集約型アクセスポリシーを使用してCIFSサーバーのデータへのアクセスを保護するには、CIFSサーバーでのダイナミックアクセス制御（DAC）の有効化、Active Directoryでの集約型アクセスポリシーの設定、GPOが設定された集約型アクセスポリシーのActive Directoryコンテナへの適用、CIFSサーバーでのGPOの有効化など、いくつかの手順を実行する必要があります。

開始する前に

集約型アクセスポリシーを使用するには、Active Directoryを設定する必要があります。
集約型アクセスポリシーを作成し、CIFSサーバーを含むコンテナにGPOの作成と適用を行うには、Active Directoryドメインコントローラーに対して十分なアクセスが必要です。
必要なコマンドを実行するためには、Storage Virtual Machine（SVM）で十分な管理アクセスが必要です。

タスク概要

集約型アクセスポリシーは、Active Directoryのグループポリシーオブジェクト（GPO）に対して定義および適用されます。集約型アクセスポリシーおよびGPOの設定についてはMicrosoft TechNetライブラリーを参照してください。

Microsoft TechNetライブラリー

手順

SVMでダイナミックアクセス制御を有効化していない場合は、vserver cifs options modify コマンドを使用して有効化します。

vserver cifs options modify -vserver vs1 -is-dac-enabled true
CIFSサーバーでグループポリシーオブジェクト（GPO）を有効化していない場合は、vserver cifs group-policy modify コマンドを使用して有効化します。

vserver cifs group-policy modify -vserver vs1 -status enabled
Active Directoryで集約型アクセス規則と集約型アクセスポリシーを作成します。
グループポリシーオブジェクト（GPO）を作成してActive Directoryに集約型アクセスポリシーを導入します。
CIFSサーバーコンピューターアカウントが存在するコンテナにGPOを適用します。
vserver cifs group-policy update コマンドを使用して、CIFSサーバーに適用されたGPOを手動で更新します。

vserver cifs group-policy update -vserver vs1

vserver cifs group-policy show-applied コマンドを使用して、GPO集約型アクセスポリシーがCIFSサーバーのリソースに適用されていることを確認します。

次の例は、Default Domain Policyに、CIFSサーバーに適用される集約型アクセスポリシーが2つ含まれていることを示しています。

vserver cifs group-policy show-applied

Vserver: vs1
-----------------------------
    GPO Name: Default Domain Policy
       Level: Domain
      Status: enabled
  Advanced Audit Settings:
      Object Access:
          Central Access Policy Staging: failure
  Registry Settings:
      Refresh Time Interval: 22
      Refresh Random Offset: 8
      Hash Publication Mode for BranchCache: per-share
      Hash Version Support for BranchCache: all-versions
  Security Settings:
      Event Audit and Event Log:
          Audit Logon Events: none
          Audit Object Access: success
          Log Retention Method: overwrite-as-needed
          Max Log Size: 16384
      File Security:
          /vol1/home
          /vol1/dir1
      Kerberos:
          Max Clock Skew: 5
          Max Ticket Age: 10
          Max Renew Age:  7
      Privilege Rights:
          Take Ownership: usr1, usr2
          Security Privilege: usr1, usr2
          Change Notify: usr1, usr2
      Registry Values:
          Signing Required: false
      Restrict Anonymous:
          No enumeration of SAM accounts: true
          No enumeration of SAM accounts and shares: false
          Restrict anonymous access to shares and named pipes: true
          Combined restriction for anonymous user: no-access
      Restricted Groups:
          gpr1
          gpr2
  Central Access Policy Settings:
      Policies: cap1
                cap2

    GPO Name: Resultant Set of Policy
       Level: RSOP
  Advanced Audit Settings:
      Object Access:
          Central Access Policy Staging: failure
  Registry Settings:
      Refresh Time Interval: 22
      Refresh Random Offset: 8
      Hash Publication Mode for BranchCache: per-share
      Hash Version Support for BranchCache: all-versions
  Security Settings:
      Event Audit and Event Log:
          Audit Logon Events: none
          Audit Object Access: success
          Log Retention Method: overwrite-as-needed
          Max Log Size: 16384
      File Security:
          /vol1/home
          /vol1/dir1
      Kerberos:
          Max Clock Skew: 5
          Max Ticket Age: 10
          Max Renew Age:  7
      Privilege Rights:
          Take Ownership: usr1, usr2
          Security Privilege: usr1, usr2
          Change Notify: usr1, usr2
      Registry Values:
          Signing Required: false
      Restrict Anonymous:
          No enumeration of SAM accounts: true
          No enumeration of SAM accounts and shares: false
          Restrict anonymous access to shares and named pipes: true
          Combined restriction for anonymous user: no-access
      Restricted Groups:
          gpr1
          gpr2
  Central Access Policy Settings:
      Policies: cap1
                cap2
2 entries were displayed.

ONTAP 9.13

CIFSサーバー上のデータを保護する集約型アクセス ポリシーの設定

CIFSサーバー上のデータを保護する集約型アクセスポリシーの設定