ユーザーと権限

ユーザーとフォルダの設定

MailStoreのフォルダ構成

MailStoreは管理対象のユーザー毎に、メールボックスの構成をそのままアーカイブための最上位に相当するフォルダを自動生成します。このフォルダには、ユーザー専用にアーカイブされた全てのメールが入っていて、「マイアーカイブ」とラベルが付いています。

(例えばMailStore管理者など)ユーザーが、他のMailStoreユーザーのアーカイブに対してアクセス権を持つ場合、アクセス権を持つユーザーフォルダが、「<ユーザー名>のアーカイブ」として「その他のアーカイブ」以下に一覧表示されます。

これらのメインフォルダ以下には、それぞれの(例えばMicrosoft OutlookやExchangeメールボックスなどの)メールソースとそれぞれの(例えば受信ボックスなどの)フォルダ構成が一覧表示されます。

フォルダの削除

フォルダとその中のメールは管理者に権限を付与された場合に限り削除する事ができます。フォルダにサブフォルダが含まれている場合は、これらも併せて削除されます。

 

手動でのフォルダ移行、名称変更、作成

MailStore内で、フォルダは移動したり名称変更したり、新規に作成する事ができます。

通常、一般ユーザーは自分用のアーカイブ内でのみこれらの操作が行えますが、MailStore管理者は他のユーザーのフォルダに対してもこうした操作が行えます。アーカイブ処理中、MailStoreは(Microsoft Outlookなどの)ソースのフォルダ構成とフォルダ名を設定します。ユーザーアーカイブ間で大きなサイズのアーカイブを移動する場合、移動したメールの全てのテキストが移動先ユーザーのアーカイブとしてインデックスされるため、時間がかかる場合がある点にご注意ください。

 

「新規フォルダ...」と「名前の変更...」、「移動先...は、対象のアーカイブフォルダを右クリックしてアクセスできます。MailStore管理者がユーザーのアーカイブ名(フォルダ: <ユーザー名>のアーカイブ) をユーザー名を変えずに変更すると、ユーザー名が変更されるまで、空のアーカイブが生成されます。

メールの削除

削除するメールをCtrlキーを押しながらクリックし、ハイライトします。Ctrlキーを押したままAを押すと全てのメールが選択されます。ハイライトされたアイテムを右クリックし、削除を選択して下さい。これはMailStore管理者に権限を与えられた場合のみ行える操作です。

ユーザーへメールの削除許可を与える事は、推奨していません。こうした権限を与える事で、メール保存に対する法的要件を満たすのが、難しくなったり不可能になったりするためです。

メールの移動

対象のメールをCtrlキーを押しながらクリックし、ハイライトします。Ctrlキーを押したままAを押すと全てのメールが選択されます。ハイライトされたアイテムを右クリックし、フォルダへ移動…を選択し、宛先フォルダを選択します。また、選択したアイテムを対象フォルダへドラッグ&ドロップも行えます。メールの移動は、MailStore管理者以外は、ユーザーアーカイブ内でのみ行う事ができます。

 

ユーザー管理

メールがアーカイブされると、これらは全て(メールの元の所有者である)個々のユーザーへ割り当てられます。全てのMailStoreユーザーは、ユーザーアカウントの作成時に自動生成される自分自身のアーカイブを持つ事になります。このため、メールをアーカイブする前に、適切なユーザーアカウントを予め作成しておく必要があります。

新しいユーザーアカウントの作成方法

  • ユーザーの手動追加(ここで説明します。)
  • Active Directoryとでユーザー情報を同期
  • IceWarp Serverとでユーザー情報を同期
  • Kerio Connect Serverとでユーザー情報を同期
  • 一般的なLDAPサーバーとでユーザー情報を同期
  • MDaemonのUSERLIST.DATとでユーザー情報を同期

ユーザー管理画面の表示

MailStore Clientへ管理者としてログオンし、管理ツールのUsersをクリックします。

新しいユーザーの作成

[新規作成...]ボタンをクリックし、ログイン名を入力します。例えば、姓名の組み合わせなどで設定します。[OK]ボタンで確認します。次の画面で、追加の設定を行えます。再度[OK]をクリックし、新しい設定を確認します。ユーザーはユーザー一覧へ追加され、このセクションで後述する通り、いつでも編集できます。

注意点:新しいユーザーのメールはすぐにアーカイブされ、追加設定を行う必要はありません。ただし、MailStore Clientへログインできるようにするには、(認証が「MailStore統合済み」の場合)パスワードの初期設定が必要です。

既存ユーザーアカウントの編集

一覧からユーザーを選択し、「プロパティ」をクリックします。

  • 次のウィンドウで、以下の設定が行えます。

一般情報

  • フルネーム: ユーザーの姓名を入力します。
  • 認証: 「MailStore統合済み」を選択している場合、ユーザーはユーザー管理メニューで指定したパスワードを使ってMailStore Clientへログオンします。[パスワード…]をクリックしパスワードを設定します。ユーザーはMailStore Clientのインストールフォルダにある管理ツールからパスワードの変更を行う事ができます。

また、ディレクトリサービスの認証も選択できます。この場合、ユーザーは(例えばActive Directoryなどの)ディレクトリサービスの認証情報を使ってMailStoreへログオンする事ができます。

  • ユーザーは管理者です:管理者だけがMailStore Clientの管理ツールと管理シェルの管理機能へアクセスできます。

統合(オプション)

  • LDAP DN String: Active Directoryや一般的なLDAPサーバーなどの、LDAPベースのディレクトリサービスで認証を行う場合に設定します。
  • Eメールアドレス: 次のアーカイブオプションの場合のみ必要です:

    MailStore Proxy Server, Microsoft Exchange Journaling, 複数のExchangeメールボックス
  • POP3ユーザ名: MailStore Proxyを使ったアーカイブタスクを実行する場合のみ設定が必要です。POP3ユーザー名がメールアドレスと異なる場合、ここでユーザー名を指定する必要があります。

Privileges

権限は、「権限設定」セクションで別途説明しています。適切な権限が与えられていないと、ユーザーは(自分自身のものも含め)アーカイブからメールの削除を行う事はできません。

  • [OK]をクリックし、新しい設定を適用します。

ユーザー名の変更

対象ユーザーをリストから選択しRenameをクリックします。ダイアログウィンドウで、新しいユーザー名を入力しOKをクリックします。

ユーザーのアーカイブは手動でフォルダ名の変更が必要になるためご注意ください。これはユーザー権限、プロファイル、スケジュールタスクについても同様です。

ユーザーの削除

「管理ツール」 →「ユーザと権限」 をクリックし、「ユーザー」をクリックします。一覧からユーザーを選択し[削除]をクリックします。

ユーザーを削除してもアーカイブされた対象ユーザーのメールは削除されません。ユーザーの全メールのアーカイブは保持され、管理者からアクセスできます。

ユーザーを削除すると、アーカイブは残したままで、ユーザーライセンスが開放されます。このライセンスは新しく追加するユーザーへ割り当てる事ができます。

 

権限の設定

ユーザーの権限を設定するには「管理ツール」 →「ユーザと権限」の「ユーザー」をクリックします。一覧からユーザーを選択し、「プロパティ」をクリックします。

注意点: 複数ユーザーを選択し「プロパティ」をクリックすると、選択したユーザー全員の権限が一括で変更できます。

 

 

次の権限を割り当てられます:

MailStore Serverへのログオン

この権限を持つユーザーだけが、MailStore ClientからMailStore Serverへログオンできます。この権限がなくとも、メールは各ユーザー毎にアーカイブされます。

パスワードの変更

この権限を持つユーザーだけが、MailStoreの管理ツールの「パスワードの変更」からパスワード変更が行えます。この権限を持たないユーザーは管理者が(「MailStore統合済」認証の場合)ユーザー管理画面から作成したパスワードを使う必要があります。

Emailのアーカイブ

この権限を持つユーザーだけがアーカイブプロファイルを個別に実行し、メールをMailStore Server上にアーカイブする事ができます。注意点:  管理者はユーザー毎のメールをこの設定値に関わらずアーカイブする事ができます。ユーザーがアーカイブできるのは、MailStoreユーザーフォルダへの書き込み権限がある場合のみである事に注意して下さい。この設定は後述するフォルダへのアクセス権で説明します。

無制限: この権限を持つ全てのユーザーはアーカイブプロファイルの作成と編集が行えます。

既存のプロファイルのみを実行 – この権限を持つユーザーは既存のアーカイブプロファイルの実行のみが行え、プロファイルを新たに作成したり編集したりすることはできません。

プロファイルのみの管理 – この権限を持つユーザーは既存のアーカイブプロファイルの編集のみが行え、プロファイルを新たに作成したり実行したりすることはできません。『アーカイブプロファイルの利用』に関する章で、詳細な情報をご覧いただけます。

Emailのエクスポート

この権限を持つユーザーだけがMailStoreからメールをエクスポートできます。『メールのエクスポート』 の章を参照して下さい。

無制限: この権限を持つ全てのユーザーはエクスポートプロファイルの作成と編集が行えます。

既存のプロファイルのみを実行– この権限を持つユーザーは既存のエクスポートプロファイルの実行のみが行え、プロファイルを新たに作成したり編集したりすることはできません。

プロファイルのみの管理– この権限を持つユーザーは既存のエクスポートプロファイルの編集のみが行え、プロファイルを新たに作成したり実行したりすることはできません。

追加の情報は「エクスポートプロファイルの利用」を参照して下さい。

Emailの削除

この権限を持つユーザーだけがアーカイブからメールを削除できます。この権限は注意して使用して下さい。ユーザーが個々のメールを削除できてしまうと、メール保存に対する法的要件を満たすのが、難しくなったり不可能になったりするためです。一度削除されたメールは、MailStoreバックアップをリストアする事でしか復旧させる事ができません。

 

(他のユーザーのメールへのアクセスなどの)フォルダアクセス権

ユーザーがアクセスできる全てのメインフォルダがここへ一覧表示されます。これらのフォルダはMailStoreユーザー毎に割り当てられており、全メールアーカイブを含んでいます。デフォルトで、ユーザーは自分のアーカイブデータにのみアクセスできます。(読み込みと書き込みのみで、削除は行えません。)[新規追加...]をクリックすると、別のユーザーのメインフォルダが追加でき、現在アクセスしているユーザーからのみアクセスできるフォルダとして一覧に表示されます。許可するアクセス方法を設定する必要があります。次のオプションを選択できます。

  • フルアクセス
  • 読み取り
  • 書き込み
  • 削除

ユーザーへは、アクセスできるフォルダが、MailStore Clientで、フォルダ構成のエントリとして表示されます。詳しい情報は『MailStoreのフォルダ構成』のセクションを参照して下さい。ユーザーがアーカイブできるのは、MailStoreユーザーフォルダへの書き込み権限がある場合のみである事に注意して下さい。

 

 

フォルダへのアクセスに関する全ての権限の概要

フォルダアクセスに関する全ての権限を閲覧するには、「管理ツール」 →「ユーザと権限」の「権限」をクリックします。

 

 

最初のカラムは全てのユーザーのアーカイブを表示していて、2番目のカラムはユーザーアーカイブに対するアクセス権を持つユーザーを表示しています。3つ目は(読み取り、書き込みなど)アクセス権限の一覧です。

ユーザー管理

Active Directoryとの統合

Active Directoryとユーザー情報の同期

MailStoreユーザー情報は手動で追加する他に、社内のActive Directoryを参照する事ができます。同期中、ユーザーデータとメールアドレスがActive Directoryユーザーデータベースから収集され、MailStoreへ格納されます。MailStoreはActive Directoryに対する変更は行いません。

 

注意点: MailStore Serverはサブドメインや信頼するドメインには対応していません。

 

Active Directory Integrationへのアクセス

MailStore Clientへ管理者としてログオンし、「管理ツール」 →「ユーザと権限」の「ディレクトリサービス」へアクセスします。ここで、「ディレクトリサービスのタイプ」を 「Active Directoryへ変更します。

接続方法の設定

同期の前に、MailStoreがどのようにActive Directoryへアクセスするのかを設定する必要があります。

  • サーバ(オプション) 

    Active Directoryのホスト名かIPアドレスです。
  • ベースDN (オプション) 

    Active DirectoryのBase DN です。Base DNではActive Directoryのドメイン名がよく使用されます。例えば、Active Directoryのドメインがcompany.local だった場合、Base DNは一般的にdc=company,dc=localとなります。また、MailStoreサーバーがActive Directoryのメンバーだった場合は、設定が自動認識されるため、ダイアログボックスからBase DNが選択できるようになります。
  • 認証

    Active DirectoryとでMailStoreがどのように認証を行うかを設定します。

    • 標準の認証 - MailStore Server とActive Directoryが異なるサーバーへインストールされている場合はこちらを選択します。
    • Windows認証 - MailStore ServerとActive Directoy が同じサーバーへインストールされている場合はMailStore ServerサービスはWindows 認証も選択する事ができます。

同期の実行

接続設定が完了したら、「ユーザーデータベースの同期」からMailStoreユーザー情報をActive Directoryと同期できます。次のオプションが選択できます。

  • Microsoft Exchangeユーザのみを同期

    すべてのActive DirectoryユーザーをMailStoreへ追加する場合はこれを無効にして下さい。
  • 次のグループのみ同期

    これをチェックしてグループを選択すると、Active Directoryの選択グループのメンバーだけがMailStoreへ同期されます。

[設定のテスト] をクリックすると、同期を実行した際の動きを確認する事ができます。[今すぐ同期する] で同期を開始します。

 

Windows認証を使ったログイン

デフォルトではMailStoreで作成された各ユーザーはMailStore用に設定したパスワードでログインします。MailStore管理者はユーザーアカウントの設定の中でパスワードを指定できます。ユーザーはMailStore Clientで後からパスワード変更が行えます。

また、MailStore ServerはActive Directoryのパスワードを使ってログインするよう設定する事もできます。

Active Directoryと同期している場合のユーザー追加

MailStoreユーザーがActive Directoryと同期中に追加された場合、設定は自動で行われるため、手動での設定は必要ありません。

 

 

手動でのユーザー追加

MailStoreユーザーが手動で作成されていて、ActiveDirectoryのパスワードでログオンできるようにする場合は、次の手順で行います。

  • Active Directory 統合を『ユーザーアカウントのActive Directoryとの同期』を参照し、設定します。
  • MailStoreのユーザー名が Active Directoryのユーザーと一致している事を確認します。

認証の中のユーザープロパティウィンドウで、「ディレクトリサービス」を選択します。

 

MailStore Client シングルサインオン

Active Directory環境でのシングルサインオン機能の利用については、『MailStore Client の展開』を参照して下さい。

MDaemonとの統合

MDaemonユーザーデータベースとアカウント情報の同期

手動でのユーザー追加に加え、MailStoreは内部のアカウントデータベースをMDaemonのユーザーデータベースとして使用される、USERLIST.DATと同期できます。同期中、ユーザー情報とメールアドレスはMDaemonのユーザーデータベースからMailStoreへ取り込まれます。MailStoreはMDaemonのユーザーデータベースへは一切変更を行いません。同期は特定のドメインやグループに対してのみ行う事もできます。

 

ディレクトリサービスへのアクセス

  • MailStore 管理者でMailStore Clientへログオンします。
  • 「管理ツール」 →「ユーザと権限」→「ディレクトリサービス」をクリックします。
  • 統合の下のディレクトリサービスのタイプを 「MDaemon USERLIST.DAT」 へ変更します。

 

接続方法の設定

同期の実行前に、MailStoreではMDaemonへの接続設定が必要です。

  • MDaemon App ディレクトリ

    • のインストールフォルダのappディレクトリのパスを入力します。このappディレクトリには「Userlist.dat」と「Groups.dat」ファイルが含まれています。MailStore ServerがMDaemonと同じコンピューターへインストールされている場合、MDaemon appディレクトリは自動検出されます。MailStore ServerがMDaemonと異なるマシンへインストールされている場合は、MDaemonのappディレクトリを共有し、MDaemon AppディレクトリのパスをUNC(例えば、\\MDAEMON\MDApp)で入力します。

同期の実行

接続設定が完了したら、MailStoreのユーザー情報はMDaemonとで同期する事ができます。

同期は特定のドメインやグループへ限定する事もできます。この場合は「ドメインとグループ」の隣にあるボタンをクリックし、同期対象のグループやドメインをチェックして下さい。何も選択されていない場合は全ユーザーが同期対象となります。

設定のテストをクリックすると、今すぐ同期する、を実行した際、どのように同期が行われるかを確認する事ができます。同期を開始するには、「今すぐ同期する」をクリックして下さい。

 

MDaemonのアクセス情報を使用したログオン

デフォルトでは、MailStoreで作成されたユーザーはMailStore専用に作られたパスワード情報を割り当てられますMailStore管理者はユーザーアカウントの設定中にパスワードを設定します。ユーザーは管理ツール内でいつでもパスワード変更が行えます。同時に、MailStoreではMDaemonの認証情報でログオンできるよう設定する事ができます。

 

認証の設定

MDaemonの認証情報でMailStore Server へログオンするには、予め「認証」設定内で次の設定を行っておく必要があります。

  • MDaemon IMAP サーバ – 認証を行うMDaemonのホスト名またはIPアドレスです。
  • IMAPサーバへの経由先 – IMAPサーバへの接続がSSLで暗号化された通信かそうでないかを選択します。

IMAP-TLS またはIMAP-SSL の環境で、自己証明のSSL証明書を使用している場合は「SSL警告を無視」をチェックして下さい。これをチェックしていないと、認証に失敗します。

MDaemonとの同期でユーザーを追加した場合

MailStoreユーザーがMDaemonと同期した結果で追加された場合、追加の設定は必要ありません。MailStoreで必要な情報を自動設定します。

手動でのユーザー追加を行った場合

MailStoreユーザーを手動で作成し、このユーザーをMDaemonパスワードでログオンできるようにする場合は、次の手順で設定を行います。

  • MDaemonとの同期設定を行います。
  • MailStoreのユーザー名とMDaemonのユーザー名が同じである事を確認します。

ユーザープロパティウィンドウの認証の項目で、「ディレクトリサービス」を選択します。

 

一般的なLDAPとの統合

一般的なLDAPディレクトリサービスとアカウント情報の同期

手動でのユーザー追加に加え、MailStoreは内部のアカウントデータベースを(Open LDAPやNovell eDirectoryなどの)社内のLDAPディレクトリサービスと同期できます。同期中、ユーザー情報とメールアドレスはLDAPディレクトリからMailStoreへ取り込まれます。MailStoreはLDAPディレクトリへは一切変更を行いません。同期は特定のドメインやグループに対してのみ行う事もできます。

ディレクトリサービスへのアクセス

  • MailStore 管理者でMailStore Clientへログオンします。
  • 「管理ツール」 →「ユーザと権限」→「ディレクトリサービス」をクリックします。
  • 統合の下のディレクトリサービスのタイプを 「LDAP Generic へ変更します。

接続方法の設定

同期の前に、MailStoreがどのようにLDAPディレクトリへアクセスするのかを設定する必要があります。

LDAP接続

LDAPディレクトリサービスを提供するサーバーへの接続情報を指定します。

  • サーバ名 – LDAPディレクトリサービスサーバーのホスト名またはIPアドレスです。
  • 暗号化 – LDAPディレクトリサービスへ接続する時の暗号化方式を選択します。自己証明のSSL証明書を使用している場合は「SSL警告を無視」をチェックして下さい。
  • 管理用DN – 管理者権限を持つLDAPユーザーのDistinguished Name (DN)です。
  • パスワード - 管理用DNで指定したLDAPユーザのパスワードです。

LDAP スコープ

同期の範囲を設定します。

  • ベースDN - LDAP base DN,  例 dc=myfirm,dc=local
  • フィルタ - RFC 4515 [1] 互換のLDAPフィルタ,  例 &((objectclass=posixAccount)(mail=*))

 

LDAPの属性

MailStoreのユーザー属性とLDAPのユーザー属性を紐付けます。

  • ユーザー名 - ユーザー名となるLDAP属性,  例 cn または uid.
  • フルネーム(オプション) - フルネームとなるLDAP属性,  例 displayName.
  • Eメールアドレス(オプション)- SMTPアドレス用のLDAP属性  例 mail.   複数アドレスはカンマ区切りで指定します。

 

同期の実行

接続設定が完了したら、MailStoreのユーザー情報はLDAPユーザー情報とで同期する事ができます。

[設定のテスト]をクリックすると、[今すぐ同期する]を実行した際、どのように同期が行われるかを確認する事ができます。同期を開始するには、「今すぐ同期する」をクリックして下さい。

 

LDAPアクセス情報を使用したログオン

デフォルトでは、MailStoreで作成されたユーザーはMailStore専用に作られたパスワード情報を割り当てられますMailStore管理者はユーザーアカウントの設定中にパスワードを設定します。ユーザーは管理ツール内でいつでもパスワード変更が行えます。同時に、MailStoreでは(Open LDAPやNovell eDirectoryなどの)LDAPパスワードを使ってユーザーがログオンできるよう設定する事ができます。

LDAPディレクトリサービスとの同期でユーザーを追加した場合

MailStoreユーザーがLDAPディレクトリサービスを使って追加された場合、追加の設定は必要ありません。MailStoreで必要な情報を自動設定します。

 

 

手動でのユーザー追加を行った場合

MailStoreユーザーを手動で作成し、このユーザーをLDAPパスワードでログオンできるようにする場合は、次の手順で設定を行います。

  • 『一般的なLDAPディレクトリサービスとアカウント情報の同期 』の章の説明に従って、LDAPディレクトリサービスとの同期設定を行います。
  • MailStoreユーザーがLDAPディレクトリサービス内の対応するユーザーと同じ名前を持っていることを確認してください。
  • ユーザープロパティウィンドウの認証の項目で、「ディレクトリサービス」を選択します。

 

参照

[1] http:/ / tools. ietf. org/ html/ rfc4515