サポートされるダイナミック アクセス制御機能

CIFSサーバ上でダイナミック アクセス制御(DAC)を使用する場合、Active Directory環境でのONTAPによるダイナミック アクセス制御機能のサポートについて理解しておく必要があります。

サポートされるダイナミック アクセス制御

CIFSサーバでダイナミック アクセス制御が有効になっている場合、ONTAPは次の機能をサポートします。

機能 コメント
ファイルシステムへの請求 請求とは、ユーザについての何らかの真実を表す単純な名前と値のペアです。現在の請求情報にはユーザ クレデンシャルが含まれており、ファイルのセキュリティ記述子は請求チェックを含むアクセス チェックを実行できます。これによって、管理者は誰がファイルにアクセスできるかの細かいレベルの制御を行うことができます。
ファイル アクセス チェック用の条件式 ファイルのセキュリティ パラメータを変更する場合、ユーザは任意の複雑な条件式をファイルのセキュリティ記述子に追加できます。条件式には、請求チェックを含めることができます。
集約型アクセス ポリシーによるファイル アクセスの集中管理 集約型アクセス ポリシーは、ファイルへのタグ付けが可能なActive Directory内に格納される一種のACLです。ファイルへのアクセスは、ディスク上のセキュリティ記述子とタグ付けされた集約型アクセス ポリシーの両方のアクセス チェックでアクセスが許可される場合のみ許可されます。

これによって、管理者はディスク上のセキュリティ記述子を変更せずに一元的な場所(AD)からファイルへのアクセスを制御できるようになります。

集約型アクセス ポリシーのステージング 集約型アクセス ポリシーの変更をステージングして監査レポートで変更の効果を確認することにより、実際のファイル アクセスに影響を与えずにセキュリティの変更を試せるようになります。
ONTAP CLIを使用した集約型アクセス ポリシー セキュリティについての情報表示のサポート vserver security file-directory showコマンドを拡張し、適用されている集約型アクセス ポリシーについての情報を表示します。
集約型アクセス ポリシーを含むセキュリティ トレース vserver security traceコマンド ファミリーを拡張し、適用されている集約型アクセス ポリシーについての情報を含む結果を表示します。

サポートされないダイナミック アクセス制御

CIFSサーバでダイナミック アクセス制御が有効になっている場合、ONTAPは次の機能をサポートしません。

機能 コメント
NTFSファイルシステム オブジェクトの自動分類 これは、ONTAPでサポートされないWindows File Classification Infrastructure拡張です。
集約型アクセス ポリシーのステージング以外の高度な監査 高度な監査では、集約型アクセス ポリシーのステージングのみがサポートされます。