受信者が作成される組織単位 (OU) の指定について
こんにちは、Exchange サポート チームの加藤です。
今回は、受信者が作成される組織単位 (Organizational Unit / OU) の指定方法について紹介します。本投稿では主に Exchange 2010 / 2013 の動作についてご案内します。
メールボックスや配布グループは特に意識することが無ければ、以下の各リンクにも記載がある通り、基本的にすべて Active Directory ドメイン内の Users コンテナーにアカウントが作成されます。しかしながら、マルチ ドメイン環境や受信者の OU を変更している環境では、これらのオブジェクトがどこに作成されるか注意する必要あります。
受信者オブジェクトの例として、以下が挙げられます。後述の説明でもこの 3 つが登場します。
- メールボックス (リンク : ユーザー メールボックスを作成する)
- 配布グループ (リンク : 配布グループの管理)
- 動的配布グループ (リンク : 動的配布グループの管理)
受信者オブジェクト作成時に OU を指定する場合は、以下の各ポイントについて正しく理解する必要があります。
A. 受信者の範囲について
受信者の範囲は各 Exchange 受信者が新規作成される際に、 自動的 に指定される OU を決定するために参照されます。具体的には以下のように既定の OU が選択されます。
受信者の範囲がフォレストの場合 (既定)
- EAC (Exchange 管理コンソール) / EMS (Exchange 管理シェル) を実行しているコンピューターを含む Active Directory ドメイン内の Users コンテナーが選択される。
受信者の範囲が特定のドメインに設定されている場合
- そのドメイン内の Users コンテナーが選択される。
受信者の範囲が特定の OU に設定されている場合
- その OU が選択される。
受信者の範囲は Exchange 2010 / Exchange 2013 でそれぞれ以下のように設定できます。しかしながら、これらの設定はコンソールやシェルを終了した時点でリセットされるため、明示的に指定が必要な場合には起動毎に設定が必要です。
Exchange 2010
- EMS の場合、次のコマンドの RecipientViewRoot パラメーターにて、受信者の範囲を指定します。ここでは "contoso.com/Marketing Users" という OU を指定しています。
Set-AdServerSettings -RecipientViewRoot "contoso.com/Marketing Users" |
- EMC の場合、[受信者の構成] > [受信者の範囲の変更] > [受信者の範囲] より設定します。
Title: 受信者の範囲の変更 (Exchange 2010)
URL: https://technet.microsoft.com/ja-jp/library/bb124527(v=exchg.141).aspx
Title: Set-AdServerSettings (Exchange 2010)
URL: https://technet.microsoft.com/ja-jp/library/dd298063(v=exchg.141).aspx
Exchange 2013
- EMS の場合、Exchange 2010 同様にコマンドを実行しますが、EAC では現在、受信者の範囲を明示的に指定する方法はございません。常にフォレストが範囲となります。
Title: Set-AdServerSettings (Exchange 2013)
URL: https://technet.microsoft.com/ja-jp/library/dd298063(v=exchg.150).aspx
B. オブジェクト作成時の OrganizationalUnit プロパティについて
各オブジェクトを作成する際に、組織単位を EMC / EMS にて 明示的 に指定することができます。具体的には EMS では各オブジェクト作成用のコマンドにて OrganizationalUnit パラメーターを指定する方法と、EMC ではオブジェクト新規作成ウィザードにて [既定の組織単位を使用せずに新たに組織単位を指定する] を設定する方法があります。
例えば、メールボックスの作成時、以下のように OU を指定できます。
New-Mailbox -UserPrincipalName user01@contoso.com -Name user01 -Database "MD01" -OrganizationalUnit "contoso.com/Marketing Users" -ResetPasswordOnNextLogon $true |
なお、OrganizationalUnit プロパティの値は、「A. 受信者の範囲について」 で指定した範囲に収まっている必要があります。しかしながら、EMS および EMC/EAC 起動時は必ず受信者の範囲はフォレストに指定されていますので、特に起動後に変更が無ければ、「B. オブジェクト作成時の OrganizationalUnit プロパティについて」 にて指定された OU がそのまま採用されます。
C. 管理役割スコープについて
ある管理者ユーザーが各受信者のオブジェクト作成の管理役割を持っている場合でも、該当役割のスコープとして、管理できる OU が指定されている場合には、その範囲外にオブジェクトを作成することはできません。そのため、「A. 受信者の範囲について」 や 「B. オブジェクト作成時の OrganizationalUnit プロパティについて」 で正しく範囲が指定されている場合でも、その範囲が管理役割スコープ内である必要があります。
Title: 管理役割スコープについて (Exchange 2010)
URL: https://technet.microsoft.com/ja-jp/library/dd335146(v=exchg.141).aspx
Title: 管理役割スコープについて (Exchange 2013)
URL: https://technet.microsoft.com/ja-jp/library/dd335146(v=exchg.150).aspx
D. 配布グループの既定の OU について
配布グループ (メールが有効なユニバーサル セキュリティ グループ / ユニバーサル配布グループ) に関しては、組織の固定 (既定) の設定として作成先の OU を明示的に指定することができます。
具体的には以下のコマンドの DistributionGroupDefaultOU パラメーターにて設定します。
Set-OrganizationConfig -DistributionGroupDefaultOU "contoso.com/Groups" |
上記の設定により 「B. オブジェクト作成時の OrganizationalUnit プロパティについて」 にて明示的に指定しない限りは、常に DistributionGroupDefaultOU の OU に配布グループが作成されます。ただし、この場合も DistributionGroupDefaultOU の OU は 「A. 受信者の範囲について」 や 「C. 管理役割スコープについて」 にて指定された範囲に収まっている必要があります。
なお、既定の OU の設定は動的配布グループに関しては適用されません。
Title: Set-OrganizationConfig (Exchange 2010)
URL: https://technet.microsoft.com/ja-jp/library/aa997443(v=exchg.141).aspx
Title: Set-OrganizationConfig (Exchange 2013)
URL: https://technet.microsoft.com/ja-jp/library/aa997443(v=exchg.150).aspx
上記の通り、事前に設定された範囲制限や明示的な範囲指定を組み合わせることで、各受信者オブジェクトの作成場所を指定することができます。