Enterprise Vault には、RBA ロールのメンバーを管理するために使うことができる Add-EVRBARoleMember と Remove-EVRBARoleMember cmdlet が用意されています。
これらの cmdlet を使うには、ボルトサービスアカウントを使ってログインする必要がありま す。
Enterprise Vault RBA ロールにメンバーを追加する方法
1 ボルトサービスアカウントを使って Enterprise Vault サーバーにログインします。
2 Enterprise Vault 管理シェルを起動します。
3 Add-EVRBARoleMember を実行して、メンバーを追加します。
次に例を示します。
Add-EVRBARoleMember -Identity "File Server Administrator" -Members
"JohnDoe", "fsaAdmins",
"S-1-5-21-1529523603-1500826627-74573220-1119"
この例では、Add-EVRBARoleMember は JohnDoe というユーザー、fsaAdmins セ キュリティグループ、その SID によって識別されるもう 1 つのアカウントを “File Server Administrator” ロールに割り当てます。 -EVDirectoryServer パラメータは必須 ですが、可能な場合は Add-EVRBARoleMember によって自動的に判別されます。
Add-EVRBARoleMember は、出力をまったく返さない、または他の cmdlet へのパイプ処 理された入力として使うことのできるタイプ
Symantec.EnterpriseVault.Admin.EVRbaRole の新たに修正されたオブジェクトを 返します。
第 2 章 管理者のセキュリティの管理 33 役割ベースの管理
Enterprise Vault RBA ロールからメンバーを削除する方法
1 ボルトサービスアカウントを使って Enterprise Vault サーバーにログインします。
2 Enterprise Vault 管理シェルを起動します。
3 Remove-EVRBARoleMember を実行して、メンバーを削除します。
次に例を示します。
Remove-EVRBARoleMember -Identity "File Server Administrator"
-Members "JohnDoe", "fsaAdmins",
"S-1-5-21-1529523603-1500826627-74573220-1119"
この例では、Remove-EVRBARoleMemberは JohnDoe というユーザー、fsaAdmins セキュリティグループ、その SID によって識別されるもう 1 つのアカウントを “File Server Administrator” ロールから削除します。 -EVDirectoryServer パラメータ は必須ですが、可能な場合は Remove-EVRBARoleMember によって自動的に判別 されます。
Remove-EVRBARoleMember は、出力をまったく返さない、または他の cmdlet へのパイ プ処理された入力として使うことのできるタイプ
Symantec.EnterpriseVault.Admin.EVRbaRole の新たに修正されたオブジェクトを 返します。
使用例を含む、Add-EVRBARoleMember と Remove-EVRBARoleMember の実行につい て詳しくは、Enterprise Vault 管理シェルのプロンプトで次のコマンドを入力してください。
Get-Help -full Add-EVRBARoleMember Get-Help -full Remove-EVRBARoleMember
RBA ロールのカスタマイズ
カスタム RBA ロールを作成する、または特定のロールが実行することを許可されている 低レベルの操作を変更する場合は、最初に Enterprise Vault ディレクトリから RBA スト アを XML ファイル形式でダウンロードする必要があります。
その後で、XML を編集して、お使いの環境の要件に合わせて RBA ストアをカスタマイ ズできます。
RBA ストアに必要な変更を加えたら、それを Enterprise Vault ディレクトリにアップロー ドできます。
Enterprise Vault には、RBA ストアのダウンロードとアップロードを実行できる 2 つの PowerShell cmdlet が用意されています。 これらの cmdlet は、Enterprise Vault 管理 シェルを実行するときに自動的にロードされる
Symantec.EnterpriseVault.PowerShell.AdminAPI.dll によって提供されます。
第 2 章 管理者のセキュリティの管理 34 役割ベースの管理
これらの cmdlet を使うには、ボルトサービスアカウントを使ってログインする必要がありま す。
表 2-6 RBA ストアの cmdlet 説明 cmdlet
Enterprise Vault ディレクトリから EvAzStore.xml とい うファイルに RBA ストアをダウンロードします。
Get-EVRBAAzStoreXml
EvAzStore.xml から Enterprise Vault ディレクトリに RBA ストアをアップロードします。
Set-EVRBAAzStoreXml
次のセクションでは、これらの cmdlet を使って RBA ストアのダウンロードとアップロード を行う方法について説明します。
■ 「RBA ストアのダウンロード」
■ 「RBA ストアのアップロード」
RBA ストアのダウンロード
RBA ストアを Enterprise Vault ディレクトリからダウンロードするには、
Get-EVRBAAzStoreXml を使います。 Get-EVRBAAzStoreXml は、指定場所の EvAzStore.xml という XML ファイルに RBA ストアを書き込みます。
Enterprise Vault ディレクトリから RBA ストアを抽出する方法
1 ボルトサービスアカウントを使って Enterprise Vault サーバーにログインします。
2 Enterprise Vault 管理シェルを起動します。
3 Get-EVRBAAzStoreXml を実行して RBA ストアを抽出します。
次に例を示します。
Get-EVRBAAzStoreXml -FolderPath "C:¥EvAzStoreXmlLocation"
-EVDirectoryServer "evserver.example.com"
このコマンドは -FolderPath パラメータを使って Get-EVRBAAzStoreXml が RBA ストアをダウンロードする場所を指定します。 -EVDirectoryServer パラメータは必 須ですが、可能な場合はそのパラメータを Get-EVRBAAzStoreXml が自動的に決 めることに注意してください。
その他の使用例も含めた、Get-EVRBAAzStoreXmlの実行について詳しくは、Enterprise Vault 管理シェルのプロンプトで次のコマンドを入力してください。
Get-Help -full Get-EVRBAAzStoreXml
第 2 章 管理者のセキュリティの管理 35 役割ベースの管理
RBA ストアの編集
RBA ストアの編集について詳しくは、Veritas サポート Web サイトの次の記事を参照し てください。
http://www.veritas.com/docs/000076648
RBA ストアのアップロード
EvAzStore.xml の RBA ストアを指定場所から Enterprise Vault ディレクトリにアップ ロードするには、Set-EVRBAAzStoreXml を使います。
Enterprise Vault ディレクトリに RBA ストアをアップロードする方法
1 ボルトサービスアカウントを使って Enterprise Vault サーバーにログインします。
2 Enterprise Vault 管理シェルを起動します。
3 Set-EVRBAAzStoreXml を実行して RBA ストアをアップロードします。
次に例を示します。
Set-EVRBAAzStoreXml -FolderPath "C:¥EvAzStoreXmlLocation"
-EVDirectoryServer "evserver.example.com"
このコマンドは、-FolderPath パラメータを使って Get-EVRBAAzStoreXml が EvAzStore.xml というファイルになくてはならない RBA ストアを検索できる場所を 指定します。 -EVDirectoryServer パラメータは必須ですが、可能な場合はその パラメータを Get-EVRBAAzStoreXml が自動的に決めることに注意してください。
その他の使用例も含めた、Set-EVRBAAzStoreXmlの実行について詳しくは、Enterprise Vault 管理シェルのプロンプトで次のコマンドを入力してください。
Get-Help -full Set-EVRBAAzStoreXml
現在の役割の資格の判断
現在の役割や実行可能なタスクを判断するために、役割の資格を一覧表示できます。
現在の役割資格を判断する方法
1 管理コンソールで、[ディレクトリ]コンテナを右クリックし、ショートカットメニューの[役 割の表示]をクリックします。
2 一覧のコピーを保持する場合は、[クリップボードにコピー]をクリックします。必要に 応じて、このテキストを文書やメールメッセージに貼り付けることができます。
3 [OK]をクリックします。
第 2 章 管理者のセキュリティの管理 36 役割ベースの管理
すべての役割と割り当てのリセット
インストール時と同じ状態にするために、レジストリ値を使ってすべての役割と役割の割り 当てをリセットできます。
ResetAuthorizationStore 値について詳しくは、『レジストリ値』ガイドを参照してください。
権限を使ったアクセス制御
Enterprise Vault をインストールまたはアップグレードすると、ボルトサービスアカウントの みで管理コンソールにアクセスできます。 必要に応じて、ボルトサービスアカウントを使っ て管理用役割を割り当てることができます。
管理者は、付与されている役割に関係なく、その役割に関連するすべての管理コンソー ルのコンテナにアクセスできます。たとえば、メッセージ管理者は、Enterprise Vault サイ トのすべての Exchange Server と Domino サーバーにアクセスできます。
管理者権限を割り当てて、管理コンソールの個々のコンテナへのアクセス権を付与また は拒否できます。たとえば、管理者に 1 つの Exchange Server コンピュータへのアクセ ス権を付与できます。
権限を割り当てて、次の管理コンソールのコンテナへのアクセス権を付与または拒否で きます。
■ ファイルサーバー
■ Exchange Server
■ Domino サーバー
■ SharePoint Web アプリケーション
■ Enterprise Vault サーバー
コンテナの権限を修正するとすぐに、定義した一覧によってコンテナとその内容へのアク セスが制御されます。この場合の唯一の例外として、ボルトサービスアカウントには常に アクセス権があります。
たとえば、特定の Exchange Server へのアクセス権を持たないメッセージ管理者は、そ の Exchange Server のメールボックスを有効にできません。これは、メールボックスの有 効化ウィザードは、管理者がその Exchange Server 上のメールボックスを一覧表示する ことを許可しないためです。
すべての管理者がコンテナへのアクセス権を持つ状態に戻す必要がある場合は、そのコ ンテナの管理者権限一覧にあるすべてのエントリを削除する必要があります。
第 2 章 管理者のセキュリティの管理 37 権限を使ったアクセス制御
コンテナへのアクセス権を付与または拒否する方法
1 ボルトサービスアカウントを使って、管理コンソールを起動します。
2 管理コンソールで、権限を適用するファイルサーバー、Exchange Server、
SharePoint Web アプリケーション、または Enterprise Vault サーバーを右クリック し、ショートカットメニューの[プロパティ]をクリックします。
3 [管理者権限]タブをクリックします。一覧に、このコンピュータを管理する権限を付 与または拒否された特定のユーザーやグループが表示されます。
4 一覧にエントリを追加する場合は、[追加]をクリックし、次のように操作します。
■ 最初のエントリを一覧に追加する際に、一覧にエントリを追加するとアクセス権を 付与されたユーザーへのアクセスが制限されるという警告が表示されます。[OK]
をクリックします。
■ [ユーザーとグループの追加]ウィンドウで、コンテナへのアクセス権を付与また は拒否するユーザーやグループを追加します。[OK]をクリックします。
これで[管理者権限]一覧に追加したユーザーとグループが表示され、それぞれ の横に[付与]と[拒否]オプションが表示されます。
5 リストからエントリを削除する場合は、そのエントリをクリックして選択し[削除]をクリッ クします。
6 必要に応じて、各ユーザーとグループに対して、このコンテナに対するアクセス権を 付与する場合は[付与]を、コンテナに対するアクセス権を拒否する場合は[拒否]を 選択します。
7 一覧からエントリを削除する場合は、エントリをクリックして選択し、[削除]をクリックし ます。
8 [OK]をクリックして[コンピュータプロパティ - XXXXX]を閉じます。
一覧からすべてのエントリを削除した場合は、このコンテナへのアクセスを許可され た役割のすべての管理者がアクセスできるようになったことを示す警告が表示されま す。[OK]をクリックします。
ボルトサービスアカウントの変更
このセクションでは、ボルトサービスアカウントを変更する場合の手順について説明しま す。
メモ: アカウント名を変更すると大量の作業が発生し、それに伴う間違いを修正するのに 時間がかかる可能性があるため、可能な場合はアカウント名を変更しないことを推奨しま す。
アカウントを変更する前に、次のことを確認してください。
第 2 章 管理者のセキュリティの管理 38 ボルトサービスアカウントの変更