ONTAP SMBサーバ上のデータを保護するための集中アクセスポリシーを構成する
変更を提案
PDF
集約型アクセス ポリシーを使用してCIFSサーバのデータへのアクセスを保護するには、CIFSサーバでのダイナミック アクセス制御(DAC)の有効化、Active Directoryでの集約型アクセス ポリシーの設定、GPOが設定された集約型アクセス ポリシーのActive Directoryコンテナへの適用、CIFSサーバでのGPOの有効化など、いくつかの手順を実行する必要があります。
-
集約型アクセス ポリシーを使用するには、Active Directoryを設定する必要があります。
-
集約型アクセス ポリシーを作成し、CIFSサーバを含むコンテナにGPOの作成と適用を行うには、Active Directoryドメイン コントローラに対して十分なアクセスが必要です。
-
必要なコマンドを実行するためには、Storage Virtual Machine(SVM)で十分な管理アクセスが必要です。
集約型アクセスポリシーは、Active Directory 上のグループポリシーオブジェクト(GPO)に定義され、適用されます。Active Directory 上で集約型アクセスポリシーを構成する方法については、Microsoft TechNet ライブラリをご覧ください。
-
SVM でダイナミック アクセス コントロールがまだ有効になっていない場合は、 `vserver cifs options modify`コマンドを使用して有効にします。
vserver cifs options modify -vserver vs1 -is-dac-enabled true -
`vserver cifs group-policy modify`コマンドを使用して、CIFSサーバー上のグループポリシーオブジェクト(GPO)がまだ有効になっていない場合は有効にします。
vserver cifs group-policy modify -vserver vs1 -status enabled -
Active Directoryで集約型アクセス規則と集約型アクセス ポリシーを作成します。
-
グループ ポリシー オブジェクト(GPO)を作成してActive Directoryに集約型アクセス ポリシーを導入します。
-
CIFSサーバ コンピュータ アカウントが存在するコンテナにGPOを適用します。
-
`vserver cifs group-policy update`コマンドを使用して、CIFSサーバーに適用されているGPOを手動で更新します。
vserver cifs group-policy update -vserver vs1 -
`vserver cifs group-policy show-applied`コマンドを使用して、GPO 集中アクセス ポリシーが CIFS サーバー上のリソースに適用されていることを確認します。
次の例は、Default Domain Policyに、CIFSサーバに適用される集約型アクセス ポリシーが2つ含まれていることを示しています。
vserver cifs group-policy show-appliedVserver: vs1 ----------------------------- GPO Name: Default Domain Policy Level: Domain Status: enabled Advanced Audit Settings: Object Access: Central Access Policy Staging: failure Registry Settings: Refresh Time Interval: 22 Refresh Random Offset: 8 Hash Publication Mode for BranchCache: per-share Hash Version Support for BranchCache: all-versions Security Settings: Event Audit and Event Log: Audit Logon Events: none Audit Object Access: success Log Retention Method: overwrite-as-needed Max Log Size: 16384 File Security: /vol1/home /vol1/dir1 Kerberos: Max Clock Skew: 5 Max Ticket Age: 10 Max Renew Age: 7 Privilege Rights: Take Ownership: usr1, usr2 Security Privilege: usr1, usr2 Change Notify: usr1, usr2 Registry Values: Signing Required: false Restrict Anonymous: No enumeration of SAM accounts: true No enumeration of SAM accounts and shares: false Restrict anonymous access to shares and named pipes: true Combined restriction for anonymous user: no-access Restricted Groups: gpr1 gpr2 Central Access Policy Settings: Policies: cap1 cap2 GPO Name: Resultant Set of Policy Level: RSOP Advanced Audit Settings: Object Access: Central Access Policy Staging: failure Registry Settings: Refresh Time Interval: 22 Refresh Random Offset: 8 Hash Publication Mode for BranchCache: per-share Hash Version Support for BranchCache: all-versions Security Settings: Event Audit and Event Log: Audit Logon Events: none Audit Object Access: success Log Retention Method: overwrite-as-needed Max Log Size: 16384 File Security: /vol1/home /vol1/dir1 Kerberos: Max Clock Skew: 5 Max Ticket Age: 10 Max Renew Age: 7 Privilege Rights: Take Ownership: usr1, usr2 Security Privilege: usr1, usr2 Change Notify: usr1, usr2 Registry Values: Signing Required: false Restrict Anonymous: No enumeration of SAM accounts: true No enumeration of SAM accounts and shares: false Restrict anonymous access to shares and named pipes: true Combined restriction for anonymous user: no-access Restricted Groups: gpr1 gpr2 Central Access Policy Settings: Policies: cap1 cap2 2 entries were displayed.