@IT情報マネジメント会議室は、2009年4月15日に新システムに移行しました。
新たに書き込みを行う場合には、新しい会議室をご利用ください。
- PR -

WindowsServer2003のPOP3サービス管理専用権限を作りたい

1
投稿者投稿内容
うるは
会議室デビュー日: 2006/11/24
投稿数: 2
投稿日時: 2006-11-24 18:43
おせわになります。
メールサーバの権限管理について質問させてください。

いま、以下のような環境になっています。
(全てOS標準の機能を利用)

サーバ@(WindowsServer2003)
 ├ドメインコントローラ
 ├DNSサーバ
 └メールサーバ

サーバA(Windows2000Server)
 ├ファイルサーバ
 └プリンタサーバ

サーバB(Windows2000Server)
 └IISサーバ

ここで、サーバ@のメールサーバにおいて、メールボックスの作成など、
メールに関する管理作業ができるグループを作りたいと思います。
ただし権限としてはあくまでメールの管理のみで、
ActiveDirectryやGroupPolicyなどはいじらせたくありません。

こうした権限の作成は可能でしょうか?

おわかりの方がいましたらご教示よろしくお願いいたします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-11-24 21:48
こんばんわ.
引用:

うるはさんの書き込み (2006-11-24 18:43) より:

ここで、サーバ@のメールサーバにおいて、メールボックスの作成など、
メールに関する管理作業ができるグループを作りたいと思います。
ただし権限としてはあくまでメールの管理のみで、
ActiveDirectryやGroupPolicyなどはいじらせたくありません。

OS の仕組みから考えて無理だと思います.
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2006-11-24 23:20
いろいろ書いているようですけど、どこでやるの?

引用:

kazさんの書き込み (2006-11-24 21:48) より:
引用:

うるはさんの書き込み (2006-11-24 18:43) より:

ここで、サーバ@のメールサーバにおいて、メールボックスの作成など、
メールに関する管理作業ができるグループを作りたいと思います。
ただし権限としてはあくまでメールの管理のみで、
ActiveDirectryやGroupPolicyなどはいじらせたくありません。

OS の仕組みから考えて無理だと思います.


そんなことはないでしょう。

AD の file や registry は当然として、AD の object にも ACL があるわけで、それをうまく編集してやれば、通常の user でも管理者並みの権限を持たせることができます。

ただ、それをやるとなると工数が結構かかるんですがね。

[追記]
ただし、私も AD と他の機能の同居はお勧めしません。
[/追記]

[ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2006-11-24 23:25 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-11-25 00:00
引用:

ちゃっぴさんの書き込み (2006-11-24 23:20) より:
いろいろ書いているようですけど、どこでやるの?

引用:

kazさんの書き込み (2006-11-24 21:48) より:
引用:

うるはさんの書き込み (2006-11-24 18:43) より:

ここで、サーバ@のメールサーバにおいて、メールボックスの作成など、
メールに関する管理作業ができるグループを作りたいと思います。
ただし権限としてはあくまでメールの管理のみで、
ActiveDirectryやGroupPolicyなどはいじらせたくありません。

OS の仕組みから考えて無理だと思います.


そんなことはないでしょう。

AD の file や registry は当然として、AD の object にも ACL があるわけで、それをうまく編集してやれば、通常の user でも管理者並みの権限を持たせることができます。

はい,そんなこと無いと思います.
ご指摘の通り,手練手管を尽くせばあるいは可能かもしれません.
でも,それを考えて実際に設定するまでに至るところまで考えたら,
現実には
引用:

ただ、それをやるとなると工数が結構かかるんですがね。

ということ以上に,
引用:

[追記]
ただし、私も AD と他の機能の同居はお勧めしません。
[/追記]

という点でかなりの苦心惨憺が想像されます.
それでも「できます」と答えることはできますか?
技術的にとことん追求すればいつの日かできるかもしれないことを
「できるはず」と答えるのは玄人の清談でしかないように思われます.
ましてや運用面を鑑みれば「できない」という答えが適切に思えました.

それで不親切な説明ではありますが,
引用:

OS の仕組みから考えて無理だと思います.

とかなり端折って書いています.

例えば Linux で Webmin のような Tool を使うことで,
OS そのものへ login しなくても隔絶された範囲で
管理権限を有する状況は作り出せるでしょう.
ですが,Windows でそのような状況を作るには,
Windows Server の基本機能では心当たりがありません.

以上,ご参考までに.
うるは
会議室デビュー日: 2006/11/24
投稿数: 2
投稿日時: 2006-11-25 00:38
Kazさん、ちゃっぴさん、ご親切にありがとうございます。
お二人のやりとりのおかげで状況が分かってまいりました。

私としてはDCと共存させてしまったメールサーバを
移動させることを手間だと考えて、権限管理で何とか
できないかと思っていたのですが、そういった意味で
この要件を追求しようとすると本末転倒になるということですね。

個人的には興味のあるところですが、
工数をかけられない部分なのでメールサーバを移設するなどの
対処を選択しようと思います。

おかげさまで根拠ある判断ができました。

ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)