ダイナミックアクセス制御(DAC) その1 [Windows Server 2012]
今回は、ダイナミックアクセス制御を試します。
現時点で、ダイナミックアクセス制御は、ファイルサーバの新しいアクセス権制御と
して使用するものではなく、既存のNTFSなどのアクセス権と組み合わせて使用する
ものだそうです。
では、今回の環境を紹介します。
<環境>
■仮想サーバ(WindowsServer2012)+ActiveDirectory
ドメイン名:vmdom.local
AD上に以下の2つのユーザを作成
ユーザA:財務一郎 部署:経理部 国:日本
ユーザB:販売礼子 部署:営業部 国:英国
■ファイルサーバ(WindowsServer2012)+ファイルサーバリソースマネージャ
参加ドメイン:vmdom.local
<作業の流れ>
1.クレームタイプ、要求の種類の作成
↓
2.リソースプロパティの作成
↓
3.リソースプロパティリストにリソースプロパティを登録
↓
4.集約型アクセス規則の作成
↓
5.集約型アクセスポリシーの作成
↓
6.グループポリシーの展開
↓
7.共有フォルダの設定
↓
8.確認
次回に続くw
1.クレームタイプ、要求の種類の作成
(1)サーバマネージャのウィンドウで、[ツール]-[Active Directory管理センター]をクリックします。
(2)[ダイナミックアクセス制御]-[Claim Type]をクリックし、[新規]-[要求の種類]をクリックします。
(3)[c]を選択して、「OK」をクリックします。
(4)「department」を選択して、「OK」をクリックします。
(5)先ほど選択した項目が表示されていることを確認します。
2.リソースプロパティの作成
(1)[ダイナミックアクセス制御]をクリック、「Resource Properties」を選択します。
右側のメニューより[新規]-[リソースプロパティ]をクリックします。
3.リソースプロパティリストにリソースプロパティを登録
(1)全般の表示名を「R_Country」と入力後、下側の「追加」ボタンをクリックします。
(2)値を「JP」表示名を「日本」と入力後、「OK」ボタンをクリックします。
再度、(2)に戻り「追加」ボタンをクリックし、今度は、値を「GB」表示名を「英国」とします。
(3)2つ追加されたことを確認し、「OK」ボタンをクリックします。
(4)再度、(1)の[新規]-[リソースプロパティ]をクリックします。
表示名を「R_Department」と入力し、下の「追加」ボタンをクリックします。
(5)値に「経理部」表示名に「経理部」を入力し、「OK」ボタンをクリックします。
再度、(5)の「追加」ボタンをクリックし、今度は、値に「営業部」表示名に「営業部」を入力し、
「OK」ボタンをクリックします。
(6)追加した2つの情報が入力されていることを確認し、「OK」ボタンをクリックします。
4.集約型アクセスポリシーの作成
(1)「ダイナミックアクセス制御」をクリックし、「Central Access Rules」をクリックします。
右側のメニューから[新規]-[集約型アクセス規則]をクリックします。
(2)「名前」に「経理部アクセス規則」と入力し、右下の「編集」ボタンをクリックします。
(3)左下の「条件の追加」をクリックします。
(4)「リソース、R_Department,次の値と等しい、値、経理部」を設定し、「条件の追加」をクリック
「AND」を設定し、「リソース、R_Country、次の値と等しい、値、日本」を設定し、「OK」ボタンをクリックします。
(5)アクセス許可の枠で、「次のアクセス許可を現在の・・・」を有効にして、「編集」ボタンをクリックします。
(6)「追加」ボタンをクリックします。
(7)「プリンシパルの選択」をクリックします。
(8)「Authenticated Users」と入力し、「OK]ボタンをクリックします。
(9)基本のアクセス許可で「フルコントロール」を選択します。
「ユーザー、department、次の値に等しい、値、経理部」を設定し、「条件の追加」をクリック、
続けて、「ユーザー、c,次の値に等しい、値、日本」を入力し、「OK」ボタンをクリックします。
(10)「Authenticated Users」が設定されていることを確認し、「OK」ボタンをクリックします。
(11)設定内容を確認し、「OK」ボタンをクリックします。
5.集約型アクセスポリシーの作成
(1)「ダイナミックアクセス制御」をクリックし、「Central Access Policies」をクリックします。
(2)[新規]-[集約型アクセスポリシー]をクリックします。
(3)名前に「日本経理部アクセスポリシー」と入力します。
「追加」ボタンをクリックし、左側にある「経理部アクセス規則」を右側の
「次の集約型アクセス規則」に移動し、「OK」ボタンをクリックします。
6.グループポリシーの展開
(1)サーバマネージャで[ツール]-[グループポリシーの管理]をクリックします。
(2)ドメイン名を右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。
(3)名前に「DACポリシー」と入力し、「OK」ボタンをクリックします。
(4)「DACポリシー」を右クリックして「編集」ボタンをクリックします。
(5)[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ファイルシステム]-[集約型アクセスポリシー]を
右クリックし、「集約型アクセスポリシーの管理」をクリックします。
(6)左側にある「日本経理部アクセスポリシー」を選択し、「追加」ボタンをクリックします。
右側に移動したことを確認し、「OK」ボタンをクリックします。
(7)「DACポリシー」を選択し、セキュリティフィルタ処理にある「Authenticated Users」を削除します。
「追加」ボタンをクリックします。
(8)オブジェクトの種類の選択を「コンピュータ」に変更し、「選択するオブジェクト名を入力してください」の欄に「ファイルサーバ」名を入力し、
「OK」ボタンをクリックします。
(9)「Default Domain Controllers Policy」を右クリックし、「編集」ボタンをクリックします。
(10)[コンピュータの構成]-[ポリシー]-[管理用テンプレート:ローカルコンピュータ]-[システム]-[KDC]をクリックし、
「KDCで信頼性情報、複合認証、およびKerberos防御をサポートする」をダブルクリックします。
(11)「有効」をクリック、「サポート」を選択し、「OK」ボタンをクリックします。
(12)グループポリシー管理エディタを閉じます。
(13)タスクバーのPowerShellアイコンを右クリックして、「ISEを管理者として実行する」をクリックします。
(14)「gpupdate /force」と入力し、実行します。
7.共有フォルダの設定
(1)ファイルサーバ上の共有フォルダを右クリックして、「プロパティ」を開きます。
(2)「分類」タブを開きます。上側の「R_Country」を選択し、下側の「日本」を選びます。
同様に、「R_Department」を選択し、下側の「経理部」を選び、「OK」をクリックします。
8.確認
(1)共有フォルダを右クリックして、「プロパティ」をクリックします。
(2)「セキュリティ」タブをクリックし、「詳細設定」をクリックします。
(3)「集約型ポリシー」を選択し、「変更」ボタンをクリックし、ポリシーを選択します。
(4)画面中央付近の「経理部アクセス規則」をクリックすると、下側にアクセス設定情報が出てきます。
以上です。
先日、WindowsServer2012のMCSAのアップグレード試験を受けましたが、設定手順が問われましたので、
受験される方は、一度操作されるとよいですよ。
コメント 0