組み込みの役割グループをミラーするリンクされた役割グループを作成する

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2012-07-23

Microsoft Exchange Server 2010 のリンクされた管理役割グループを使用すると、Exchange 2010 リソース フォレスト内の役割グループを、外部ユーザー フォレスト内のユニバーサル セキュリティ グループ (USG) にリンクできます。これは、ユーザー フォレストのアカウントを持つ管理者が、リソース フォレスト内の Exchange を実行しているサーバーを管理する必要がある場合に有用です。リンクされた役割グループの詳細については、「管理役割グループについて」を参照してください。

既定では、Exchange 2010 には、さまざまな機能とジョブ機能を管理するためのアクセス許可を提供する組み込みの役割グループのメンバーが数多く備えられています。各役割グループは、各機能とジョブ機能に特定のアクセス許可を提供するようにカスタマイズされます。ただし、これらの役割グループを外部フォレスト内の USG にリンクすることはできません。これらの役割グループには、ローカル リソース フォレストからのユーザーと USG しか含めることができません。しかし幸いなことに、リンクされた役割グループを使用してこれらの組み込みの役割グループを複製することができます。

各組み込みの役割グループは、リンクされた役割グループとして作成し直すことができます。各役割グループに割り当てられている管理役割と管理スコープはすべて、リンクされた新しい役割グループに追加されます。管理役割とスコープの詳細については、以下のトピックを参照してください。

• 管理の役割について

• 管理役割スコープについて

役割グループに関連する他の管理タスクについては、「管理者および専門家ユーザーの管理」を参照してください。

前提条件

• リンクされた役割グループを構成するには、リンクされた役割グループが存在するリソース Active Directory フォレストと、ユーザーまたは USG が存在する外部 Active Directory フォレストとの間に一方向の信頼が必要になる。リソース フォレストは外部フォレストを信頼する必要があります。

• 外部 Active Directory フォレストに関する以下の情報を把握している必要があります。

  • 資格情報   外部 Active Directory フォレストにアクセスできるユーザー名とパスワードを有する必要があります。この情報は、New-RoleGroup コマンドレットの LinkedCredential パラメーターで使用されます。この情報は、Get-Credential コマンドレットを実行することによって取得されます。ユーザー名の形式は、ドメイン\ユーザー名です。

  • ドメイン コントローラー   外部 Active Directory フォレスト内の Active Directory ドメイン コントローラーの完全修飾ドメイン名 (FQDN) を有する必要があります。この情報は、New-RoleGroup コマンドレットの LinkedDomainController パラメーターで使用されます。

  • 外部 USG   リンクされた役割グループに関連付けるメンバーを含む外部 Active Directory フォレスト内の USG の完全名を有する必要があります。この情報は、New-RoleGroup コマンドレットの LinkedForeignGroup パラメーターで使用されます。

シェルを使用して組み込みの役割グループを複製するリンクされた役割グループを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割グループ」。

以下の各セクションでは、各役割グループをリンクされた役割グループとして作成し直す方法を示します。各セクションの手順を実行すると、すべての組み込みの役割グループをリンクされた役割グループとして作成し直すことができます。

リンクされた "Organization Management/組織の管理" 役割グループを作成する

組織の管理 役割グループをリンクされた役割グループとして作成し直すには、他の組み込みの役割グループを作成し直す手順とは異なる手順を実行します。これは、組織の管理 役割グループには、この役割グループとすべての管理役割との間に委任の役割割り当てがあるためです。委任の役割の割り当てを作成し直すには、さらに別の手順が必要になります。

1. 外部フォレスト内で 組織の管理 役割グループにリンクされる USG を作成します。

2. 変数に外部 Active Directory フォレストの資格情報を格納します。

   $ForeignCredential = Get-Credential
   

3. 組織の管理 役割グループに割り当てられたすべての役割を変数に格納します。

   $OrgMgmt  = Get-RoleGroup "Organization Management"
   

4. 組織の管理 のリンクされた役割グループを作成し、組み込みの 組織の管理 役割グループに割り当てられた役割を追加します。

   New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign ExADNoMk domain controller> -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
   

5. 新しい組織の管理 のリンクされた役割グループと My* エンドユーザー役割の間のすべての正規の割り当てを削除します。

   Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
   

6. 新しい組織の管理 のリンクされた役割グループとすべての管理役割の間の委任の役割の割り当てを追加します。

   Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating
   

この例では、以下の値が各パラメーターに使用されていることを想定しています。

• LinkedForeignGroup   Organization Management Administrators

• LinkedDomainController   DC01.users.contoso.com

この例では、上記の値を使用して 組織の管理 役割グループをリンクされた役割グループとして作成し直します。

$ForeignCredential = Get-Credential
$OrgMgmt  = Get-RoleGroup "Organization Management"
New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "Organization Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $OrgMgmt.Roles
Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment
Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

他のすべてのリンクされた役割グループを作成する

組み込みの役割グループ (組織の管理役割グループ以外) をリンクされた役割グループとして作成し直すには、グループごとに以下の手順を実行します。

1. 各新しい役割グループにリンクされる各役割グループの外部フォレスト内で USG を作成します。

2. 変数に外部 Active Directory フォレストの資格情報を格納します。これは 1 度実行するだけで十分です。

   $ForeignCredential = Get-Credential
   

3. 以下のコマンドレットを使用して役割グループ一覧を取得します。

   Get-RoleGroup
   

4. 組織の管理 役割グループ以外の各役割グループに対して、次の操作を実行します。

   $RoleGroup = Get-RoleGroup <name of role group to re-create>
   New-RoleGroup "<role group name> - Linked" -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
   

5. リンクされた役割グループとして作成し直す必要がある組み込みの役割グループごとに、上記の手順を繰り返します。

この例では、以下の値が各パラメーターに使用されていることを想定しています。

• LinkedDomainController   DC01.users.contoso.com

• リンクされた役割グループとして作成し直す組み込みの役割グループ   Recipient Management, Server Management

• 受信管理のリンクされた役割グループの外部グループ   Recipient Management Administrators

• 送信管理のリンクされた役割グループの外部グループ   Server Management Administrators

上記の値を使用して、この例では、Recipient Management と "Server Management/サーバーの管理" 役割グループををリンクされた役割グループとして作成し直します。

$ForeignCredential = Get-Credential
Get-RoleGroup
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Recipient Management - Linked" -LinkedForeignGroup "Recipient Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "Server Management"
New-RoleGroup "Server Management - Linked" -LinkedForeignGroup "Server Management Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles $RoleGroup.Roles

その他のタスク

リンクされた役割グループを作成した後で、次の操作も実行できます。

• 外部フォレスト内の Active Directory ユーザーとコンピューターを使用する外部 USG を追加します。

• 組み込みの役割グループのメンバーを削除します。詳細については、「役割グループからメンバーを削除する」を参照してください。

• リンクされた新しい役割グループに他の役割を追加します。詳細については、「役割グループに役割を追加する」を参照してください。

• 新しいリンクされた新しい役割グループから役割を削除します。詳細については、「役割グループから役割を削除する」を参照してください。

• リンクされた新しい役割グループと管理役割の間の役割の割り当てのスコープを変更します。詳細については、「役割グループ内の役割の割り当てのスコープを変更する」を参照してください。

• 追加のリンクされた役割グループを作成します。詳細については、「リンクされた役割グループを作成する」を参照してください。

 © 2010 Microsoft Corporation.All rights reserved.