Exchange 2007 のアクセス許可 : よく寄せられる質問
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2008-01-24
ここでは、Microsoft Exchange Server 2007 のリリース以降に寄せられたアクセス許可に関連する質問に対する回答を示します。
回答の多くは、アクセスを許可または無効にするための、アクセス許可に対する具体的な変更方法について説明します。アクセス許可を管理するために使用するツールに慣れていない場合は、「分割型アクセス許可モデルの計画および実装」を参照してください。
質問と回答は次の 2 つのセクションに分類されています。
- Exchange 2007 の展開
- Exchange 2007 の管理
Exchange 2007 の展開
Q: フォレストとドメインの準備手順を実行するには、どのようなアクセス許可が必要ですか。
**A:**以下のアクセス許可が必要です。
- Setup /PrepareLegacyExchangePermissions コマンドを実行するには、Enterprise Admins セキュリティ グループのメンバである必要があります。
- Setup /PrepareSchema コマンドを実行するには、Schema Admins セキュリティ グループと Enterprise Admins セキュリティ グループのメンバである必要があります。
- Setup /PrepareAD コマンドを実行するには、Enterprise Admins セキュリティ グループのメンバである必要があります。
Setup /PrepareDomain、Setup /PrepareDomain:<FQDN> コマンドまたは Setup /PrepareAllDomains コマンドを実行するには、Enterprise Admins グループのメンバであるか、または準備するドメインの Domain Admins グループのメンバである必要があります。
Q: Exchange 2007 で /PrepareLegacyExchangePermissions はどのような処理を行いますか。
A: 詳細については、「従来の Exchange アクセス許可の準備」を参照してください。
Q: Setup /PrepareLegacyExchangePermissions では、どのようにして更新するドメインの一覧を判断しますか。
A: Setup /PrepareLegacyExchangePermissions タスクは、フォレストの構成からフォレスト内のドメインの一覧を取得します。その後、このタスクはグローバル カタログ サーバーに接続し、各ドメインの名前付けパーティションを検索します。次に、Exchange Domain Servers セキュリティ グループと Exchange Enterprise Servers セキュリティ グループのセキュリティ識別 (SID) を解決することによって、ドメインが Microsoft Exchange 2000 Server または Exchange Server 2003 用に準備されていたかどうかを判断します。タスクは、以前に準備されていたドメインの一覧を構築した後、各ドメインについてドメイン構成の LDAP (ライトウェイト ディレクトリ アクセス プロトコル) セッションを確立しようとします。タスクがセッションを確立できた場合、ドメインの従来のアクセス許可が設定されます。アクセス許可に関連する問題のために、またはドメインが使用できないためにタスクがセッションを確立できなかった場合、そのドメインは到達不能ドメインの一覧に追加されます。到達不能なドメインの一覧にドメインが含まれている場合、タスクは到達可能な一覧を処理した後で失敗します。
タスクが失敗した場合、Exchange 2007 の準備手順の残りを続行する前に、ドメインが更新されるように、適切な資格情報を持つアカウントを使用してそのドメイン内のドメイン コントローラでタスクを実行するなどの修正的な方法を決定する必要があります。
Q: Exchange 2007 で Setup /PrepareSchema はどのような処理を行いますか。
A: 詳細については、「Active Directory とドメインを準備する方法」を参照してください。
Q: Exchange 2007 で Setup /PrepareAD はどのような処理を行いますか。
A: 詳細については、「Active Directory とドメインを準備する方法」を参照してください。
Q: Exchange 2007 で Setup /PrepareDomain はどのような処理を行いますか。
A: 詳細については、「Active Directory とドメインを準備する方法」を参照してください。ドメインに Microsoft Exchange システム オブジェクト コンテナを作成します。
このコンテナは、パブリック フォルダ プロキシ オブジェクトおよび Exchange 関連のシステム オブジェクト (メールボックス ストアのメールボックスなど) を格納するために使用されます。
Setup /PrepareDomain コマンドは、このフォルダに対して特定のアクセス許可を割り当てます。付与される特定のアクセス許可の詳細については、「Exchange 2007 サーバー セットアップにおけるアクセス許可のリファレンス」を参照してください。
Setup /PrepareDomain コマンドは、Exchange Install Domain Servers グローバル セキュリティ グループを作成し、このグループを Microsoft Exchange システム オブジェクト コンテナに配置します。
このコマンドは、Exchange Install Domain Servers グローバル セキュリティ グループを、Exchange Servers ユニバーサル セキュリティ グループに追加します。
このコマンドは、ドメイン レベルのアクセス許可を Exchange Servers ユニバーサル セキュリティ グループに対して割り当てます。付与される特定のアクセス許可の詳細については、「Exchange 2007 サーバー セットアップにおけるアクセス許可のリファレンス」を参照してください。
このコマンドは、ドメイン レベルのアクセス許可を Exchange Recipient Administrators ユニバーサル セキュリティ グループに対して割り当てます。付与される特定のアクセス許可の詳細については、「Exchange 2007 サーバー セットアップにおけるアクセス許可のリファレンス」を参照してください。
このコマンドは、Exchange Servers ユニバーサル セキュリティ グループに対して、既定のドメイン コントローラ ポリシーの組織単位で設定されている、監査とセキュリティ ログの管理アクセス許可を割り当てます。
Q: Exchange 2007 でどのような場合に Setup /PrepareDomain を実行する必要がありますか。
A: Setup /PrepareDomain コマンドによって、Active Directory ドメイン管理者は、Exchange 2007 ユーザーおよびサーバー用にドメインを準備できます。以下を含む各ドメインで、Setup /PrepareDomain コマンドを実行する必要があります。
- Exchange 2000、Exchange 2003、または Exchange 2007 サーバー
- メールが有効なオブジェクト
- Exchange ディレクトリ アクセス コンポーネントが使用するグローバル カタログ サーバー
Q: Exchange Servers グループが、Exchange サーバーまたは Exchange メールボックスを持つユーザーを含む各ドメインで Windows Authorization Access グループのメンバであるのはなぜですか。
A: この変更は、Exchange 2007 Service Pack 1 の PrepareDomain 機能で導入されました。この変更により、Microsoft Exchange Transport サービスは S4U (Service-for-User) Kerberos 拡張コレクションを使用して、ドメイン コントローラ以外のコンピュータでアクセス許可のチェックを実行できるようになりました。
Q: Setup /PrepareDomain を実行すると、ドメイン コントローラ ポリシーが変更されることに気付きました。Exchange Servers ユニバーサル セキュリティ グループに、監査とセキュリティ ログの管理のアクセス許可が付与されます。なぜこのような処理が必要なのですか。
A: ストア プロセスでメールボックスの監査をサポートするには、このアクセス許可が必要です。このアクセス許可によって、Exchange サーバーはドメイン内のシステム アクセス制御リスト (SACL) を読み取ることができるようになるからです。このアクセス許可を削除すると、Exchange サーバー データベースがマウントされません。Setup /PrepareDomain コマンドによってドメイン コントローラ ポリシーに対して行われる調整はこれだけです。このポリシーは、Active Directory のレプリケーションとファイル レプリケーション サービス (FRS) の組み合わせによって、他のドメイン コントローラにレプリケートされます。
.gif "note") 注 : |
|---|
| ドメイン コントローラの組織単位で他のポリシーを実装している場合は、このアクセス許可を適用可能な最も高いレベルのポリシーに追加する必要があります。 |
ページのトップへ
Q: Exchange Install Domain Servers セキュリティ グループはどのような機能を実行しますか。
A: Exchange 2007 サーバーをインストールすると、そのコンピュータ アカウントが Exchange Servers ユニバーサル セキュリティ グループに追加されます。既定では、このグループはフォレストのルート ドメインでホストされます。インストールしているサーバーが別のドメインにある場合、セットアップ中に Exchange サービスが開始されない可能性があります。これは、Exchange 2007 をインストールしているドメインに存在しているグローバル カタログ サーバーに、Active Directory のレプリケーションによって Exchange Servers メンバシップがレプリケートされていないからです。
Exchange Install Domain Servers セキュリティ グループの目的は、セットアップ中に Active Directory のレプリケーションを待たずにサービスを適切に開始できるようにすることです。Exchange セットアップによって、ローカル ドメインの Exchange Install Domain Servers グローバル セキュリティ グループに、コンピュータ アカウントが追加されます。
Q: 既定の Exchange セキュリティ グループを、フォレスト内の別のコンテナまたはドメインに移動できますか。
A: Exchange 2007 では、新しいセキュリティ グループのセットを使用して、アクセス許可モデルを管理し、共存を維持します。これらのグループは次のとおりです。
- Exchange Servers
- Exchange View-Only Administrators
- Exchange Public Folder Administrators (Exchange 2007 Service Pack 1 の新機能)
- Exchange Recipient Administrators
- Exchange Organization Administrators
- ExchangeLegacyInterop
既定では、これらのセキュリティ グループは、Microsoft Exchange Security Groups 組織単位のルート ドメインに存在しています。これらのグループは、別の組織単位やフォレスト内の他のドメインに移動できます。フォレスト内でグループの移動がサポートされるのは、グループに既知の GUID および変更できる識別名の 2 つの一意のプロパティがあるからです。Setup /PrepareAD タスクの実行中に、この 2 つのプロパティを使用して、フォレストの otherWellKnownObjects 属性にそれらを追加することによって、Exchange ではフォレスト内の任意の場所にあるセキュリティ グループを見つけることができます。ディレクトリ サービスによって、オブジェクトが移動されたときに、オブジェクトの識別名 (DN) の更新が処理されます。このような方法で、Exchange ではディレクトリ内の固定された場所を必要としません。
ページのトップへ
Q: 社内で、Active Directory ドメイン レベルから子コンテナおよび組織単位へのアクセス許可の継承が許可されていません。このことが問題の原因になりますか。
A: Setup /PrepareDomain コマンドは、Exchange Servers グループと Exchange Recipient Administrators グループのアクセス制御エントリ (ACE) をドメイン レベルにのみ配置します。したがって、継承を禁止している場合、Microsoft Exchange ではユーザー オブジェクトを処理できません。その結果、Recipient Administrators はメール受信者を準備できず、Exchange ではオブジェクトの適切な属性を更新できません。
継承を禁止するときに、選択したコンテナまたは組織単位でのアクセス許可の [削除] または [コピー] を選択できます。アクセス許可の [コピー] を選択した場合、適切な ACE が適用されます。アクセス許可の [削除] を選択した場合、適切な ACE は適用されず、受信者の準備は機能しません。
| 注 : |
|---|
| アクセス許可の構造は、Microsoft Exchange の将来のバージョンまたはサービス パックでは変更される可能性があります。したがって、継承を許可するか、少なくとも、継承が禁止されているコンテナを適切に更新できるように Microsoft Exchange の新しいバージョンを展開するときにはアクセス許可の変更を監視することをお勧めします。 |
組織単位に対して手動でアクセス許可を設定し、Exchange 2007 および受信者がオブジェクトを処理またはオブジェクトにアクセスできるようにする場合は、以下のアクセス許可を割り当てる必要があります。
- Authenticated Users セキュリティ オブジェクトに、組織単位内のすべての種類の受信者オブジェクトに対する以下のアクセス許可を割り当てます。
- Exchange Information プロパティ セットに対する読み取りアクセス
- Exchange Servers グループに、組織単位内のすべての種類の受信者オブジェクトに対する以下のアクセス許可を割り当てます。
以下の属性に対する書き込みアクセス :
groupType
msExchUMPinChecksum
msExchMailboxSecurityDescriptor
publicDelegates
msExchUMSpokenName
msExchUserCulture
userCertificate
msExchMobileMailboxFlags
msExchUMServerWriteableFlags
以下の属性に対する読み取りアクセス :
garbageCollPeriod
canonicalName
userAccountControl
memberOf
Exchange Personal Information プロパティ セットに対する読み取りアクセス
Exchange Information プロパティ セットに対する読み取りアクセス
パスワードの変更アクセス許可
グループ オブジェクトに対するアクセス許可の書き込みアクセス許可
Exchange 2000 サーバーや Exchange 2003 サーバーを含む環境を運用している場合は、Exchange Enterprise Servers セキュリティ グループに、以下のアクセス許可を割り当てて、Exchange 2003 受信者更新サービスでオブジェクトを処理できるようにします。
- 内容の一覧表示
- すべてのプロパティの読み取り
- アクセス許可の読み取り
- パブリック インフォメーションの書き込み
- 個人情報の書き込み
- Exchange 情報の書き込み
- displayName の書き込み
- groupType の書き込み
- グループ オブジェクトに対するアクセス許可の書き込みアクセス許可 (このアクセス許可は非表示のグループのメンバシップをサポートするために必要です)
Exchange 受信者管理者が組織単位内の受信者オブジェクトを管理できるようにするために、Exchange Recipient Administrators セキュリティ グループに以下のアクセス許可を割り当てる必要があります。
次のプロパティ設定に対する書き込みアクセス。
- Exchange 個人情報
- Exchange 情報
次の属性に対する書き込みアクセス。
legacyExchangeDN
publicDelegates
showInAddressBook
displayName
garbageCollPeriod
proxyAddresses
adminDisplayName
textEncodedORAddress
mail
displayNamePrintable
msExchDynamicDistributionList オブジェクトの作成アクセス許可
msExchDynamicDistributionList オブジェクトを削除するユーザー権利
msExchDynamicDistributionList オブジェクトのフル コントロール
汎用読み取りアクセス許可 (読み取り、内容の一覧表示、オブジェクトの一覧表示、およびすべてのプロパティの読み取りアクセス許可を含む)
これらのプロパティはすべて、Active Directory サービス インターフェイス (ADSI) スナップイン、随意アクセス制御リスト (DACL)、または Exchange 管理シェルの Add-ADPermission コマンドレットを使用して設定できます。組織単位レベルでアクセス許可を設定する方法の詳細については、「分割型アクセス許可モデルの計画および実装」を参照してください。
ページのトップへ
Q: 最初の Exchange サーバーをインストールするには、どのようなアクセス許可が必要ですか。
A: フォレストおよびドメインの準備手順をすべて実行済みであると仮定し、最初の Exchange サーバーをインストールするには、以下のアクセス許可を使用して Active Directory にログオンする必要があります。
- Exchange 組織管理者の役割
- ターゲット Exchange サーバーのローカルの Administrators グループのメンバ
| 注 : |
|---|
| 各 Exchange 2007 サーバーの役割について最初のサーバーをインストールするには、Exchange 組織管理者の役割が必要です。 |
Q: 追加の Exchange サーバーをインストールするには、どのようなアクセス許可が必要ですか。
A: すべての準備手順を実行し、最初の Exchange 2007 サーバーの役割をインストール済みであると仮定し、同じ役割の追加の Exchange サーバーをインストールするには、以下のアクセス許可を使用して Active Directory にログオンする必要があります。
- Exchange 組織管理者の役割、またはセットアップのサーバー準備プロセスを通じてサーバーをインストールするためのアクセス許可が委任されていること。サーバー オブジェクトを準備する方法の詳細については、「Exchange 2007 Server の準備を行い、セットアップを委任する方法」を参照してください。
- ターゲット Exchange サーバーのローカルの Administrators グループのメンバ
Q: アクセス許可を他の管理者に委任して、Exchange 2007 のさまざまなサービスを管理できるようにするには、どうすればよいですか。
A: アクセス許可を他のユーザーに委任するには、以下を使用します。
- Exchange 管理コンソールの Exchange 管理者の追加ウィザード
- Exchange 管理シェルの Add-ExchangeAdministrator コマンドレット
追加の管理者を委任するには、Exchange 組織管理者の役割が割り当てられたユーザーとしてログオンする必要があります。
ページのトップへ
Q: Exchange コンピュータ アカウントを Active Directory 内の別の組織単位に移動した場合、Exchange のアクセス許可および委任に影響しますか。
A: いいえ。Exchange 管理者の追加ウィザードは、コンピュータ アカウントが存在しているドメイン名前付けコンテキストではなく、Active Directory の構成名前付けコンテキストでアクセス許可を割り当てます。ただし、コンピュータ アカウント オブジェクトを移動した後、Exchange サーバーで Microsoft Exchange System Attendant サービスを再起動する必要があります。Exchange サーバーの再起動が必要である理由の詳細については、マイクロソフト サポート技術情報の Exchange 2000 と Exchange 2003 で System Attendant によってイベント ID 9186 とイベント ID 9187 が生成される問題に関する記事を参照してください (このサイトは英語の場合があります)。
Q: Exchange 組織管理者の役割と Exchange サーバー管理者の役割の違いは何ですか。
A: Exchange 組織管理者は、Exchange 組織の構成パーティションにあるすべての Exchange オブジェクトを操作したり、オブジェクトの設定を変更したりすることができます。
Exchange サーバー管理者は、その管理者にアクセス許可が委任されている Exchange サーバー オブジェクトおよびその下にあるオブジェクトのみを操作できます。
Q: Exchange 組織レベルでユーザーまたはグループにアクセス許可を付与すると、自動的に下位レベルでもアクセス許可が付与されますか。
A: はい。Exchange 2003 の場合と同様に、アクセス許可は継承されます。
Q: Exchange 2007 クラスタ構成のサービス アカウントでは、どのようなアクセス許可が必要ですか。
A: クラスタ サービス アカウントでは、Exchange 組織のアクセス許可は何も必要ありません。
Q: クラスタ構成で Exchange 2007 をインストールするには、どのようなアクセス許可が必要ですか。
A: クラスタ化メールボックス サーバーの委任インストールを実行する方法の詳細については、「クラスタ化メールボックス サーバーの委任セットアップを実行する方法」を参照してください。
ページのトップへ
Q: 各ユーザーのメールボックスへのフル アクセスを必要とするサード パーティのメッセージング アプリケーションがあります。Exchange Server 5.5 では、特殊なアカウントにサービス アカウント管理者のアクセス許可を付与し、アプリケーションでこのアカウントを使用するように指定しています。Exchange 2007 で同様の機能を実現するにはどのようにすればよいですか。
A: Exchange 2007 のセキュリティは、Exchange Server 5.5 のセキュリティとは動作が異なります。実際、Exchange 2007 ではサイト サービス アカウントを使用しません。その代わりに、すべてのサービスをローカル コンピュータ アカウントとして起動します。
ログオン アカウントが、管理者アカウント、Root Domain Administrators のメンバ、Enterprise Administrators グループのメンバ、または Exchange 組織管理者の役割のメンバである場合、Exchange システムに対する完全な管理権限を持っている場合でも、自分のメールボックス以外のすべてのメールボックスに対するアクセスは明示的に拒否されます。Exchange 2007 のすべての管理タスクは、他のユーザーのメールを読むための権限を管理者に付与しなくても実行できます。
次の方法で目的の結果が得られますが、この作業は、組織のセキュリティ ポリシーやプライバシー ポリシーに適合している場合にのみ行ってください。
Exchange 管理シェルで、特定のメールボックス ストアにあるすべてのメールボックスに対するアクセスを許可するには、以下のコマンドを使用します。
Add-ADPermission -identity "mailbox database" -user "serviceaccount" -ExtendedRights Receive-AsExchange 管理シェルで、個々のメールボックスへのアクセスを許可するには、以下のコマンドを使用します。
Add-MailboxPermission -identity "user" -user "serviceaccount" -AccessRights FullAccess
ページのトップへ
Q: ドメイン管理者が、ドメイン内のメールボックスが有効なユーザー アカウントをスプーフィングできるのはなぜですか。
A: Active Directory には、ディレクトリ内のオブジェクトに適用できるアクセス許可の基本セットが含まれています。特に、Active Directory には送信者拡張アクセス許可が含まれています。既定では、Administrators グループ、Domain Admins グループ、Enterprise Admins グループ、および Account Operators グループに、すべてのユーザーの送信者アクセス許可が設定されています。Administrators グループのアクセス許可および Enterprise Admins グループのアクセス許可は、ドメイン レベルから継承されます。Account Operators グループおよび Domain Admins グループは、Active Directory スキーマにあるユーザー オブジェクトの定義に基づいて明示的なアクセス許可を受け取ります。
ドメイン内のユーザー オブジェクトに対する送信者の拒否の ACE を管理者に実装することができます。ドメイン内のユーザー オブジェクトに対する送信者の拒否の ACE を管理者に実装する場合は、以下の点を考慮してください。
- 明示的な許可の ACE は、継承された拒否の ACE をオーバーライドします。つまり、明示的な ACE は継承された ACE よりも先に適用されます。
- Domain Admins グループのメンバは、拒否の ACE を削除して、明示的な許可の ACE を追加できます。
- 拒否の ACE を追加すると、環境内に追加の影響を及ぼす場合があります。
ドメイン内のユーザー オブジェクトに対する送信者の拒否の ACE を管理者に対して実装することによって、メッセージング環境が脅威にさらされる場合は、以下のいずれかまたは複数の方法を実装する必要があります。
- 特定のタスクを委任することによって、ドメイン内のドメイン管理者の数を制限します。詳細については、Active Directory の管理を委任するためのベスト プラクティスに関するページを参照してください (このサイトは英語の場合があります)。
- 監査を使用して、Domain Admins グループのメンバであるアカウントのアカウント ログオン イベントを監視します。
ページのトップへ
Q: Enterprise Admins グループのメンバおよびルート Domain Admins グループのメンバが、Exchange 組織内でフル コントロールを持つのはなぜですか。
A: Exchange 2000 およびそれ以降のバージョンの Exchange Server では、Exchange 組織に関するデータは独立したディレクトリには格納されません。Exchange は、Active Directory 内の構成名前付けコンテキストに組織のデータを格納します。フォレスト管理者が、Enterprise Admins グループまたはルート Domain Admins グループのメンバである場合、ディレクトリのすべての項目およびディレクトリに格納されているデータを管理できます。1 つの構成の変更がフォレスト全体に影響を及ぼす場合があるので、フォレスト管理者はディレクトリを管理する必要があります。構成名前付けコンテキスト、および継承によって構成名前付けコンテキストに格納される Exchange 組織には、以下のアクセス許可が含まれます。
- Enterprise Admins - フル コントロール
- ルート Domain Admins - 読み取り、書き込み、すべての子オブジェクトの作成、特別アクセス許可
継承されたアクセス許可に加えて、Exchange セットアップは、Enterprise Admins グループおよびルート Domain Admins グループに対して、送信者および受信者の拒否 ACE を追加します。これによって、これらの管理者はフォレスト内のメールボックスにアクセスしたり、スプーフィングしたりできなくなります。詳細については、「Exchange 2007 サーバー セットアップにおけるアクセス許可のリファレンス」を参照してください。
構成名前付けコンテキスト内の Exchange 組織ノードから継承を削除することはできません。メッセージング管理者がフォレスト管理者を信頼していない場合、メッセージング管理者は Exchange を独自のフォレストに分離することを検討してください。展開オプションの詳細については、Exchange Server 2007 の展開に関するページを参照してください (このサイトは英語の場合があります)。
Exchange 組織を別のフォレストに分離できない場合は、以下のいずれかまたは複数のタスクを実行することをお勧めします。
- 特定のタスクを委任することによって、ルート ドメイン内のエンタープライズ管理者およびドメイン管理者の数を制限します。詳細については、Active Directory の管理を委任するためのベスト プラクティスに関するページを参照してください (このサイトは英語の場合があります)。
- 監査を使用して、特権グループのメンバであるアカウントのアカウント ログオン イベントを監視します。特権グループには、Enterprise Admins グループおよびルート Domain Admins グループが含まれます。
- 監査を使用して、ディレクトリの CN=<Exchange Organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン> の部分で発生する変更を監視します。
ページのトップへ
Q: Account Operators グループのメンバが Exchange サーバー セキュリティ グループを変更できるのはなぜですか。
A: Account Operators セキュリティ グループなどの特権グループには、Active Directory 内の特定のアクセス許可が付与されています。具体的には、Account Operators セキュリティ グループには、ドメイン パーティション内の各オブジェクトについて明示的なフル コントロール アクセス許可が付与されており、このグループがオブジェクトを管理できるようになっています。
Account Operators に対して、これらのセキュリティ グループに対する拒否のアクセス制御エントリ (ACE) を実装することもできます。拒否の ACE を実装する場合は、以下の点を考慮してください。
- Account Operators には、ディレクトリ内のオブジェクトに対する明示的な ACE を使用することによって、フル コントロールが付与されます。つまり、制限する各グループに対して明示的な拒否の ACE を設定する必要があります。明示的な許可の ACE は継承された拒否の ACE をオーバーライドすることに注意してください。
- 拒否の ACE を追加すると、環境内に追加の影響を及ぼす場合があります。詳細については、「分割型アクセス許可モデルの計画および実装」を参照してください。
Exchange セキュリティ グループに対する拒否の ACE を Account Operators グループまたはその他の特権グループに対して実装することによって、メッセージング環境が脅威にさらされる場合は、以下のいずれかまたは複数の方法を実装する必要があります。
- 特定のタスクを委任することによって、ドメイン内のアカウント オペレータの数を制限します。詳細については、Active Directory の管理を委任するためのベスト プラクティスに関するページを参照してください (このサイトは英語の場合があります)。
- 監査を使用して、Account Operators セキュリティ グループのメンバであるアカウントのアカウント ログオン イベントを監視します。
- 監査を使用して、Exchange セキュリティ グループに対する変更を監視します。
Q: Exchange 2007 のサービスは LocalSystem (ビルトイン コンピュータ アカウント) として起動できるのに、Exchange Server 5.5 には特殊なサービス アカウントがあるのはなぜですか。
A: Exchange Server 5.5 では、Microsoft Windows NT 4.0 の制限により、サービス用に特殊なログオン アカウントが必要でした。Windows NT 4.0 のローカル コンピュータ アカウントにはトークンがありますが、資格情報はありませんでした。したがって、1 つのコンピュータ アカウントを別のコンピュータに対して認証できませんでした。Windows Server 2003 では、Kerberos 認証が使用され、コンピュータ アカウントにはトークンと資格情報の両方が備わっています。
以下の理由から、管理者が指定したアカウントよりも、ローカル コンピュータ アカウントを使用する方がセキュリティが向上します。
- ローカル コンピュータのパスワードは、人が判読できる文字列ではなく、ランダムな 16 進数値です。
- ローカル コンピュータのパスワードは、7 日ごとに自動的に変更されます。
- 強引なログオンの試行によってアカウントが無効になり、Exchange サービスがシャットダウンされる場合があるので、Exchange Server 5.5 サービス アカウントはロックアウト ポリシーから除外しておく必要があります。
ページのトップへ
Exchange 2007 の管理
Q: Exchange 2007 ユーザーを作成および削除するには、どのようなアクセス許可が必要ですか。
A: ユーザーとメールボックスの両方の管理を担当している場合は、Active Directory で受信者オブジェクトを作成および管理するアクセス許可を持っている必要があります。たとえば、Domain Admin または Account Operator である場合や、特定の組織単位へのアクセスを委任している場合などです。子ドメインの特権アカウントのメンバも、Exchange 管理コンソールおよび Exchange 管理シェルからメール関連のプロパティを管理するために、Exchange 表示専用管理者の役割が必要です。昇格したアクセス許可がない場合は、以下のアクセス許可が必要です。
- Exchange 受信者管理者の役割があるか、または適切なアクセス許可が委任されていること。受信者の管理を委任する方法の詳細については、「分割型アクセス許可モデルの計画および実装」および「アクセス許可に関する考慮事項」を参照してください。
- サーバー間でメールボックスを移動するには、管理者は Exchange 組織管理者であるか、移動元サーバーと移動先サーバーで Exchange サーバー管理者の役割が委任されている必要があります。
- ドメイン パーティションで目的のオブジェクトを作成、削除、および管理するための適切なアクセス許可。
さらに、パブリック フォルダ オブジェクトを管理する場合、管理アカウント (Exchange 管理コンソールまたは Exchange 管理シェルでオブジェクトを操作するときにログオンするアカウント) でメールを有効にするか、メールボックスを有効にすることをお勧めします。状況によって、パブリック フォルダ オブジェクトを管理するアカウントでメールまたはメールボックスが有効になっていない場合、アクセス許可のユーザー インターフェイスで動作が異常になったり、表示名の解決でエラーが発生したりする可能性があります。
詳細については、「Exchange Server 2003 ストアの操作」の「トラブルシューティングおよび Exchange Server 2003 ストア関連の問題の修復」セクションにある「その他の問題」を参照してください。
ページのトップへ
Q: メールボックスに対する特定の操作 (メールボックスの種類の変更など) を実行するために、Exchange 受信者管理者の役割に与えられていない追加のアクセス許可が必要になるのはなぜですか。
A: メールボックスの種類を別の種類に変換するには、Active Directory 内でいくつかの変更を行う必要があります。このために、Exchange 受信者管理者の役割に付与されていない昇格した特権が必要になる場合があります。たとえば、ユーザー メールボックスを会議室メールボックスに変換するシナリオは次のとおりです。リソース メールボックスでは、仕様によって、メールボックスが有効なユーザー アカウントは無効になっていますが、ユーザー メールボックスではメールボックスが有効なユーザー アカウントは有効になっています。 このため、メールボックスを UserMailbox の種類から RoomMailbox の種類に変換するには、ユーザー アカウントを無効にする必要があります。ユーザー アカウントを無効にするには、ユーザーの属性 userAccountControl を値 512 (有効) から 514 (無効) に変更します。さらに、アカウントを無効にした後でも、メールボックスを引き続き使用するには、msExchMasterAccountSID 属性を設定し、適切なアクセス許可を適用する必要があります。この場合、リンクされたアカウントを割り当てるのではなく、NT AUTHORITY\SELF 特権を msExchMasterAccountSID 属性に割り当てます。ここで、NT AUTHORITY\SELF 特権に適切なアクセス許可があることを確認し、メール フローとメールボックスに影響が及ばないようにする必要があります。この操作は、次の 2 つの方法で行います。最初に、メールボックス セキュリティ記述子を更新することにより、メールボックスへのフル アクセスを NT AUTHORITY\SELF 特権に与えます。次に、NT AUTHORITY\SELF 特権に対して、拡張された代理人として送信するアクセス許可を与え、Personal Information プロパティ セットに対して読み取りおよび書き込みアクセスができるようにします (これにより、publicDelegates および他の属性が NT AUTHORITY\SELF によって管理できるようになります)。
Q: ユーザー オブジェクトのメールボックスのアクセス許可を変更するには、どのようなアクセス許可が必要ですか。
A: Exchange 管理シェルを使用してメールボックスのアクセス許可を正しく変更するには、以下のアクセス許可が必要です。
- Exchange 表示専用管理者の役割
- メールボックスが存在するメールボックス ストアに対して付与されたインフォメーション ストアの管理アクセス許可
- メールボックスが存在するメールボックス ストアに対して付与された書き込みアクセス許可
Q: Exchange メールボックス ストア間でメールボックスを移動するには、どのようなアクセス許可が必要ですか。
A: Exchange 管理コンソールおよび Exchange 管理シェルからアクセスできるメールボックスの移動機能は、移動元のメールボックスにログオンして、フォルダとメッセージを移動先のメールボックスに移動します。メールボックス ストア間でのメールボックスの移動は、同じストレージ グループ内、同じサーバー上の異なるストレージ グループ間、および Exchange サーバー間で行うことができます。Active Directory 内のユーザー オブジェクトに対して、ユーザーの Exchange メールボックス属性を変更するためのアクセス許可が必要です。アカウント オペレータであるユーザーは、これらのアクセス許可を持っています。また、以下のアクセス許可も必要です。
Exchange 組織管理者の役割、または移動元および移動先の Exchange 2007 メールボックス サーバーに対して Exchange サーバー管理者の役割が委任されていること。
注 :Exchange 2007 と Exchange 2003 が混在する環境の管理グループ間でメールボックスを移動する場合は、移動元および移動先の管理グループに対して Exchange 管理者の役割が委任されている必要があります。 動的 MAPI プロファイルを作成するには、ローカル ワークステーションまたはサーバーの Administrators グループのメンバであること。
ページのトップへ
Q: Exchange 2007 サーバー上に新しいメールボックス ストアやパブリック フォルダ ストアまたはストレージ グループを作成するには、どのようなアクセス許可が必要ですか。
A: 以下のアクセス許可を使用してログオンする必要があります。
- Exchange 組織管理者の役割、または Exchange 2007 メールボックス サーバーに対して Exchange サーバー管理者の役割が委任されていること。注 :
Exchange サーバー管理者はパブリック フォルダ データベースを作成できません。
Q: さまざまな受信コネクタおよび送信コネクタのセキュリティ識別子 (SID) の一部が解決されません。これはなぜですか。
A: さまざまな受信コネクタおよび送信コネクタにアクセス許可を割り当てるために使用される一部の論理グループは、SID で表されますが、表示名がありません。このような場合、Get-ADPermission コマンドレットは SID のみを出力します。Exchange 2007 Transport では、以下の SID が定義されています。
同じ組織内のハブ トランスポート サーバー : S-1-9-1419165041-1139599005-3936102811-1022490595-21
注 :同じドメインにある 2 つのハブ トランスポート サーバー間での認証および承認の場合は、Exchange Servers セキュリティ グループのメンバであるコンピュータ アカウントが使用されます。 信頼されているエッジ トランスポート サーバー : S-1-9-1419165041-1139599005-3936102811-1022490595-22
同じ権限のあるドメインを提供する、信頼されているサード パーティのサーバー : S-1-9-1419165041-1139599005-3936102811-1022490595-23
同じ組織内の Exchange 2003 サーバー : S-1-9-1419165041-1139599005-3936102811-1022490595-24
パートナー トランスポート サーバー : S-1-9-1419165041-1139599005-3936102811-1022490595-10
ページのトップへ
Q: メッセージを検索するには、どのようなアクセス許可が必要ですか。
A: Export-Mailbox タスクを使用して複数のメールボックスを検索するには、管理者に以下のアクセス許可が必要です。
- 検索元および検索先メールボックス サーバーでの Exchange サーバー管理者の役割またはそれ以上
- タスクを実行するローカル ワークステーションまたはサーバー上でローカルの Administrators グループのメンバ
Q: メッセージを追跡するには、どのようなアクセス許可が必要ですか。
A: メッセージを追跡するには、以下のアクセス許可が必要です。
- Exchange 2007 RTM (Release To Manufacturing) 版の場合 タスクが照会するメールボックス サーバーおよびハブ トランスポート サーバーでの Exchange サーバー管理者の役割またはそれ以上
- Exchange 2007 Service Pack 1 の新機能 組織内の Exchange 表示専用管理者の役割またはそれ以上
- エッジ トランスポート サーバーのローカル管理者
- タスクを実行するワークステーションのローカル管理者注 :
Exchange 2007 RTM では、管理者がメッセージを追跡できるようにするには、Exchange サーバー管理者の役割を管理者に付与した後、Microsoft Exchange Transport Log Search サービスを再起動する必要があります。
Q: Exchange トラブルシューティング アシスタントを実行するには、どのようなアクセス許可が必要ですか。
A: Exchange Mail Flow Analyzer を実行するには、以下のアクセス許可が必要です。
- Active Directory 情報を列挙し、ドメイン コントローラおよびグローバル カタログ サーバー上で Microsoft Windows Management Instrumentation (WMI) プロバイダを呼び出す場合は、ドメイン管理者または Active Directory サーバー上の BUILTIN\Administrators グループのメンバ。
- WMI プロバイダを呼び出して、レジストリおよび IIS メタベースにアクセスする場合は、各 Exchange サーバー上のローカル Administrators グループのメンバ。
- Exchange 表示専用管理者の役割またはそれ以上。
Exchange Performance Troubleshooting Analyzer を実行するために必要なアクセス許可は、次のとおりです。
- 接続手順で指定したグローバル カタログ サーバーでのドメイン ユーザー以上のアクセス許可。
- Microsoft Exchange を実行しており、分析の対象である各サーバーのローカルの Administrators グループのメンバ。これらのアクセス許可は、WMI、レジストリ、およびパフォーマンス データにアクセスするために必要です。
Exchange Disaster Recovery Analyzer を実行するために必要なアクセス許可は、次のとおりです。
- WMI プロバイダを呼び出して、レジストリおよび IIS メタベースにアクセスし、データベース ファイルやトランザクション ログ ファイルおよびデータベース エンジンにアクセスする場合は、各 Exchange サーバー上のローカル Administrators グループのメンバ。
- 各サーバーでの Exchange サーバー管理者の役割またはそれ以上。
ページのトップへ
Q: Microsoft Exchange ベスト プラクティス アナライザを実行するには、どのようなアクセス許可が必要ですか。
A: Exchange ベスト プラクティス アナライザを実行するには、以下のアクセス許可が必要です。
- Exchange 表示専用管理者の役割またはそれ以上。
- Active Directory 情報を列挙し、DC サーバーまたは GC サーバー上で WMI プロバイダを呼び出す場合は、コンピュータ管理者のアクセス許可。
- WMI プロバイダを呼び出して、レジストリおよび IIS メタベースにアクセスする場合は、各 Exchange サーバー上のローカル Administrators グループのメンバ。
Q: メッセージ キューを管理するには、どのようなアクセス許可が必要ですか。
A: メッセージ キューを管理するには、以下のアクセス許可が必要です。
- エッジ トランスポート サーバーで、ローカルの Administrators グループのメンバである必要があります。
- Exchange 2007 RTM の場合 ハブ トランスポート サーバーで、Exchange サーバー管理者の役割またはそれ以上のメンバである必要があります。
- Exchange 2007 Service Pack 1 での新しい要件 ハブ トランスポート サーバーで、キューを表示するには、Exchange 表示専用管理者の役割またはそれ以上のメンバである必要があります。キューを管理する場合は、Exchange サーバー管理者の役割またはそれ以上のメンバである必要があります。
ページのトップへ
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。