Partager via


Exchange 2010 の RBAC (Role Based Access Control) について

Exchange 2010 では、RBAC (Role Based Access Control) という新しいアクセス許可モデルを使用して、ユーザーや管理者が実行可能な操作について制御します。
まずは RBAC 全般について以下の資料などをご確認いただければと思いますが、ここでは RBAC に関するいくつかの Tips をご紹介します。

Title: 役割ベースのアクセス制御について
URL: https://technet.microsoft.com/ja-jp/library/dd298183.aspx

お詫び: 以下にはコマンドレットの実行結果を参考として記載しておりますが、表示の幅の関係で、一部コマンドレットの結果が崩れて表示されるかと思います。
お手数ですがメモ帳などへコピーしてご確認いただくか、または実際に Get- コマンドレットを実行していただいて結果をご確認ください。(Get コマンドレットでは設定を変更することはございません)

特定のコマンドレットを含む役割を表示する
Get-ManagementRole に cmdlet パラメータに対象のコマンドレットを指定して実行します。出力された役割が、このコマンドレットを含む役割となります。

例: Remove-Mailbox を含む役割を探します。
[PS] C:\>Get-ManagementRole -cmdlet:Remove-Mailbox

Name                                      RoleType
--------                                      -------------
Mail Recipient Creation          MailRecipientCreation

特定のユーザーやグループへアサインされている役割を表示する
Get-ManagementRoleAssignment の RoleAssignee パラメーターに対象のユーザー、またはグループを指定して実行します。

例:  "HelpDesk01" というグループへアサインされている役割を表示します。
[PS] C:\>Get-ManagementRoleAssignment -RoleAssignee:"HelpDesk01" | ft  -AutoSize

Name                                       Role                      RoleAssigneeName    RoleAssigneeType    AssignmentMethod    EffectiveUserName
--------                                       ------                      --------------------------     -------------------------    -------------------------     --------------------------
Mail Recipients-HelpDesk01    Mail Recipients    HelpDesk01                SecurityGroup            Direct                         すべてのグループ メンバー

特定の役割をアサインされているユーザーやグループの表示
Get-ManagementRoleAssignment の Role パラメータに対象の役割名を指定して実行します。

例: Mail Recipients の役割をアサインされているユーザーやグループを表示します。
[PS] C:\>Get-ManagementRoleAssignment -Role:"Mail Recipients" | ft -AutoSize

Name                                                                                 Role                    RoleAssigneeName               RoleAssigneeType    AssignmentMethod    EffectiveUserName
--------                                                                                 ------                    -------------------------                 -----------------------      --------------------------    -------------------------
Mail Recipients-Organization Management-Delegating    Mail Recipients    Organization Management    RoleGroup                Direct                          すべてのグループ メンバー
Mail Recipients-Organization Management                      Mail Recipients    Organization Management    RoleGroup           Direct                          すべてのグループ メンバー
Mail Recipients-Recipient Management                           Mail Recipients     Recipient Management         RoleGroup                Direct                          すべてのグループ メンバー
Mail Recipients-HelpDesk01                                            Mail Recipients     HelpDesk01                           SecurityGroup          Direct                          すべてのグループ メンバー

* この時、GetEffectiveUsers パラメータを付与すると、役割の直接アサインだけではなく、役割グループ経由でアサインされているユーザーについても表示されます。

[PS] C:\>Get-ManagementRoleAssignment -Role:"Mail Recipients" -GetEffectiveUsers | ft -AutoSize

Name                                                                                 Role                    RoleAssigneeName               RoleAssigneeType    AssignmentMethod    EffectiveUserName
--------                                                                                 ------                    -------------------------                 -----------------------      --------------------------    -------------------------
Mail Recipients-Organization Management-Delegating    Mail Recipients   Organization Management    RoleGroup                 Direct                          すべてのグループ メンバー   
Mail Recipients-Organization Management-Delegating Mail Recipients Organization Management RoleGroup RoleGroup Administrator
Mail Recipients-Organization Management                      Mail Recipients   Organization Management     RoleGroup                Direct                          すべてのグループ メンバー   
Mail Recipients-Organization Management Mail Recipients Organization Management RoleGroup RoleGroup Administrator
Mail Recipients-Recipient Management                           Mail Recipients    Recipient Management          RoleGroup                Direct                          すべてのグループ メンバー   
Mail Recipients-Recipient Management Mail Recipients Recipient Management RoleGroup RoleGroup Administrator
Mail Recipients-HelpDesk01                                            Mail Recipients     HelpDesk01                           SecurityGroup          Direct                          すべてのグループ メンバー   

特定の役割に含まれるコマンドレットやそのパラメータの一覧を表示する
Get-ManagementRoleEntry の Identity に “<対象役割名\*>” と指定して、実行します。

例: 役割 “Mail Recipient Creation” に含まれるコマンドレットの一覧を表示します。
[PS] C:\>Get-ManagementRoleEntry -Identity "Mail Recipient Creation\*" | ft -AutoSize Name

Name
--------
New-Mailbox
Remove-MailUser
Remove-Mailbox
Get-AddressBookPolicy
Remove-RemoteMailbox
Write-AdminAuditLog
Set-MailboxFolderPermission
Set-ADServerSettings
Remove-MailContact
New-RemoteMailbox
New-MailUser
New-MailContact
Get-User
Get-ThrottlingPolicyAssociation
Get-ThrottlingPolicy
Get-SharingPolicy
Get-RoleAssignmentPolicy
Get-ResourceConfig
Get-RemoteMailbox
Get-Recipient
Get-OrganizationalUnit
Get-ManagementRoleAssignment
Get-ManagedFolderMailboxPolicy
Get-MailboxDatabase
Get-Mailbox
Get-MailUser
Get-MailContact
Get-DomainController
Get-ActiveSyncMailboxPolicy
Get-ADServerSettings