共有アクセス許可モデルを使用する際に Exchange Server を実行するために必要なアクセス許可を減らす

適用対象: Exchange Server 2010Exchange Server 2013Exchange Server 2016 詳細

シナリオ


次のような状況で問題が発生します。
  • Exchange Server に既定でインストールされている共有アクセス許可モデルを使用して Exchange Server を実行している。
  • アクセス制御エントリが Active Directory フォレストに登録されている。 これにより、Exchange Server に上位レベルのディレクトリ アクセス許可が与えられている。 

原因


Exchange Server はディレクトリ サービス対応のアプリケーションです。 そのため、Exchange Server 対応のオブジェクトに関連する属性を変更できる必要があります。  たとえば、場合によって随意アクセス制御リスト (DACL) を変更する機能などです。 このようなオブジェクトはドメイン階層内のどこにでも存在する可能性があるため、Exchange Server はドメインのルートで Exchange Server を実行しているサーバーに権限を付与します。  この処理は、該当するすべてのオブジェクトに確実に権利を渡すために行われます。
現在、Exchange Server では、DACL の伝達が評価されるときに継承のみフラグを利用しません。  これは、Active Directory の分割アクセス許可モデルには適用されません。 分割アクセス許可構成では、Exchange Server は、ディレクトリ内のセキュリティ プリンシパルを作成または変更する機能をサーバーに付与しないアクセス許可モデルを適用します。

状態


この動作は仕様です。この動作により、Exchange 管理者は、Exchange 管理者としての役割と整合性のある Exchange Server オブジェクトの属性を柔軟に管理できます。  Exchange Server が共有アクセス許可モデルで実行されている場合、ユーザー アカウントとメールボックスを作成する機能と、メールボックス型のオブジェクトをリソース メールボックスまたは共有メールボックスとして再割り当てする機能が Exchange 管理者に期待されます。   

解決方法


マイクロソフトは、特定されたシナリオで、Exchange Server を実行しているサーバーと Exchange 管理者に付与される権限を評価しました。  マイクロソフトは、Active Directory ドメイン内で付与されているアクセス許可を低くする変更が可能であると判断しました。 実際のアクセス許可の変更は、使用されている Exchange Server のバージョンによって異なります。 

このセクションの手順では、すべての環境を共通の減らされたディレクトリ アクセス許可プロファイルに戻します。

Exchange Server 2013 以降のバージョンでこの問題を解決するには、お客様の環境に応じて、以下の累積的な更新プログラムをインストールしてください。

Exchange Server 2013 以降のバージョンを使用している環境では、Exchange Server がインストールされている Active Directory フォレスト、または Exchange Server を実行しているサーバーをホストするようにディレクトリ スキーマが準備された Active Directory フォレストで、/PrepareAD を手動で実行する新しい累積的な更新プログラム パッケージが必要です。 さらに、単一のフォレスト内で複数のドメインを使用しているお客様の場合、そのフォレスト内のすべてのドメインで /PrepareDomain を実行して、Exchange Server と Exchange 管理者に付与されているアクセス許可を低くする必要があります。 

注: /PrepareDomain 操作は、/PrepareAD が実行された Active Directory ドメインで自動的に実行されます。     ただし、フォレスト内の他のドメインを更新できない可能性があります。  このため、ドメイン管理者はフォレスト内の他のドメイン内で /PrepareDomain を実行する必要があります。

Exchange Server で使用される /Prepare スイッチの詳細については、「Exchange Server の Active Directory とドメインを準備する」を参照してください。

このような新しい累積的な更新プログラムの準備操作によって、Active Directory 環境が次のように変更されます。

Exchange Server 2016 以降のバージョン

ドメイン上の AdminSDHolder オブジェクトが更新され、"Group" 継承オブジェクト型に対する "Write DACL" 権限を "Exchange Trusted Subsystem" グループに付与する "Allow" ACE が削除されます。   

Exchange Server 2013 以降のバージョン

"User" および "INetOrgPerson" 継承オブジェクト型に対する "Write DACL" 権限を "Exchange Windows Permissions" グループに付与する "Allow" アクセス制御エントリ (ACE) は、ドメイン ルート オブジェクトに対する "Inherit Only" フラグを含めるように更新されました。    

Exchange Server 2010

Exchange Server 2010 を実行しているお客様は、LDP ツールを使用して、以下の手動更新を環境に適用する必要があります。

  1. LDP ツールを起動します  ([ファイル名を指定して実行] ボックスで「ldp.exe」と入力し、Enter キーを押します)。
  2. 更新するドメインの名前空間に接続します。 ([ファイル] メニューの [接続] をクリックします。)
  3. ドメイン管理者の資格情報を使用してドメインの名前空間にバインドします。 ([ファイル] メニューの [バインド] をクリックします。)
  4. 更新するドメイン コンテキストのルートに対応するベース DN を使用してツリーを表示します。 ([表示]  メニューの [ツリー] をクリックします。)
    以下に例を示します。

    ツリー ビュー
  5. ドメイン アクセス制御リストを開きます。 (ドメイン を右クリックし、[詳細] をクリックし、[セキュリティ記述子] をクリックします。)

    ドメインのアクセス制御リスト
  6. "User" および "INetOrgPerson" 継承オブジェクト型に対する "Write DACL" 権限を "Exchange Windows Permissions" グループに付与する 2 つの "Allow" ACE を見つけます。     

    セキュリティ記述子


    注:  リストの並べ替えを行わないでください。 これにより、ACL の順序が変更されます。
  7. 各エントリを編集して、"Inherit Only" フラグを追加します。  この操作を行うには、オブジェクトをダブルクリックしてフラグを選択し、[OK] をクリックします。    

    アクセス制御エントリ
  8. 各 ACE で操作が成功したことを確認します。 次に [更新] をクリックします。 

    セキュリティ記述子