ダイナミックアクセス制御（DAC） その１

今回は、ダイナミックアクセス制御を試します。
現時点で、ダイナミックアクセス制御は、ファイルサーバの新しいアクセス権制御と
して使用するものではなく、既存のNTFSなどのアクセス権と組み合わせて使用する
ものだそうです。

では、今回の環境を紹介します。
＜環境＞
■仮想サーバ（WindowsServer2012）＋ActiveDirectory
　ドメイン名：vmdom.local
　AD上に以下の２つのユーザを作成
　ユーザA：財務一郎　部署：経理部　国：日本
　
　ユーザB：販売礼子　部署：営業部　国：英国

■ファイルサーバ（WindowsServer2012）＋ファイルサーバリソースマネージャ
　参加ドメイン：vmdom.local

＜作業の流れ＞
１．クレームタイプ、要求の種類の作成
↓
２．リソースプロパティの作成
↓
３．リソースプロパティリストにリソースプロパティを登録
↓
４．集約型アクセス規則の作成
↓
５．集約型アクセスポリシーの作成
↓
６．グループポリシーの展開
↓
7.共有フォルダの設定
↓
８．確認

次回に続くｗ

1.クレームタイプ、要求の種類の作成
（１）サーバマネージャのウィンドウで、[ツール]-[Active Directory管理センター]をクリックします。

（２）[ダイナミックアクセス制御]-[Claim Type]をクリックし、[新規]-[要求の種類]をクリックします。

（３）[c]を選択して、「OK」をクリックします。

（４）「department」を選択して、「OK」をクリックします。

（５）先ほど選択した項目が表示されていることを確認します。


２．リソースプロパティの作成
（１）[ダイナミックアクセス制御]をクリック、「Resource Properties」を選択します。
右側のメニューより[新規]-[リソースプロパティ]をクリックします。


３．リソースプロパティリストにリソースプロパティを登録
（１）全般の表示名を「R_Country」と入力後、下側の「追加」ボタンをクリックします。


（２）値を「JP」表示名を「日本」と入力後、「OK」ボタンをクリックします。
再度、（２）に戻り「追加」ボタンをクリックし、今度は、値を「GB」表示名を「英国」とします。

（３）２つ追加されたことを確認し、「OK」ボタンをクリックします。

（４）再度、（１）の[新規]-[リソースプロパティ]をクリックします。
表示名を「R_Department」と入力し、下の「追加」ボタンをクリックします。

（５）値に「経理部」表示名に「経理部」を入力し、「OK」ボタンをクリックします。
再度、（５）の「追加」ボタンをクリックし、今度は、値に「営業部」表示名に「営業部」を入力し、
「OK」ボタンをクリックします。

（６）追加した2つの情報が入力されていることを確認し、「OK」ボタンをクリックします。


４．集約型アクセスポリシーの作成
（１）「ダイナミックアクセス制御」をクリックし、「Central Access Rules」をクリックします。
右側のメニューから[新規]-[集約型アクセス規則]をクリックします。

（２）「名前」に「経理部アクセス規則」と入力し、右下の「編集」ボタンをクリックします。

（３）左下の「条件の追加」をクリックします。

（４）「リソース、R_Department,次の値と等しい、値、経理部」を設定し、「条件の追加」をクリック
「AND」を設定し、「リソース、R_Country、次の値と等しい、値、日本」を設定し、「OK」ボタンをクリックします。

（５）アクセス許可の枠で、「次のアクセス許可を現在の・・・」を有効にして、「編集」ボタンをクリックします。

（６）「追加」ボタンをクリックします。

（７）「プリンシパルの選択」をクリックします。

（８）「Authenticated Users」と入力し、「OK]ボタンをクリックします。

（9）基本のアクセス許可で「フルコントロール」を選択します。
「ユーザー、department、次の値に等しい、値、経理部」を設定し、「条件の追加」をクリック、
続けて、「ユーザー、c,次の値に等しい、値、日本」を入力し、「OK」ボタンをクリックします。

（１０）「Authenticated Users」が設定されていることを確認し、「OK」ボタンをクリックします。

（１１）設定内容を確認し、「OK」ボタンをクリックします。

5.集約型アクセスポリシーの作成
(1)「ダイナミックアクセス制御」をクリックし、「Central Access Policies」をクリックします。

（２）[新規]-[集約型アクセスポリシー]をクリックします。

（３）名前に「日本経理部アクセスポリシー」と入力します。
「追加」ボタンをクリックし、左側にある「経理部アクセス規則」を右側の
「次の集約型アクセス規則」に移動し、「OK」ボタンをクリックします。


６．グループポリシーの展開
（１）サーバマネージャで[ツール]-[グループポリシーの管理]をクリックします。

（２）ドメイン名を右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。

（３）名前に「DACポリシー」と入力し、「OK」ボタンをクリックします。

（４）「DACポリシー」を右クリックして「編集」ボタンをクリックします。

（５）[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ファイルシステム]-[集約型アクセスポリシー]を
右クリックし、「集約型アクセスポリシーの管理」をクリックします。

（６）左側にある「日本経理部アクセスポリシー」を選択し、「追加」ボタンをクリックします。
右側に移動したことを確認し、「OK」ボタンをクリックします。

（７）「DACポリシー」を選択し、セキュリティフィルタ処理にある「Authenticated Users」を削除します。
「追加」ボタンをクリックします。

（８）オブジェクトの種類の選択を「コンピュータ」に変更し、「選択するオブジェクト名を入力してください」の欄に「ファイルサーバ」名を入力し、
「OK」ボタンをクリックします。

（９）「Default Domain Controllers Policy」を右クリックし、「編集」ボタンをクリックします。

（１0）[コンピュータの構成]-[ポリシー]-[管理用テンプレート：ローカルコンピュータ]-[システム]-[KDC]をクリックし、
「KDCで信頼性情報、複合認証、およびKerberos防御をサポートする」をダブルクリックします。

（１１）「有効」をクリック、「サポート」を選択し、「OK」ボタンをクリックします。

（１２）グループポリシー管理エディタを閉じます。
（１３）タスクバーのPowerShellアイコンを右クリックして、「ISEを管理者として実行する」をクリックします。

（１４）「gpupdate /force」と入力し、実行します。


７．共有フォルダの設定
（１）ファイルサーバ上の共有フォルダを右クリックして、「プロパティ」を開きます。

（２）「分類」タブを開きます。上側の「R_Country」を選択し、下側の「日本」を選びます。
同様に、「R_Department」を選択し、下側の「経理部」を選び、「OK」をクリックします。


８．確認
（１）共有フォルダを右クリックして、「プロパティ」をクリックします。
（２）「セキュリティ」タブをクリックし、「詳細設定」をクリックします。

（３）「集約型ポリシー」を選択し、「変更」ボタンをクリックし、ポリシーを選択します。

（４）画面中央付近の「経理部アクセス規則」をクリックすると、下側にアクセス設定情報が出てきます。


以上です。

先日、WindowsServer2012のMCSAのアップグレード試験を受けましたが、設定手順が問われましたので、
受験される方は、一度操作されるとよいですよ。