EAC を使用して多フォレストの Exchange 展開を管理する

  • Article

原文の記事の投稿日: 2012 年 8 月 31 日 (金曜日)

新しい Exchange Administration Center (EAC) を紹介する前回の記事に続いて、新しい EAC で、多フォレストの Exchange 展開を簡単に管理する方法について説明します。

フォレスト間のトポロジで Exchange 2010 を展開する」でもご説明したように、Exchange Server 2010 は、フォレスト間またはリソース フォレスト トポロジで展開できます。この記事では、リソース フォレスト トポロジを展開する目的で、「The New Exchange」と同じ手法を使います。

まず、以下のように、フォレスト B がフォレスト A を信頼するように、一方向フォレスト信頼セットアップで、リソース フォレスト環境を設定しましょう。

image
図 1: リソース フォレスト Exchange トポロジのレイアウト

フォレスト A は、すべてのユーザー アカウントが準備される場所となるアカウント フォレストです。フォレスト A には、Exchange サーバーはインストールされていません。フォレスト B はリソース フォレストです。Exchange Server 2013 がインストールされ、フォレスト A の各ユーザー アカウントにリンクされたメールボックスが含まれます。フォレスト B では、ユーザー アカウントは準備されていません。

ラボ環境で、ユーザー John Doe をフォレスト A に設定します。次に、John Doe を Exchange 管理者にする必要があります。これを行うには、John Doe が Exchange リソース フォレストで適切な役割ベースのアクセス制御 (RBAC) 特権を持っている必要があります。ここでは多フォレストの環境で作業していることから、RBAC の構成には 2 つの方法があり、この記事ではその両方について説明します。

  1. リンクされたメールボックスを使用する
  2. リンクされた役割グループを使用する

アカウント フォレストで、すでにユーザーをセットアップしている可能性があります。これらのユーザーをリンクされたメールボックスとして構成することにより、Exchange リソース フォレストでのプレゼンスが確立されます。これらのリンクされたメールボックスを既存の RBAC 役割グループに追加することで、関連付けられたユーザーは、実質的に Exchange 管理者になります。

リンクされたメールボックスを使用する

以下の図では、John Doe のユーザー アカウントがアカウント フォレストでセットアップされています。次に、Exchange 管理者は、EAC を使用して、以下のように、彼にリンクされたメールボックスを作成できます。

image
図 2: John Doe がリンクされたメールボックスとしてセットアップされました。

次に、John のメールボックスを、組み込みの任意の RBAC 管理者ロール グループに追加できます。つまり、彼を Exchange 管理者にできます。以下のスクリーン ショットでは、John は、組み込みの Organization Management 役割グループのメンバーにされています。

image
図 3: John Doe が Organization Management 役割グループのメンバーとして追加されました。

次に、John 自身として EAC にログインしてみましょう。John は、現在、Exchange 管理特権を持っており、表示は以下のようになります。

image
図 4: John Doe として EAC にログインし、リンクされたメールボックスとして、また Organization Management 役割グループのメンバーとして構成しました。

リンクされた役割グループを使用する

リンクされた役割グループは、実質的に役割グループですが、フォレスト バウンダリを越えてユニバーサル セキュリティ グループ (USG) 経由でリンクされています。従って、この USG のメンバーは、実質的に、リンクされた役割グループのメンバーになります。これは、John Doe がそのような USG のメンバーである場合、彼はリンクされた役割グループ経由で Exchange リソース フォレスト内のすべての RBAC アクセス許可を自動的に取得するということを意味します。このように、リンクされた役割グループを使うことで、1 つのアカウント フォレスト内の小さい一連の USG で、複雑な、複数の Exchange フォレスト トポロジを管理できます。

上記のことを示す目的で、以下の操作を実行します。

  1. アカウント フォレストで、Active Directory ユーザーとコンピューター (ADUC) 管理ツールを使用して、AdminSG という名前の USG を作成します。AdminSG は、Exchange 管理者のグループを表します。次に、John Doe を AdminSG のメンバーにします。
  2. リソース フォレストで、組み込みの役割グループ "Organization Management" に基づいて、AdminSG にマップされた、単一のリンクされた役割グループをセットアップします。以下の Exchange 管理シェル呼び出しを使用します。

$accountForestCredential = Get-Credential

$OrgMgmt = Get-RoleGroup "Organization Management"

New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "AdminSG" -LinkedDomainController bjex062.extest.microsoft.com -LinkedCredential $accountForestCredential -Roles $OrgMgmt.Roles

Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment

Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

上記の手順で、ユーザー アカウントがアカウント フォレストにありながら、John Doe は、Exchange リソース フォレストですべての RBAC 特権を取得できます。

次に、John Doe として EAC にログインします。任意のデスクトップから EAC を開始して、それをリソース フォレスト内の CAS サーバーにポイントすると、ログインできます。Organization Management RBAC 役割グループで定義されるように、John は標準の RBAC 特権を持っており、それに応じて、リソース フォレストで Exchange を管理できます。

image
図 5: リンクされた Organization Management 役割グループ経由で、John Doe として EAC にログインします。

EAC をお試しください!

このように、EAC を使用すれば、多フォレストの Exchange 展開を簡単に管理できます。特定の Exchange フォレストを管理する目的で、専用の管理用コンピューターにリモートからログインする必要も、すべての Exchange リソース フォレストで特別な管理アカウントを作成する必要もありません。EAC を使えば、既存のユーザー資格情報で、自分のデスクトップから、これらすべての作業を行うことができます。

EAC は、最新の Exchange 2013 Preview ダウンロード、または Office 365 Customer Preview から入手できます。EAC については、今後、数週間にわたって、さらに詳細をご紹介します。まずは、新しい EAC をお試しください。フィードバックをお待ちしております。

Exchange 管理容易性チーム

これはローカライズされたブログ投稿です。原文の記事は「Using EAC to manage multi-forest Exchange deployments」をご覧ください。