日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

CIFS サーバ上のデータを保護する集約型アクセスポリシーを設定します

寄稿者 netapp-thomi

集約型アクセスポリシーを使用した CIFS サーバ上のデータへのアクセスを保護するためには、 CIFS サーバでの Dynamic Access Control ( DAC ;ダイナミックアクセス制御)の有効化、 Active Directory での集約型アクセスポリシーの設定、 GPO を使用した Active Directory コンテナへの集約型アクセスポリシーの適用、 CIFS サーバで GPO を有効にします。

作業を開始する前に
  • 集約型アクセスポリシーを使用するには、 Active Directory を設定する必要があります。

  • 集約型アクセスポリシーを作成し、 CIFS サーバを含むコンテナに GPO の作成と適用を行うには、 Active Directory ドメインコントローラに対して十分なアクセスが必要です。

  • 必要なコマンドを実行するためには、 Storage Virtual Machine ( SVM )で十分な管理アクセスが必要です。

集約型アクセスポリシーは、 Active Directory のグループポリシーオブジェクト( GPO )に対して定義および適用されます。集約型アクセスポリシーと GPO の設定については、 Microsoft TechNet ライブラリを参照してください。

手順
  1. SVM でダイナミックアクセス制御がまだ有効になっていない場合は、「 vserver cifs options modify 」コマンドを使用して有効にします。

    「 vserver cifs options modify -vserver vs1 -is-DAC -enabled true 」というエラーが表示されます

  2. vserver cifs group-policy modify コマンドを使用して CIFS サーバのグループポリシーオブジェクト( GPO )を有効化していない場合は、有効化します。

    「 vserver cifs group-policy modify -vserver vs1 -status enabled 」

  3. Active Directory で集約型アクセスルールと集約型アクセスポリシーを作成します。

  4. グループポリシーオブジェクト( GPO )を作成して Active Directory に集約型アクセスポリシーを導入します。

  5. CIFS サーバコンピュータアカウントが存在するコンテナに GPO を適用します。

  6. vserver cifs group-policy update コマンドを使用して、 CIFS サーバに適用された GPO を手動で更新します。

    「 vserver cifs group-policy update -vserver vs1 」

  7. vserver cifs group-policy show-applied コマンドを使用して、 GPO 集約型アクセスポリシーが CIFS サーバのリソースに適用されていることを確認します。

    次の例は、デフォルトのドメインポリシーに、 CIFS サーバに適用される 2 つの集約型アクセスポリシーがあることを示しています。

    「 vserver cifs group-policy show-applied 」のように表示されています

    Vserver: vs1
    -----------------------------
        GPO Name: Default Domain Policy
           Level: Domain
          Status: enabled
      Advanced Audit Settings:
          Object Access:
              Central Access Policy Staging: failure
      Registry Settings:
          Refresh Time Interval: 22
          Refresh Random Offset: 8
          Hash Publication Mode for BranchCache: per-share
          Hash Version Support for BranchCache: all-versions
      Security Settings:
          Event Audit and Event Log:
              Audit Logon Events: none
              Audit Object Access: success
              Log Retention Method: overwrite-as-needed
              Max Log Size: 16384
          File Security:
              /vol1/home
              /vol1/dir1
          Kerberos:
              Max Clock Skew: 5
              Max Ticket Age: 10
              Max Renew Age:  7
          Privilege Rights:
              Take Ownership: usr1, usr2
              Security Privilege: usr1, usr2
              Change Notify: usr1, usr2
          Registry Values:
              Signing Required: false
          Restrict Anonymous:
              No enumeration of SAM accounts: true
              No enumeration of SAM accounts and shares: false
              Restrict anonymous access to shares and named pipes: true
              Combined restriction for anonymous user: no-access
          Restricted Groups:
              gpr1
              gpr2
      Central Access Policy Settings:
          Policies: cap1
                    cap2
    
        GPO Name: Resultant Set of Policy
           Level: RSOP
      Advanced Audit Settings:
          Object Access:
              Central Access Policy Staging: failure
      Registry Settings:
          Refresh Time Interval: 22
          Refresh Random Offset: 8
          Hash Publication Mode for BranchCache: per-share
          Hash Version Support for BranchCache: all-versions
      Security Settings:
          Event Audit and Event Log:
              Audit Logon Events: none
              Audit Object Access: success
              Log Retention Method: overwrite-as-needed
              Max Log Size: 16384
          File Security:
              /vol1/home
              /vol1/dir1
          Kerberos:
              Max Clock Skew: 5
              Max Ticket Age: 10
              Max Renew Age:  7
          Privilege Rights:
              Take Ownership: usr1, usr2
              Security Privilege: usr1, usr2
              Change Notify: usr1, usr2
          Registry Values:
              Signing Required: false
          Restrict Anonymous:
              No enumeration of SAM accounts: true
              No enumeration of SAM accounts and shares: false
              Restrict anonymous access to shares and named pipes: true
              Combined restriction for anonymous user: no-access
          Restricted Groups:
              gpr1
              gpr2
      Central Access Policy Settings:
          Policies: cap1
                    cap2
    2 entries were displayed.