Exchange Server 2003 でサービス アカウントにすべてのメールボックスへのアクセスを許可する方法

文書翻訳 文書翻訳
文書番号: 821897 - 対象製品
Microsoft Exchange 2000 Server については、次の資料を参照してください。262054

重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

概要

この資料では、すべてのメールボックスへのアクセスを許可する方法について説明しています。オフラインでの回復などの作業を実施する場合は、その作業を実施するアカウントにすべてのメールボックスへのアクセスを許可すると便利です。

注意 : この手順は、運用環境で使用して、ユーザー データに不正にアクセスできるようにすることを意図しているものではありません。運用環境で使用すると、プライバシーおよびセキュリティに関連する企業ポリシーに違反する可能性があります。ネットワーク監査のしくみを確立して、システム管理者がネットワーク権限を適切に使用しているかどうかを監視し、記録するようにしてください。

詳細

Microsoft Exchange Server 5.5 では、Site コンテナの Service Account Admin 権限を Microsoft Windows ベースのアカウントに与えると、すべてのメールボックスへの無制限のアクセスをそのアカウントに許可することになります。Exchange 2000 Server および Exchange Server 2003 では、サービス アカウントはなく、Enterprise Admins の権利を持つアカウントであっても、すべてのメールボックスにアクセスする権利は拒否されます。

: Microsoft Windows 2000 Server および Microsoft Windows Server 2003 では、通常、各サービスは、そのサービスがインストールされているコンピュータのアカウントで実行されます。このアカウントはローカル システム アカウント (LocalSystem) であるため、このアカウントのパスワードは Windows 2000 または Windows Server 2003 によって作成および再利用されます。デフォルトでは、このサービス アカウントを使用して、Exchange メールボックス、パブリック フォルダ ストア、およびメールの転送やディレクトリの同期の実行に使用するその他の Windows リソースにアクセスできます。

使用しているログオン アカウントが管理者アカウントであるか、あるいは Domain Admins または Enterprise Admins グループのメンバである場合は、Exchange システムの完全な管理権を持っている場合であっても、自分自身のメールボックス以外のメールボックスへのアクセスはすべて明示的に拒否されます。Exchange Server 2003 のすべての管理タスクは、他人のメールを読むことのできる権利を管理者に与えずに行うことができます。

このデフォルトの制限は以下のように変更できますが、変更する場合は必ず、所属している組織のセキュリティおよびプライバシーのポリシーに従ってください。多くの場合、デフォルトの制限の変更が適切なのは、回復サーバー環境のみです。

拒否が継承される管理アカウントに単一データベース内のすべてのメールボックスへのアクセスを許可するには、Exchange システム マネージャで次の手順を実行します。
  1. Exchange システム マネージャを起動し、すべてのメールボックスにアクセスできるようにするデータベースを選択します。
  2. このオブジェクトのプロパティを開き、[セキュリティ] タブをクリックします。
  3. Receive As および Send As を含め、このオブジェクトに対するアカウントのすべてのアクセス許可を明示的に許可に設定します。
この変更を行った後も、[拒否] または [許可] のチェック ボックスが淡色表示されている場合があります。このようにチェック ボックスが淡色表示されているアクセス許可の設定は上位のオブジェクトから現在のオブジェクトに継承されたものです。Windows のアクセス許可モデルでは、上位から継承されたアクセス許可より、現在のオブジェクトで明示的に設定されたアクセス許可が優先されます。上位のオブジェクトでの "拒否" の設定より、現在のオブジェクトでの "許可" の設定が優先されます。ただし、その設定変更は下位のオブジェクトに継承されません。そのため、サーバー上のデータベースへのアクセスを特定のアカウントに一括して許可することはできません。データベースへのアクセスを許可する場合は、データベースごとにアクセス許可を設定する必要があります。

アカウントのアクセス許可を変更したら、そのアカウントはいったんログオフして、再度ログオンする必要があります。また、Exchange のすべてのサービスを停止して再開することをお勧めします。フォレスト内に複数のドメイン コントローラが存在する場合は、ディレクトリのレプリケーションが完了するまで待つことが必要な場合もあります。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
259221 [XADM] システム マネージャで [セキュリティ] タブが一部のオブジェクトに使用可能

プロパティ

文書番号: 821897 - 最終更新日: 2007年12月3日 - リビジョン: 7.2
この資料は以下の製品について記述したものです。
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
キーワード:?
kbhowto KB821897
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com