Exchange 2010 の RBAC (Role Based Access Control) について
Exchange 2010 では、RBAC (Role Based Access Control) という新しいアクセス許可モデルを使用して、ユーザーや管理者が実行可能な操作について制御します。
まずは RBAC 全般について以下の資料などをご確認いただければと思いますが、ここでは RBAC に関するいくつかの Tips をご紹介します。
Title: 役割ベースのアクセス制御について
URL: https://technet.microsoft.com/ja-jp/library/dd298183.aspx
お詫び: 以下にはコマンドレットの実行結果を参考として記載しておりますが、表示の幅の関係で、一部コマンドレットの結果が崩れて表示されるかと思います。
お手数ですがメモ帳などへコピーしてご確認いただくか、または実際に Get- コマンドレットを実行していただいて結果をご確認ください。(Get コマンドレットでは設定を変更することはございません)
特定のコマンドレットを含む役割を表示する
Get-ManagementRole に cmdlet パラメータに対象のコマンドレットを指定して実行します。出力された役割が、このコマンドレットを含む役割となります。
例: Remove-Mailbox を含む役割を探します。
[PS] C:\>Get-ManagementRole -cmdlet:Remove-Mailbox
Name RoleType
-------- -------------
Mail Recipient Creation MailRecipientCreation
特定のユーザーやグループへアサインされている役割を表示する
Get-ManagementRoleAssignment の RoleAssignee パラメーターに対象のユーザー、またはグループを指定して実行します。
例: "HelpDesk01" というグループへアサインされている役割を表示します。
[PS] C:\>Get-ManagementRoleAssignment -RoleAssignee:"HelpDesk01" | ft -AutoSize
Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName
-------- ------ -------------------------- ------------------------- ------------------------- --------------------------
Mail Recipients-HelpDesk01 Mail Recipients HelpDesk01 SecurityGroup Direct すべてのグループ メンバー
特定の役割をアサインされているユーザーやグループの表示
Get-ManagementRoleAssignment の Role パラメータに対象の役割名を指定して実行します。
例: Mail Recipients の役割をアサインされているユーザーやグループを表示します。
[PS] C:\>Get-ManagementRoleAssignment -Role:"Mail Recipients" | ft -AutoSize
Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName
-------- ------ ------------------------- ----------------------- -------------------------- -------------------------
Mail Recipients-Organization Management-Delegating Mail Recipients Organization Management RoleGroup Direct すべてのグループ メンバー
Mail Recipients-Organization Management Mail Recipients Organization Management RoleGroup Direct すべてのグループ メンバー
Mail Recipients-Recipient Management Mail Recipients Recipient Management RoleGroup Direct すべてのグループ メンバー
Mail Recipients-HelpDesk01 Mail Recipients HelpDesk01 SecurityGroup Direct すべてのグループ メンバー
* この時、GetEffectiveUsers パラメータを付与すると、役割の直接アサインだけではなく、役割グループ経由でアサインされているユーザーについても表示されます。
[PS] C:\>Get-ManagementRoleAssignment -Role:"Mail Recipients" -GetEffectiveUsers | ft -AutoSize
Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName
-------- ------ ------------------------- ----------------------- -------------------------- -------------------------
Mail Recipients-Organization Management-Delegating Mail Recipients Organization Management RoleGroup Direct すべてのグループ メンバー
Mail Recipients-Organization Management-Delegating Mail Recipients Organization Management RoleGroup RoleGroup Administrator
Mail Recipients-Organization Management Mail Recipients Organization Management RoleGroup Direct すべてのグループ メンバー
Mail Recipients-Organization Management Mail Recipients Organization Management RoleGroup RoleGroup Administrator
Mail Recipients-Recipient Management Mail Recipients Recipient Management RoleGroup Direct すべてのグループ メンバー
Mail Recipients-Recipient Management Mail Recipients Recipient Management RoleGroup RoleGroup Administrator
Mail Recipients-HelpDesk01 Mail Recipients HelpDesk01 SecurityGroup Direct すべてのグループ メンバー
特定の役割に含まれるコマンドレットやそのパラメータの一覧を表示する
Get-ManagementRoleEntry の Identity に “<対象役割名\*>” と指定して、実行します。
例: 役割 “Mail Recipient Creation” に含まれるコマンドレットの一覧を表示します。
[PS] C:\>Get-ManagementRoleEntry -Identity "Mail Recipient Creation\*" | ft -AutoSize Name
Name
--------
New-Mailbox
Remove-MailUser
Remove-Mailbox
Get-AddressBookPolicy
Remove-RemoteMailbox
Write-AdminAuditLog
Set-MailboxFolderPermission
Set-ADServerSettings
Remove-MailContact
New-RemoteMailbox
New-MailUser
New-MailContact
Get-User
Get-ThrottlingPolicyAssociation
Get-ThrottlingPolicy
Get-SharingPolicy
Get-RoleAssignmentPolicy
Get-ResourceConfig
Get-RemoteMailbox
Get-Recipient
Get-OrganizationalUnit
Get-ManagementRoleAssignment
Get-ManagedFolderMailboxPolicy
Get-MailboxDatabase
Get-Mailbox
Get-MailUser
Get-MailContact
Get-DomainController
Get-ActiveSyncMailboxPolicy
Get-ADServerSettings