CIFSサーバ上のデータを保護する集約型アクセスポリシーを設定する
変更を提案
PDF
集約型アクセスポリシーを使用してCIFSサーバ上のデータへのアクセスを保護するには、CIFSサーバでのダイナミックアクセス制御(DAC)の有効化、Active Directoryでの集約型アクセスポリシーの設定、GPOを含むActive Directoryコンテナへの集約型アクセスポリシーの適用、CIFSサーバでのGPOの有効化など、いくつかの手順を実行する必要があります。
-
集約型アクセスポリシーを使用するようにActive Directoryを設定する必要があります。
-
集約型アクセスポリシーを作成し、CIFSサーバを含むコンテナにGPOを作成して適用するには、Active Directoryドメインコントローラに対する十分なアクセスが必要です。
-
必要なコマンドを実行するには、Storage Virtual Machine(SVM)に対する十分な管理アクセスが必要です。
集約型アクセスポリシーは、Active Directoryのグループポリシーオブジェクト(GPO)に定義されて適用されます。集約型アクセスポリシーとGPOの設定手順については、Microsoft TechNetライブラリを参照してください。
-
コマンドを使用して、SVMのダイナミックアクセス制御を有効にしていない場合は有効にし `vserver cifs options modify`ます。
vserver cifs options modify -vserver vs1 -is-dac-enabled true -
コマンドを使用して、CIFSサーバでグループポリシーオブジェクト(GPO)を有効にしていない場合は有効にし `vserver cifs group-policy modify`ます。
vserver cifs group-policy modify -vserver vs1 -status enabled -
Active Directoryで集約型アクセスルールと集約型アクセスポリシーを作成します。
-
グループポリシーオブジェクト(GPO)を作成して、Active Directoryに集約型アクセスポリシーを導入します。
-
CIFSサーバのコンピュータアカウントが配置されているコンテナにGPOを適用します。
-
コマンドを使用して、CIFSサーバに適用されたGPOを手動で更新します
vserver cifs group-policy update。vserver cifs group-policy update -vserver vs1 -
コマンドを使用して、CIFSサーバ上のリソースにGPO集約型アクセスポリシーが適用されていることを確認します
vserver cifs group-policy show-applied。次の例は、デフォルトのドメインポリシーに2つの集約型アクセスポリシーがあり、それらがCIFSサーバに適用されていることを示しています。
vserver cifs group-policy show-appliedVserver: vs1 ----------------------------- GPO Name: Default Domain Policy Level: Domain Status: enabled Advanced Audit Settings: Object Access: Central Access Policy Staging: failure Registry Settings: Refresh Time Interval: 22 Refresh Random Offset: 8 Hash Publication Mode for BranchCache: per-share Hash Version Support for BranchCache: all-versions Security Settings: Event Audit and Event Log: Audit Logon Events: none Audit Object Access: success Log Retention Method: overwrite-as-needed Max Log Size: 16384 File Security: /vol1/home /vol1/dir1 Kerberos: Max Clock Skew: 5 Max Ticket Age: 10 Max Renew Age: 7 Privilege Rights: Take Ownership: usr1, usr2 Security Privilege: usr1, usr2 Change Notify: usr1, usr2 Registry Values: Signing Required: false Restrict Anonymous: No enumeration of SAM accounts: true No enumeration of SAM accounts and shares: false Restrict anonymous access to shares and named pipes: true Combined restriction for anonymous user: no-access Restricted Groups: gpr1 gpr2 Central Access Policy Settings: Policies: cap1 cap2 GPO Name: Resultant Set of Policy Level: RSOP Advanced Audit Settings: Object Access: Central Access Policy Staging: failure Registry Settings: Refresh Time Interval: 22 Refresh Random Offset: 8 Hash Publication Mode for BranchCache: per-share Hash Version Support for BranchCache: all-versions Security Settings: Event Audit and Event Log: Audit Logon Events: none Audit Object Access: success Log Retention Method: overwrite-as-needed Max Log Size: 16384 File Security: /vol1/home /vol1/dir1 Kerberos: Max Clock Skew: 5 Max Ticket Age: 10 Max Renew Age: 7 Privilege Rights: Take Ownership: usr1, usr2 Security Privilege: usr1, usr2 Change Notify: usr1, usr2 Registry Values: Signing Required: false Restrict Anonymous: No enumeration of SAM accounts: true No enumeration of SAM accounts and shares: false Restrict anonymous access to shares and named pipes: true Combined restriction for anonymous user: no-access Restricted Groups: gpr1 gpr2 Central Access Policy Settings: Policies: cap1 cap2 2 entries were displayed.