有効なアクセス許可を表示する

  • [アーティクル]

製品: Exchange Server 2013

Microsoft Exchange Server 2013 のアクセス許可は、管理役割グループ、管理ロール割り当てポリシー、ユニバーサル セキュリティ グループ (USG)、またはユーザーに直接割り当てられた管理ロールを使用して付与されます。 ユーザーには、ロール グループまたは USG のメンバーであるか、ロール割り当てポリシーが割り当てられている場合、アクセス許可が付与されます。

ほとんどのアクセス許可は、ロール グループのメンバーシップまたはエンド ユーザーへの割り当てポリシーの割り当てに基づいて付与されます。 ロール グループと割り当てポリシーを使用すると、多数のユーザーにアクセス許可を簡単に付与できますが、ロール グループのメンバーであるか、割り当てポリシーが割り当てられているユーザーが認識されていない可能性があります。 ここで、Get-ManagementRoleAssignment コマンドレットの GetEffectiveUsers スイッチが役立ちます。 管理ロールによって付与されるアクセス許可が、ロール グループ、割り当てポリシー、およびそれらに割り当てられている USG を通じて付与されるユーザーを示します。

GetEffectiveUsers スイッチは、Role パラメーターを使用するときに Get-ManagementRoleAssignment コマンドレットで使用されます。 このスイッチを特定のロールで指定することで、 Get-ManagementRoleAssignment コマンドレットは、ロール グループ、割り当てポリシー、USG など、ロールに割り当てられているすべてのロール担当者を調べ、それぞれのメンバーを一覧表示します。

注:

GetEffectiveUser スイッチには、リンクされた外部ロール グループのメンバーであるユーザーは一覧表示されません。 ユーザーの一覧の代わりに、リンクされた役割グループが見つかった場合は、 すべてのリンクされたグループ メンバー が表示されます。 複数のフォレストでのアクセス許可の詳細については、「 複数フォレストのアクセス許可について」を参照してください。

管理ロール、ロール グループ、割り当てポリシーの詳細については、「ロールベースのAccess Controlについて」を参照してください。 管理役割の割り当ての詳細については、「管理役割の割り当てについて」を参照してください。

アクセス許可の管理に関連するその他の管理タスクをお探しですか? [アクセス許可] を確認します

はじめに把握しておくべき情報

  • 各手順の推定完了時間:5 分

  • この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「ロール管理のアクセス許可」トピックの「ロール グループ」または「 ロール 割り当てポリシー」エントリを参照してください。

  • このトピックの手順は、シェルでのみ実行できます。 Exchange 管理センター (EAC) を使用して有効なアクセス許可を表示することはできません。

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。

ヒント

問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Serverのフォーラムにアクセスしてください。

シェルを使用してすべての有効なユーザーを一覧表示する

管理役割によって与えられるアクセス許可を付与されているすべてのユーザーを一覧表示するには、次の構文を使用します。

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers

この例では、メール受信者の役割によって提供されるアクセス許可を付与されたすべてのユーザーを一覧表示します。

Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers

一覧の中で返されるプロパティを変更したり、一覧をコンマ区切り値 (.csv) ファイルにエクスポートする場合は、後の「シェルを使用して出力をカスタマイズし表示する」を参照してください。

構文およびパラメーターの詳細については、「Get-ManagementRoleAssignment」を参照してください。

シェルを使用して 1 つの役割の中で特定のユーザーを検索する

管理ロールによってアクセス許可が付与されている特定のユーザーを見つけるには、 Get-ManagementRoleAssignment コマンドレットを使用してすべての有効なユーザーの一覧を取得し、コマンドレットの出力を Where コマンドレットにパイプする必要があります。 Where コマンドレットは出力をフィルター処理し、指定したユーザーのみを返します。 以下の構文を使用します。

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}

この例では、ジャーナリングの役割の中でユーザー David Strome を検索します。

Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"}

一覧の中で返されるプロパティを変更したり、一覧を CSV ファイルにエクスポートする場合は、後の「シェルを使用して出力をカスタマイズし表示する」を参照してください。

構文およびパラメーターの詳細については、「Get-ManagementRoleAssignment」を参照してください。

シェルを使用してすべての役割の中で特定のユーザーを検索する

ユーザーがアクセス許可を受け取るすべてのロールを把握するには、 Get-ManagementRoleAssignment コマンドレットを使用して、すべての管理ロールのすべての有効なユーザーを取得し、コマンドレットの出力を Where コマンドレットにパイプする必要があります。 Where コマンドレットは出力をフィルター処理し、ユーザーのアクセス許可を付与するロールの割り当てのみを返します。

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}

この例では、ユーザー Kim Akers にアクセス許可を付与しているすべての役割の割り当てを検索します。

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "Kim Akers"}

一覧に返されるプロパティを変更したり、CSV ファイルに一覧をエクスポートするには、後の「シェルを使用して出力をカスタマイズし表示する」を参照してください。

構文およびパラメーターの詳細については、「Get-ManagementRoleAssignment」を参照してください。

シェルを使用して出力をカスタマイズし表示する

Get-ManagementRoleAssignment コマンドレットの既定の出力には、必要な情報がない可能性があります。 コマンドレットの出力には、アクセスできるさらに多くのプロパティが含まれています。 便利なプロパティの一部を次に示します。

  • EffectiveUserName: ユーザーの名前。

  • ロール: アクセス許可を付与しているロール。

  • RoleAssigneeName: ロールに割り当てられ、 プロパティにユーザー EffectiveUserName が含まれているロール グループ、割り当てポリシー、または USG。

  • RoleAssigneeType: ロールの割り当てがロール グループ、割り当てポリシー、USG、またはユーザーのいずれであるかを示します。

  • AssignmentMethod: ロールとロールの割り当て先の間の割り当てが直接か間接かを示します。

  • CustomRecipientWriteScope: 作成時にロールの割り当てに適用されたカスタム受信者の書き込みスコープ (存在する場合) を示します。 このプロパティで指定されたスコープは、 プロパティで指定された暗黙的な受信者の書き込みスコープを RecipientWriteScope オーバーライドします。

  • CustomConfigWriteScope: 作成時にロールの割り当てに適用されたカスタム構成書き込みスコープ (存在する場合) を示します。 このプロパティで指定されたスコープは、 プロパティで指定された暗黙的な構成書き込みスコープを ConfigWriteScope オーバーライドします。

  • RecipientReadScope: ロールに適用される暗黙的な受信者の読み取りスコープを示します。

  • RecipientWriteScope: ロールに適用される暗黙的な受信者の書き込みスコープを示します。

  • ConfigReadScope: ロールに適用される暗黙的な構成の読み取りスコープを示します。

  • ConfigWriteScope: ロールに適用される暗黙的な構成書き込みスコープを示します。

一覧に表示するプロパティを選択するには、[シェルを使用してすべての有効なユーザーを一覧表示する]、[シェルを使用してロールの特定のユーザーを検索する]、[シェルを使用してすべてのロールの特定のユーザーを検索する]セクションで使用するコマンドと同様のコマンドを使用します。 違いは、これらのコマンドの結果を Format-Table コマンドレットまたは Select-Object コマンドレットにパイプ処理することです。 Format-Table コマンドレットは、結果の一覧を画面に出力するのに役立ちます。 Select-Object コマンドレットは、結果の一覧を.csv ファイルに出力するのに役立ちます。

どちらのコマンドレットでも、表示するプロパティと表示する順序を指定できます。 Format-Table コマンドレットを使用すると、結果を画面に一覧表示するときにさらに多くのオプションが提供されますが、Select-Object では出力が変更されないため、リストを.csv ファイルにパイプする場合に便利です。

Format-Table および Select-Object コマンドレットの詳細については、「 コマンド出力の操作」を参照してください。

カスタマイズした一覧を画面に出力する

  1. 調べる情報を選択して、以下の手順のいずれかから関連付けられたコマンドを見つけます。

    • Use the Shell to list all effective users

    • Use the Shell to find a specific user a role

    • Use the Shell to find a specific user on all roles

  2. 一覧に表示するプロパティを選択します。

  3. 次の構文を使用して一覧を表示します。

    <command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>

この例では、すべてのロールでユーザー David Strome を検索し、、RoleCustomRecipientWriteScope、および プロパティをCustomConfigWriteScopeEffectiveUserName表示します。

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope

構文およびパラメーターの詳細については、「Get-ManagementRoleAssignment」を参照してください。

カスタマイズした一覧を CSV ファイルに出力する

リストを.csv ファイルにエクスポートするには、前述の適切な手順から Get-ManagementRoleAssignment コマンドの結果を Select-Object コマンドレットにパイプする必要があります。 次に、Select-Object コマンドレットの出力が Export-CSV コマンドレットにパイプ処理され、.csv出力が指定したファイル名に保存されます。

  1. 調べる情報を選択して、以下の手順のいずれかから関連付けられたコマンドを見つけます。

    • Use the Shell to list all effective users

    • Use the Shell to find a specific user a role

      • Use the Shell to find a specific user on all roles

  2. 一覧に表示するプロパティを選択します。

  3. 次の構文を使用して一覧を CSV ファイルにエクスポートします。

    <command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>

この例では、すべてのロールでユーザー David Strome を検索し、、RoleCustomRecipientWriteScope、および プロパティをCustomConfigWriteScopeEffectiveUserName表示します。

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv

任意のビューアーで CSV ファイルを表示できます。

構文およびパラメーターの詳細については、「Get-ManagementRoleAssignment」を参照してください。