排他スコープについて
製品: Exchange Server 2013
排他スコープ は、管理ロールの割り当てに関連付けることができる特殊な種類の明示的な管理スコープです。 排他スコープは、CEO のメールボックスのような非常に重要なオブジェクトから成るグループが存在し、誰がそれらのオブジェクトを管理するためにアクセスできるかを厳格に管理する状況に対応できるように設計されたものです。
排他スコープを持つ役割の割り当てを排他的な役割の割り当てと呼びます。
排他的な管理スコープを作成した場合、その排他スコープまたは同等の排他スコープを割り当てられているユーザーのみが、そのスコープに一致するオブジェクトを変更できます。 役割の被割り当て者が排他スコープまたは同等物を割り当てられていない場合は、排他スコープ以外の点ではオブジェクトを含むスコープが自らの役割に含まれているとしても、役割の被割り当て者はそのスコープに一致するオブジェクトを変更できません。 排他スコープは、排他的ではない他の正規のスコープより優先されます。 この動作は、Active Directory アクセス制御リスト (ACL) の機能のうちアクセス制御エントリ (ACE) を拒否する方法に類似しています。
同等の排他的スコープは、別の排他的スコープと同じオブジェクトの一部に一致する別の排他的スコープを指します。 これらのスコープでは、同一のオブジェクト セット全体が一致している必要はありません。 両方のスコープで、一致しているオブジェクトのうち一部または全部を変更できます。
排他スコープの作成
排他スコープは、他の明示的なスコープと同様に作成できます。 あらかじめ構築された相対スコープ、受信者、データベース、またはサーバー フィルター、またはデータベースまたはサーバー リストを指定できます。 正規のスコープが、スコープを管理役割の割り当てに関連付けるまでは有効にならないのとは異なり、排他スコープの拒否の機能は直ちに有効になります。 このことは、排他スコープを作成した直後に、そのスコープ内に含まれているオブジェクトは、役割の割り当てを作成するまではどのユーザーからも直ちにアクセスできなくなることを意味します。
割り当てを作成した後、排他スコープによって、管理役割とスコープを割り当てられたユーザーがオブジェクトにアクセスできるようになります。 他の同等の排他スコープが同じオブジェクトに一致している場合は、その排他スコープに関連付けられた役割の割り当ては、引き続きオブジェクトにアクセスできます。
管理スコープ フィルターの詳細については、「管理ロールのスコープ フィルターについて」を参照してください。
重要
Active Directory のレプリケーション時間に関して、排他スコープを含め、管理役割のあらゆる要素に変更を加えることを考慮に入れる必要があります。
複数の排他スコープに含まれているオブジェクトが存在する場合は、それらの排他スコープのいずれかに割り当てられることにより、そのオブジェクトにアクセスできます。 詳細については、後の「排他的および正規のスコープの相互作用」を参照してください。
排他スコープによって制御されるのは、役割の割り当てのうち明示的な受信者または構成の書き込みスコープのみです。 ユーザーまたはグループに対して割り当てられた役割のうち、暗黙の受信者または構成の読み取りスコープは引き続き適用されます。 これは、次のように適用されることを意味します。
- 役割を割り当てられたユーザーまたはグループは、役割の暗黙的な読み取りスコープに一致するオブジェクトを引き続き表示できます。
- 他の役割の読み取りスコープにオブジェクトが含まれている場合は、他の役割を割り当てられたユーザーまたはグループは、排他スコープに含まれているオブジェクトを表示できる可能性もあります。 ただし、オブジェクトを変更できるのは、排他スコープに関連付けられた役割を割り当てられたユーザーまたはグループのみです。
排他スコープを使用できるのは、管理役割または専門家役割のみであり、エンド ユーザー役割からは使用できません。 役割の詳細については、「管理の役割について」を参照してください。
排他的および正規のスコープの相互作用
このセクションの最後の図に、排他スコープの相互間、および排他スコープと正規のスコープの間でどのような相互作用が発生するかを示します。 図の中に示すすべてのユーザーには、次の属性が関連付けられています。
| User | 都市 | タイトル | 部署 |
|---|---|---|---|
| Terry | Vancouver | 経理担当 | 経理 |
| David | Vancouver | ライター | マーケティング |
| Walter | Vancouver | マネージャー | マーケティング |
| Bob | Vancouver | CEO | 取締役 |
| Christine | Vancouver | 社長 | 取締役 |
| Fred | Vancouver | CFO | 役員 |
| Martin | Vancouver | CIO | 役員 |
| Kim | Vancouver | 副社長、事業担当 | 役員 |
| Jennifer | Vancouver | 副社長、技術担当 | 役員 |
図に示す次の 3 つの管理役割の割り当てを使用して、前述の表に示したユーザーを管理します。 それぞれにスコープが関連付けられていて、そのうちのいくつかは排他的なスコープです。
| ロールの割り当て | スコープ フィルター | 排他または正規 |
|---|---|---|
| "受信者管理者" | "City = Vancouver/都市 = バンクーバー" | 正規 |
| "VIP 管理者" | "Title = CEO or CFO or CIO or President/役職 = CEO または CFO または CIO または社長" | 排他 |
| "エグゼクティブ管理者" | "Department = Executives/部署 = エグゼクティブ" | 排他 |
受信者管理者ロールの割り当てには、すべてのユーザーがバンクーバーにあるため、すべてのユーザーに一致するスコープがあります。 排他的なスコープがないと、受信者管理者ロールの割り当てがすべてのユーザーを管理できることを意味します。 ただし、この組織では、VIP 管理者とエグゼクティブ管理者という 2 つの排他的なスコープが作成されています。 これらの排他的スコープは、それぞれのスコープ フィルターに一致するユーザーを管理できるユーザーを制限します。 VIP 管理者ロールの割り当てには、CEO、CFO、CIO、または社長の役職を持つすべてのユーザーに一致するスコープ フィルターがあります。 エグゼクティブ管理者ロールの割り当てには、エグゼクティブ部門にいるすべてのユーザーに一致するスコープ フィルターがあります。
正規のスコープと排他スコープが評価されるときに、次の結果が得られます。
受信者管理者ロールの割り当ては、ユーザー Terry、David、および Walter を管理できます。 このロールの割り当ては、VIP 管理者とエグゼクティブ管理者ロールの割り当ての排他スコープ フィルターと一致するため、他のユーザーを管理できません。
VIP 管理者ロールの割り当ては、Bob、Christine、Fred、Martin のユーザーを管理できます。 これは、このロールの割り当てに関連付けられている排他スコープ フィルターが、これらのオブジェクトの属性と一致するためです。 このロールの割り当ては、ユーザーの Kim と Jennifer の属性がこの排他的スコープと一致しないため、管理できません。
エグゼクティブ管理者ロールの割り当ては、ユーザーの Kim、Jennifer、Fred、Martin を管理できます。 これは、このロールの割り当てに関連付けられている排他スコープ フィルターが、これらのオブジェクトの属性と一致するためです。 このロールの割り当ては、その属性がこの排他的スコープと一致しないため、ユーザー Bob と Christine を管理できません。
Fred および Martin は、両方の排他スコープからアクセスできることに注意してください。 これらのユーザーの属性は、両方の排他スコープのフィルターに一致するからです。
.jpg "排他的および定期的なスコープ操作")
管理のスコープの詳細については、「管理役割スコープについて」を参照してください。