エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

ダイナミック アクセス制御(DAC)を使用したファイル アクセスの保護 - 概要

ダイナミック アクセス制御を使用してアクセスを保護できます。Active Directoryで集約型アクセス ポリシーを作成し、適用されたGPOを使用してSVM上のファイルとフォルダーにそのポリシーを適用します。集約型アクセス ポリシーのステージング イベントを使用するように監査を設定すると、集約型アクセス ポリシーの変更を適用する前にその効果を確認することができます。

CIFSクレデンシャルの追加

ダイナミック アクセス制御が導入される前は、CIFSクレデンシャルにセキュリティ プリンシパル(ユーザー)のIDとWindowsグループ メンバーシップが含まれていました。ダイナミック アクセス制御では、デバイスID、デバイス クレーム、ユーザー クレームという3種類の情報がクレデンシャルに追加されます。

  • デバイスID

    ユーザーID情報に似ていますが、デバイスIDはユーザーがログインに使用しているデバイスのIDとグループ メンバーシップです。

  • デバイス クレーム

    デバイスのセキュリティ プリンシパルに関する主張です。たとえば、特定のOUのメンバーであることなどがあります。

  • ユーザー クレーム

    ユーザーのセキュリティ プリンシパルに関する主張です。たとえば、ADアカウントが特定のOUのメンバーであることなどがあります。

集約型アクセス ポリシー

ファイルの集約型アクセス ポリシーを使用すると、ユーザー グループ、ユーザー クレーム、デバイス クレーム、およびリソース プロパティを使用した条件式を含む許可ポリシーを、一元的に導入して管理することができます。

たとえば、ビジネスへの影響が大きいデータには、正社員のユーザーだけが、管理対象のデバイスからのみアクセスできるようにすることができます。集約型アクセス ポリシーはActive Directoryに定義され、GPOメカニズムを介してファイル サーバーに配布されます。

高度な監査機能を備えた集約型アクセス ポリシーのステージング

集約型アクセス ポリシーは「ステージング」することができます。その場合、ファイル アクセスのチェック時に「what-if」形式の評価が行われます。ポリシーが適用されていた場合の結果と、現在の設定との違いが、監査イベントのログに記録されます。管理者は、実際にポリシーを有効にする前に、監査イベント ログを使用してアクセス ポリシーの変更による影響を確認できます。アクセス ポリシーの変更による影響を評価したあと、ポリシーを目的のSVMにGPO経由で導入できます。

Top of Page