エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

CIFSサーバー上のデータを保護する集約型アクセス ポリシーの設定

集約型アクセス ポリシーを使用してCIFSサーバーのデータへのアクセスを保護するには、CIFSサーバーでのダイナミック アクセス制御(DAC)の有効化、Active Directoryでの集約型アクセス ポリシーの設定、GPOが設定された集約型アクセス ポリシーのActive Directoryコンテナへの適用、CIFSサーバーでのGPOの有効化など、いくつかの手順を実行する必要があります。

開始する前に
  • 集約型アクセス ポリシーを使用するには、Active Directoryを設定する必要があります。

  • 集約型アクセス ポリシーを作成し、CIFSサーバーを含むコンテナにGPOの作成と適用を行うには、Active Directoryドメイン コントローラーに対して十分なアクセスが必要です。

  • 必要なコマンドを実行するためには、Storage Virtual Machine(SVM)で十分な管理アクセスが必要です。

タスク概要

集約型アクセス ポリシーは、Active Directoryのグループ ポリシー オブジェクト(GPO)に対して定義および適用されます。集約型アクセス ポリシーおよびGPOの設定についてはMicrosoft TechNetライブラリーを参照してください。

手順
  1. SVMでダイナミック アクセス制御を有効化していない場合は、vserver cifs options modify コマンドを使用して有効化します。

    vserver cifs options modify -vserver vs1 -is-dac-enabled true

  2. CIFSサーバーでグループ ポリシー オブジェクト(GPO)を有効化していない場合は、vserver cifs group-policy modify コマンドを使用して有効化します。

    vserver cifs group-policy modify -vserver vs1 -status enabled

  3. Active Directoryで集約型アクセス規則と集約型アクセス ポリシーを作成します。

  4. グループ ポリシー オブジェクト(GPO)を作成してActive Directoryに集約型アクセス ポリシーを導入します。

  5. CIFSサーバー コンピューター アカウントが存在するコンテナにGPOを適用します。

  6. vserver cifs group-policy update コマンドを使用して、CIFSサーバーに適用されたGPOを手動で更新します。

    vserver cifs group-policy update -vserver vs1

  7. vserver cifs group-policy show-applied コマンドを使用して、GPO集約型アクセス ポリシーがCIFSサーバーのリソースに適用されていることを確認します。

    次の例は、Default Domain Policyに、CIFSサーバーに適用される集約型アクセス ポリシーが2つ含まれていることを示しています。

    vserver cifs group-policy show-applied

    Vserver: vs1
    -----------------------------
        GPO Name: Default Domain Policy
           Level: Domain
          Status: enabled
      Advanced Audit Settings:
          Object Access:
              Central Access Policy Staging: failure
      Registry Settings:
          Refresh Time Interval: 22
          Refresh Random Offset: 8
          Hash Publication Mode for BranchCache: per-share
          Hash Version Support for BranchCache: all-versions
      Security Settings:
          Event Audit and Event Log:
              Audit Logon Events: none
              Audit Object Access: success
              Log Retention Method: overwrite-as-needed
              Max Log Size: 16384
          File Security:
              /vol1/home
              /vol1/dir1
          Kerberos:
              Max Clock Skew: 5
              Max Ticket Age: 10
              Max Renew Age:  7
          Privilege Rights:
              Take Ownership: usr1, usr2
              Security Privilege: usr1, usr2
              Change Notify: usr1, usr2
          Registry Values:
              Signing Required: false
          Restrict Anonymous:
              No enumeration of SAM accounts: true
              No enumeration of SAM accounts and shares: false
              Restrict anonymous access to shares and named pipes: true
              Combined restriction for anonymous user: no-access
          Restricted Groups:
              gpr1
              gpr2
      Central Access Policy Settings:
          Policies: cap1
                    cap2
    
        GPO Name: Resultant Set of Policy
           Level: RSOP
      Advanced Audit Settings:
          Object Access:
              Central Access Policy Staging: failure
      Registry Settings:
          Refresh Time Interval: 22
          Refresh Random Offset: 8
          Hash Publication Mode for BranchCache: per-share
          Hash Version Support for BranchCache: all-versions
      Security Settings:
          Event Audit and Event Log:
              Audit Logon Events: none
              Audit Object Access: success
              Log Retention Method: overwrite-as-needed
              Max Log Size: 16384
          File Security:
              /vol1/home
              /vol1/dir1
          Kerberos:
              Max Clock Skew: 5
              Max Ticket Age: 10
              Max Renew Age:  7
          Privilege Rights:
              Take Ownership: usr1, usr2
              Security Privilege: usr1, usr2
              Change Notify: usr1, usr2
          Registry Values:
              Signing Required: false
          Restrict Anonymous:
              No enumeration of SAM accounts: true
              No enumeration of SAM accounts and shares: false
              Restrict anonymous access to shares and named pipes: true
              Combined restriction for anonymous user: no-access
          Restricted Groups:
              gpr1
              gpr2
      Central Access Policy Settings:
          Policies: cap1
                    cap2
    2 entries were displayed.
Top of Page