレートとアドレス テンプレート用オブジェクトが [Addressing] コンテナ内に、メールが有効な受信者とメールボックスが有効な受信者の電子メール アドレスを定義するポリシー用のオブジェクトが [Recipient Polices] コンテナ内に含まれています。
• 管理グループ オブジェクトとルーティング グループ オブジェクト   Exchange システム マネージャ内にある構成パラメータへのアクセスは、管理グループ オブジェクトとルーティング グループ オブジェクトでは提供されませんが、代わりにこれらのオブジェクトを使用して、Exchange 組織の管理トポロジとメッセージ ルーティング トポロジを定義します。たとえば、管理グループを使用して、Exchange サーバーおよびリソースの管理を分割します。ルーティング グループを使用すると、さまざまなサイトや場所の間のメッセージ転送を合理化できます。管理グループとルーティング グループの計画の詳細については、『Planning a Microsoft Exchange Server 2003 Messaging System』(英語) を参照してください。
• サーバー オブジェクト   サーバー オブジェクトには、メッセージング組織内の個々の Exchange サーバーに適用される設定が含まれています。サーバー オブジェクトには、ストレージ グループおよびメッセージング プロトコル用の、追加の構成オブジェクトも保持されます。Exchange システム マネージャは、サーバー オブジェクトのプロパティを表示するときに、さまざまなプロパティ タブの多様な情報源から得られた情報を統合します。サーバー構成オブジェクトは、構成ディレクトリ パーティション内では、管理グループの下にある [Servers] コンテナ内に置かれているサーバー ディレクトリ オブジェクトに対応しています。
• システム ポリシー オブジェクト   システム ポリシー オブジェクトを使用して、1 つの構成オブジェクトを介して複数の Exchange サーバー用パラメータ (メールボックス ストア、パブリック フォルダ ストア、サーバー設定など) を構成することにより、システム管理を簡略化することができます。ただし、既定では、システム ポリシー オブジェクトは存在しません。システム ポリシーを作成するには、最初に、特定の [システム ポリシー] コンテナを管理グループに追加する必要があります。この追加を行うには、目的の管理グループを右クリックし、[新規作成] をポイントします。次に、[システム ポリシー コンテナ] をクリックします。その後で、メールボックス ストア ポリシー、パブリック ストア ポリシー、またはサーバー ポリシーのいずれかを作成するには、[システム ポリシー] コンテナを右クリックして、ポリシーを構成します。メールボックス ストア、パブリック フォルダ ストア、またはサーバー プロパティの構成の詳細については、『Administration Guide for Exchange Server 2003』(英語) を参照してください。
• フォルダ階層   フォルダ階層オブジェクトは、管理グループの下の、[フォルダ] コンテナ内にあります。このコンテナ内の階層オブジェクトはそれぞれ、Exchange ストア内の特定のパブリック フォルダ ツリーを参照します。パブリック フォルダ ツリーは、複数の Exchange サーバー上のパブリック ストアにわたってレプリケートすることができます。ただし、階層オブジェクトは、構成ディレクトリ パーティションでは、管理グループの下にある [Folder Hierarchies] コンテナ内に置かれています。

注 :
Exchange システム マネージャの [ツール] ノードは、構成ディレクトリ パーティション内のディレクトリ オブジェクトに対応していません。[ツール] ノードからは、拡張スナップイン (たとえば、メッセージ追跡センター) へのアクセスが可能です。構成情報を保持するために、ここから次に Active Directory 内のオブジェクトへアクセスすることができます。

Exchange システム マネージャとアクセス許可の設定

Exchange Server 2003 のアクセス許可モデルは、Microsoft Windows セキュリティ モデルに完全に依存しています。アクセス許可モデルは、構成ディレクトリ パーティション内の Exchange 組織オブジェクトおよび管理グループ上に構成されます。Exchange システム マネージャのコンソール ツリーで組織オブジェクトまたは管理グループ名を右クリックすると、ショートカット メニューの [制御の委任] から管理委任ウィザードを起動できます。管理委任ウィザードを使用して、次の 3 つの役割のいずれかを Exchange 管理者に割り当てることができます。

• Exchange 管理者 (完全)   この役割は、Exchange 組織に対するフル コントロールを管理者に付与します。ただし、"Receive As" のアクセス許可および "Send As" のアクセス許可は、明示的に拒否されます。このため、Exchange 管理者 (完全) は、Exchange 組織内の別のユーザーを偽装することはできません。たとえば、"Send As" アクセス許可を持たない管理者は、別のユーザーの代わりに電子メール メッセージを送信することはできません。
• Exchange 管理者   この役割は、Exchange 管理者 (完全) と同様のアクセス許可を管理者に付与します。ただし、"所有者の修正" と "アクセス許可の修正" のアクセス許可は拒否します。このため、Exchange 管理者は Exchange 組織の設定をすべて管理できますが、セキュリティ設定を変更することはできません。
• Exchange 管理者 (参照のみ可)   この役割は、"すべてのプロパティの読み取り"、"内容の一覧表示"、"アクセス許可の読み取り"、および "View information store status" のアクセス許可を管理者に付与します。たとえば、Exchange サーバーの管理を担当していなくても、ユーザー アカウントのメールボックスやメールを有効化する必要があるメールボックス管理者には Exchange 管理者 (参照のみ可) のアクセス許可が必要です。

次の表に、さまざまな Exchange 管理者の役割間において重要な相違点を一覧で示します。

Exchange 管理者の役割間の重要な相違点

Exchange システム マネージャでのオブジェクト用 [セキュリティ] タブの有効化

管理委任ウィザードを使用すると、個々の Exchange 管理者またはグループに、組織レベルまたは管理グループ レベルで役割を付与することができます。ただし、管理委任ウィザードでは必ずしもすべてのセキュリティ設定が表示されるわけではありません。時には、表示された管理者一覧が不完全な場合さえあります。これは、管理委任ウィザードの追跡対象となるのが、Active Directory 内の Exchange 組織オブジェクトの属性で Exchange 管理者の役割を与えられた管理者であるためです。この属性は、msExchAdmins という名前です。ただし管理委任ウィザードでは、構成ディレクトリ パーティション内のより高いレベルにあるコンテナから継承されたアクセス許可を持つ管理者は追跡されません。たとえば、既定では、Enterprise Admins グループのメンバは、構成ディレクトリ パーティション全体にわたって完全なアクセス許可を持っています。これは、完全なアクセス許可の設定が、ルート構成コンテナからすべての子コンテナに継承されているためです。ただし、管理委任ウィザードでは、これらの管理者は msExchAdmins 属性内に列挙されないため、Exchange 管理者 (完全) の一覧に表示されません。アクセス許可の継承については、このトピックの「アクセス許可の継承と Exchange システム マネージャ」で説明します。

さらに、セキュリティ グループに組織レベルで Exchange 管理者 (完全) の役割を割り当てた場合、後で管理委任ウィザードを使用しても、そのセキュリティ グループのメンバを特定の管理グループの Exchange 管理者 (参照のみ可) の役割にダウングレードすることはできません。これは、管理委任ウィザードでは、親コンテナから継承されたセキュリティ設定を介して付与されるアクセス許可が拒否されないためです。管理委任ウィザードを使用して個々のメンバに管理グループの Exchange 管理者 (参照のみ可) の役割を割り当てると、これらのアカウントは Exchange 管理者 (参照のみ可) として表示されます。ただし、これらのアカウントは Exchange 管理者 (完全) の役割を保持しています。この役割は、各アカウントのグループ メンバシップを介して組織レベルから継承されています。実際のセキュリティ設定を調べるには、Exchange システム マネージャで組織オブジェクトおよび管理グループ オブジェクトの [セキュリティ] タブを有効にする必要があります。これを行なうには、次の表に示すように ShowSecurityPage レジストリ パラメータを設定します。

ShowSecurityPage レジストリ パラメータ

ShowSecurityPage

REG_DWORD

1

注意 :
レジストリの編集を誤ると、オペレーティング システムの再インストールを余儀なくされるような重大な問題が発生する可能性があります。レジストリの編集を誤ったために発生した問題は、解決できない場合があります。レジストリを編集する前に、大切なデータはすべてバックアップしてください。

アクセス許可の継承と Exchange システム マネージャ

Exchange システム マネージャの [セキュリティ] タブで Exchange 組織のセキュリティ設定を調べるときは、Exchange 管理者の役割を特に割り当てたアカウントのほか、いくつかのシステム アカウントおよびグループにもセキュリティ設定が割り当てられていることが確認できます。それらの既定アカウントおよびアクセス許可の一覧を次の表に示します。

Exchange 組織内のアクセス許可を持つ既定のアカウント

ほとんどのアクセス許可の設定は、Exchange 組織オブジェクトによって、構成ディレクトリ パーティションの階層内にある親コンテナから継承されています。たとえば、Enterprise Admins は、構成ディレクトリ パーティションのルート コンテナでフル コントロール アクセス許可を付与されています。アクセス許可は、既定では構成ディレクトリ パーティション内のすべての子オブジェクト (Exchange 組織コンテナを含む) によって継承されるため、Enterprise Admins グループのメンバは、Exchange 管理者 (完全) でもあることになります。

Exchange システム マネージャを使用して、構成ディレクトリ パーティション内の親コンテナ用のセキュリティ設定を調べることはできませんが、ADSI Edit ツールを使用すると、実際の設定を調査できます。図 4.4 は、構成コンテナに適用される Enterprise Admins グループのセキュリティ設定を示しています。次の図では、これらの設定が、Exchange 組織を含めて、構成コンテナおよびすべての子オブジェクトに適用されることも示されています。

アクセス許可の継承は、Active Directory の構成ディレクトリ パーティション内でのアクセス許可の割り当てを容易にする機能です。たとえば、Exchange システム マネージャでは、管理委任ウィザードはアクセス許可の継承に依存して、組織および管理グループのレベルでアカウントとグループに管理者の役割を割り当てます。管理委任ウィザードを使用して、Exchange 管理者 (完全) の役割を組織レベルで管理者アカウントに割り当てるときには、Microsoft Exchange という名前の親コンテナで、そのアカウントにフル コントロール アクセス許可が付与されます (図 4.4)。このため、Active Directory 接続という名前の子コンテナと Exchange 組織の両方にフル コントロールが適用されます。ただし、管理アクセス許可が管理グループ レベルで割り当てられたアカウントには、読み取りアクセス許可が組織レベルで付与されるため、これらの管理者に対しては Exchange システム マネージャ内の構成情報の表示が許可されます。管理委任ウィザードおよび Exchange 組織でのアクセス許可の割り当ての詳細については、『Exchange Server 2003 セキュリティ強化ガイド』を参照してください。