特に制限を強化したくないのであれば、権限を委譲するユーザー、グループを
Builtin/Account Operatorsグループに所属させるだけでよいのですが、
このままでは、ユーザー、グループの作成、削除、プロパティの変更など、
すべての権限が可能となっています。
そこで、一旦、Account Operatorsグループに所属させた後、
各コンテナのセキュリティタブで
Account Operatorsの危険な権限を無効(削除してしまう)にしてしまうのがよいです。
無効化する権限の例としては、
【ユーザー、グループ格納用としたOU】
・ユーザーオブジェクトの削除 (不用意な削除を防ぐ場合)
・グループオブジェクトの削除 (不用意な削除を防ぐ場合)
・コンピュータの作成、削除 (クライアントがすべてターミナルサーバーの場合)
・OU作成、削除権限の付与 (場合によっては)
【Usersコンテナ】
作成はともかく、重要なユーザーを削除されてはたまらない。
・ユーザーオブジェクトの削除
・グループオブジェクトの削除
【Computersコンテナ】
クライアントがすべてターミナルサーバーの場合は全権削除
【コンピューター格納用としたOU】
クライアントがすべてターミナルサーバーの場合は全権削除
もしくは、最初からAccount Operatorsグループをあてにせず、
「オブジェクト制御の委任ウィザード」などをつかって、
一般のグループやユーザーに権限を委譲するほうがよいです。
というのは、Builtinの中の特権グループには色々と秘密があり、
■委任されたアクセス許可を利用できず継承が自動的に無効になる
簡単にいうと下記の保護グループに属しているオブジェクトのACLは
ActiveDirectoryによって決め打ちされるため(セキュリティ保持のためらしい)
実際に属しているOUのACLはあえて継承しないようになっているそうな。
・Administrators
* Account Operators
* Server Operators
* Print Operators
* Backup Operators
* Domain Admins
* Schema Admins
* Enterprise Admins
* Cert Publishers
だったら、最初から「上からのアクセス許可を継承する」に
チェックなんか入れさせないようにすればよさそうなもんですが、
そういう仕組みではなくて、1時間に1回操作マスタがACLを書きもどすそうです。
んだから、かってに権限を剥奪されてしまうわけでした。
あと、Account Operatorsに属していると、
Exchange Serverの管理権限を与えても、「ActiveDirectory ユーザーとコンピュータ」ツールから
「電子メールアドレス」タブの編集ができなくなってしまうこともありました。
※後述のExchangeアカウントの作成も参照。
まあ、そんなわけで、Builtinグループを使うのは細かい制御をしたい場合にはお勧めしません。
■最終的にはOUのプロパティで「セキュリティ」タブ->「詳細」をみると、このような権限になる。
※セキュリティタブを見るにはMMCの「表示」ツールバーから「拡張機能」を選ぶ
種類 名前 アクセス許可 継承元 適用先 -------------------------------------------------------------------------------------------------------- 許可 account フルコントロール <継承なし> グループオブジェクト 許可 account フルコントロール <継承なし> ユーザーオブジェクト 許可 account フルコントロール <継承なし> 連絡先オブジェクト 許可 account グループオブジェクト OU=ue,DC=my,DC=local このオブジェクトとすべての子オブジェクト 許可 account ユーザーオブジェクト OU=ue,DC=my,DC=local このオブジェクトとすべての子オブジェクト 許可 account 連絡先オブジェクト OU=ue,DC=my,DC=local このオブジェクトとすべての子オブジェクト
■Exchange Server とActiveDirecotryが連携している場合は、
メールボックスを作成する権限を付与する必要がある。
まず、管理者がExchangeシステムマネージャの
「管理グループ」=>「最初の管理グループ」を右クリックし、
「制御の委任」を選択すると、Exchange管理委任ウィザードが始まる。
しかし、このウィザードでは
「Exchange管理者」
「Exchange管理者(完全)」
「Exchange管理者(参照のみ可)」
の3パターンしか選べない。
とりあえず、 「Exchange管理者」以上の権限を与えなければ
メールボックスの作成もできないので、
この権限をAccount Operatorsではなく、一般のユーザー、グループに付与する。
※というのはなぜかというと、Account Operatorsに権限を付与すると、「電子メールアドレス」タブにおいて、メールアドレスの追加、削除、編集ができなくなってしまうのであった。
この環境はWindows Server 2003(SPなし)+Exchange Server 2003 Enterprise Edition(SPなし)
さて、メールボックスをつくったり、メールアドレスを設定したりする操作は
Exchangeサーバーのシステムマネージャがインストールされている状態の
「Active Directory ユーザーとコンピュータ」で行うが、
ここでExchangeシステムマネージャも操作されて、
Exchangeサーバー内のオブジェクトを自由に操作されてしまうのも危険である。
そこで、Account Operatorsにしたユーザーの所属するOUのグループポリシーで制御する。 グループポリシーの「ユーザーの構成」の方で、
「管理用テンプレート」 ->「Windows コンポーネント」 ->「Microsoft管理コンソール」 ※「明示的に許可されているスナップインだけに制限する」を有効これで、Exchangeシステムマネージャを操作されることはない。->「制限および許可するスナップイン」 ※「Active Directory ユーザーとコンピュータ」だけ有効
■さらに、Windows Server 2003 SP1 + Exchange Server 2003 SP2の組み合わせだと、
下記の障害が起きる可能性があります。
a "何も番号: c10308a2 " Active Directory ユーザーを使用し、そしてコンピュータがコンピュータ Exchange Server 2003 でのメールが有効なユーザーの電子メール アドレスをリモート追加する、またはコンピュータ リモート編集するとき、スナップインする場合、エラー メッセージ受信します。
http://support.microsoft.com/kb/905809/ja
