現在オフラインです。再接続するためにインターネットの接続を待っています

予定表のアクセス制御リストが適切に設定されていない場合の対処方法

概要
この資料では、Exchange Server 2003 または Exchange Server 2007 環境で予定表のアクセス制御リストが適切に設定されていない場合の対処方法について説明します。

予定表のアクセス制御リストが適切な順序で設定されていない場合、WebDAV や ADO などから予定表のアクセス権限を操作することはできますが、Outlook などの MAPI アプリケーションや EWS から予定表のアクセス権限を操作することができなくなる場合がございます。Microsoft Exchange Server Public Folder DAV-based Administration Tool (PFDAVAdmin) を利用することで、予定表に設定されているアクセス制御リストを修復することができます。
詳細
Exchange Server のストアでは MAPI や Exchange Web Service (EWS) から予定表のアクセス権限を参照したり変更する際にはアクセス制御リストの状態を検証して不適切な状態の場合にはエラーを返すように設計されております。ここで Web-based Distributed Authoring and Versioning (WebDAV) や ActiveX Data Object (ADO) などを利用する 3rd Party 製のアプリケーションなどにより予定表のアクセス制御リストが以下の規則に従っていない状態で設定されたメールボックスを Exchange Server 2010 に移動した場合、Exchange Server 2010 では WebDAV や ADO などのインタフェースは提供されていないため、結果として予定表のアクセス権限を参照したり変更することができなくなります。

  1. 全てのユーザー オブジェクトに関してオブジェクト毎に Allow -> Deny の順序で記載

    Access_Allow (userA)
    Access_deny  (userA)
    Access_Allow (userB)
    Access_deny  (userB)
    Access_Allow (userC)
    Access_deny  (userC)

  2. 全てのグループ オブジェクトに関して Allow を全て記載した後に Deny を全て記載

    Access_Allow (groupA)
    Access_Allow (groupB)
    Access_Allow (groupC)
    Access_deny  (groupA)
    Access_deny  (groupB)
    Access_deny  (groupC)

  3. Everyone に対する Allow を最後に記載

以下のサポート技術情報に記載されております通り、Exchange Server 2010 Service Pack 2 Rollup 3 ではメールボックスを移動する際にアクセス制御リストの状態をチェックし、不適切なアクセス制御リストが設定されている場合にはメールボックスの移動が失敗するように機能が追加されました。

2674445 You cannot change the access permissions of a Calendar folder in an Exchange Server 2010 environment

Exchange Server 2003 もしくは Exchange Server 2007 にメールボックスが存在する場合には PFDAVAdmin を利用することで不適切な状態で設定されている予定表のアクセス制御リストを修復することができます。PFDAVAdmin を利用してアクセス制御リストを修復するには次の手順を実行します。


- 手順 1 : PFDAVAdmin ツールをダウンロード
  1. 以下の Microsoft ダウンロード センターの Web サイトから PFDAVAdmin ツールをダウンロードします。

    PFDAVAdmin.EXE パッケージ
    http://www.microsoft.com/downloads/en/details.aspx?FamilyId=635BE792-D8AD-49E3-ADA4-E2422C0AB424&displaylang=en
  2. [PFDAVAdmin.exe] ファイルをダブル クリックし、一連のファイルを任意の場所に展開します。PFDAVAdmin という名前のフォルダが作成され、一連のファイルが PFDAVAdmin フォルダに展開されます。
注: PFDAVAdmin ツールを実行するには 32 bit の OS 上で .NET Framework 1.1 がインストールされている必要がございます。.NET Framework 1.1  は以下の Microsoft ダウンロード センターの Web サイトからダウンロードすることができます。

Microsoft .NET Framework Version 1.1 再頒布可能パッケージ
http://www.microsoft.com/downloads/details.aspx?FamilyID=262d25e3-f589-4842-8157-034d1e7cf3a3&displayLang=ja

- 手順 2 : 予定表に設定されたアクセス制御リストの状態を確認
  1. PFDAVAdmin フォルダから [PFDAVAdmin.exe] を起動します。
  2. [File] メニューから [Connect] を選択します。
  3. [Exchange Server] 欄に接続する Exchange Server の名前を入力します。
  4. [Global Catalog] 欄にグローバル カタログ サーバーの名前を入力します。
  5. 必要に応じて [Authenticate as currently logged-on user] チェック ボックスをオフにします。適切なユーザー名、パスワード、およびドメイン名を入力します。
  6. [Connection] 欄から "All Mailboxes" を選択して [OK] をクリックします。
  7. [Mailboxes] を展開し、Exchange Server に存在するメールボックスの一覧が表示されていることを確認します。
  8. 対象メールボックに関して [Top of Information Store] - [予定表] を右クリックし、[Folder permissions] を選択します。
  9. 画面右上の [DACL state] が "Good" 以外の場合にはアクセス制御リストが不整合な状態であることを示しています。

- 手順 3: アクセス制御リストを修復
  1. PFDAVAdmin にて対象メールボックスのフォルダ階層を展開します。
  2. [Top of Information Store] - [予定表] を右クリックし、[Fix folder DACLs] を選択します。
  3. [Folder selection] 欄から "Only the selected folder" を選択します。
  4. [Mode] 欄から "Read-Clear-Write" を選択します。
  5. [Attempt to upgrade damaged roles] チェック ボックスをオンにします。
  6. 必要に応じて [Remove mail-disabled entities] をオンにし、[Execute] をクリックします。
  7. 別ウインドウにて [Properties updated successfully.] と表示されることを確認します。
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:2756361 - 最終更新日: 09/21/2012 09:24:00 - リビジョン: 3.0

Microsoft Exchange Server 2003 Enterprise Edition, Microsoft Exchange Server 2007 Enterprise Edition, Microsoft Exchange Server 2007 Standard Edition, Microsoft Exchange Server 2010 Enterprise, Microsoft Exchange Server 2010 Standard

  • kbdeployment kbexpertiseinter kbexpertiseadvanced KB2756361
フィードバック