排他スコープについて

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2015-03-09

排他スコープは、明示的な管理スコープの特殊な種類であり、管理役割の割り当てに関連付けることができます。排他スコープは、CEO のメールボックスのような非常に重要なオブジェクトから成るグループが存在し、誰がそれらのオブジェクトを管理するためにアクセスできるかを厳格に管理する状況に対応できるように設計されたものです。

排他スコープを持つ役割の割り当てを排他的な役割の割り当てと呼びます。

排他的な管理スコープを作成した場合、その排他スコープまたは同等の排他スコープを割り当てられているユーザーのみが、そのスコープに一致するオブジェクトを変更できます。役割の被割り当て者が排他スコープまたは同等物を割り当てられていない場合は、排他スコープ以外の点ではオブジェクトを含むスコープが自らの役割に含まれているとしても、役割の被割り当て者はそのスコープに一致するオブジェクトを変更できません。排他スコープは、排他的ではない他の正規のスコープより優先されます。この動作は、Active Directory アクセス制御リスト (ACL) の機能のうちアクセス制御エントリ (ACE) を拒否する方法に類似しています。

同等の排他スコープとは、元の排他スコープと同じいくつかのオブジェクトを持ち、それらのオブジェクトが元の排他スコープと一致している、別の排他スコープを指します。これらのスコープでは、同一のオブジェクト セット全体が一致している必要はありません。両方のスコープで、一致しているオブジェクトのうち一部または全部を変更できます。

排他スコープを作成する

排他スコープは、他の明示的なスコープと同様に作成できます。あらかじめ構築された相対スコープ、受信者、データベース、またはサーバー フィルター、またはデータベースまたはサーバー リストを指定できます。正規のスコープが、スコープを管理役割の割り当てに関連付けるまでは有効にならないのとは異なり、排他スコープの拒否の機能は直ちに有効になります。このことは、排他スコープを作成した直後に、そのスコープ内に含まれているオブジェクトは、役割の割り当てを作成するまではどのユーザーからも直ちにアクセスできなくなることを意味します。

割り当てを作成した後、排他スコープによって、管理役割とスコープを割り当てられたユーザーがオブジェクトにアクセスできるようになります。他の同等の排他スコープが同じオブジェクトに一致している場合は、その排他スコープに関連付けられた役割の割り当ては、引き続きオブジェクトにアクセスできます。

管理スコープ フィルターの詳細については、「管理ロールのスコープ フィルターについて」を参照してください。

重要

Active Directory のレプリケーション時間に関して、排他スコープを含め、管理役割のあらゆる要素に変更を加えることを考慮に入れる必要があります。

複数の排他スコープに含まれているオブジェクトが存在する場合は、それらの排他スコープのいずれかに割り当てられることにより、そのオブジェクトにアクセスできます。詳細については、後の「排他スコープおよび正規のスコープの相互作用」を参照してください。

排他スコープによって制御されるのは、役割の割り当てのうち明示的な受信者または構成の書き込みスコープのみです。ユーザーまたはグループに対して割り当てられた役割のうち、暗黙の受信者または構成の読み取りスコープは引き続き適用されます。これは、次のように適用されることを意味します。

• 役割を割り当てられたユーザーまたはグループは、役割の暗黙的な読み取りスコープに一致するオブジェクトを引き続き表示できます。

• 他の役割の読み取りスコープにオブジェクトが含まれている場合は、他の役割を割り当てられたユーザーまたはグループは、排他スコープに含まれているオブジェクトを表示できる可能性もあります。ただし、オブジェクトを変更できるのは、排他スコープに関連付けられた役割を割り当てられたユーザーまたはグループのみです。

排他スコープを使用できるのは、管理役割または専門家役割のみであり、エンド ユーザー役割からは使用できません。役割の詳細については、「管理の役割について」を参照してください。

排他スコープおよび正規のスコープの相互作用

このセクションの最後の図に、排他スコープの相互間、および排他スコープと正規のスコープの間でどのような相互作用が発生するかを示します。図の中に示すすべてのユーザーには、次の属性が関連付けられています。

ユーザー	都市	役職	部署
Terry	Vancouver	経理担当	経理
David	Vancouver	ライター	マーケティング
Walter	Vancouver	マネージャー	マーケティング
Bob	Vancouver	CEO	取締役
Christine	Vancouver	社長	取締役
Fred	Vancouver	CFO	役員
Martin	Vancouver	CIO	役員
Kim	Vancouver	副社長、事業担当	役員
Jennifer	Vancouver	副社長、技術担当	役員

図に示す次の 3 つの管理役割の割り当てを使用して、前述の表に示したユーザーを管理します。それぞれにスコープが関連付けられていて、そのうちのいくつかは排他的なスコープです。

役割の割り当て	スコープ フィルター	排他または正規
"Recipient Administrators/受信者管理者"	"City = Vancouver/都市 = バンクーバー"	正規
"VIP Administrators/VIP 管理者"	"Title = CEO or CFO or CIO or President/役職 = CEO または CFO または CIO または社長"	排他
"Executive Administrators/エグゼクティブ管理者"	"Department = Executives/部署 = エグゼクティブ"	排他

"Recipient Administrators/受信者管理者" という役割の割り当てには、すべてのユーザーに一致するスコープがあります。すべてのユーザーは、Vancouver に配置されているからです。排他スコープは 1 つも対応していないため、"Recipient Administrators/受信者管理者" の役割の割り当てによって、すべてのユーザーを管理できます。ただし、この組織では 2 つの排他スコープを作成しました。"VIP Administrators/VIP 管理者" と "Executive Administrators/エグゼクティブ管理者" です。これらの排他スコープにより、それぞれのスコープ フィルターに一致するユーザーを誰が管理できるかを制限します。"VIP Administrators/VIP 管理者" という役割の割り当てには、役職が CEO、CFO、CIO、社長のいずれかであるあらゆるユーザーに一致するスコープ フィルターがあります。"Executive Administrators/エグゼクティブ管理者" という役割の割り当てには、エグゼクティブ部門に所属するあらゆるユーザーに一致するスコープ フィルターがあります。

正規のスコープと排他スコープが評価されるときに、次の結果が得られます。

• "Recipient Administrators/受信者管理者" という役割の割り当てを使用して、ユーザー Terry、David、および Walter を管理できます。この役割の割り当てでは、他のどのユーザーも管理できません。他のユーザーは "VIP Administrators/VIP 管理者" および "Executive Administrators/エグゼクティブ管理者" という役割の割り当てに対応する排他スコープ フィルターに一致するからです。

• "VIP Administrators/VIP 管理者" という役割の割り当てを使用して、ユーザー Bob、Christine、Fred、および Martin を管理できます。これは、この役割割り当てに関連付けられている排他スコープ フィルターが、これらのオブジェクトの属性と一致するためです。この役割の割り当てでは、ユーザー Kim および Jennifer を管理できません。これらのユーザーの属性は、この排他スコープに一致しないからです。

• "Executive Administrators/エグゼクティブ管理者" という役割の割り当てを使用して、ユーザー Kim、Jennifer、Fred、および Martin を管理できます。これは、この役割割り当てに関連付けられている排他スコープ フィルターが、これらのオブジェクトの属性と一致するためです。この役割の割り当てでは、ユーザー Bob および Christine を管理できません。これらのユーザーの属性は、この排他スコープに一致しないからです。

Fred および Martin は、両方の排他スコープからアクセスできることに注意してください。これらのユーザーの属性は、両方の排他スコープのフィルターに一致するからです。

排他スコープと正規のスコープの間での相互作用

管理のスコープの詳細については、「管理役割スコープについて」を参照してください。

 © 2010 Microsoft Corporation.All rights reserved.