ダイナミックアクセス制御でファイルを管理しよう~(1)概要と事前準備

サーバー

ファイルやフォルダの管理って大変ですよね。

例えば、「共通のファイルサーバーにファイルを保管しないといけないけど、重要な秘密が入っているから関係者以外見せたくない」なんてことあると思います。

そしてフォルダへのアクセス許可に登録するためだけに新しいグループを作成。そしてそれを続けた結果、同じようなグループがたくさんできてしまい、どれがどれだかわからない・・・。

そんな問題を解決してくれるのが、「ダイナミックアクセス制御」です。

今回は、ダイナミックアクセス制御の概要と、設定を行うにあたっての事前準備についてご紹介します。

ダイナミックアクセス制御とは?

そもそもどんな機能なの?

ダイナミックアクセス制御とは、Windows Server 2012より追加された新しいアクセス許可の方法です。ユーザーやコンピューターに登録された属性を参照し、それに合わせてアクセス許可を割り当てます。

「とあるフォルダへのアクセスを経理部かつ役員の人だけアクセスできるようにしたい」という場合を例にします。

従来の方法は、ユーザー1人1人を個別に登録、もしくは専用のグループを作成しそのグループにアクセス許可を割り当てます。グループメンバーは固定ですので、メンバーの入れ替えは手動で行う必要があります。

ダイナミックアクセス制御の場合、Active Directory(AD) のユーザー情報から設定した条件に合致しているユーザーを抽出し、アクセス許可を割り当てます。固定の方法とは異なり、ユーザーを都度登録し直す必要がありません。

導入を行う際の前提条件

ダイナミックアクセス制御は、WindowsのすべてのOSで使えるわけではありません。下記の条件を満たしている必要があります。

  • ADのドメインコントローラーのOSがWindows Server 2012以降
  • ファイルサーバーのOSがWindows Server 2012以降
  • クライアントのOSがWindows8、もしくはWindows Server 2012以降

導入の際は、以下の方法で対象のPCのバージョンを確認してください。

Windows Serverの場合

Windowsスタートを右クリック > [システム] > [コンピューターの基本的な情報の表示] > [Windowsのエディション]

通常のWindowsの場合

Windowsスタートを右クリック > [システム] > [バージョン情報] > [Windowsのエディション] > [ Windowsの仕様] > [エディション]

以上の条件が整っていたら、導入が可能です。

事前準備

Kerberos認証を有効にする

ダイナミックアクセス制御ではADの属性を参照する際に、「Kerberos認証」というサーバーとクライアント間の身元確認専用のプロトコルを使います。

このプロトコルは既定では無効ですので、有効にする必要があります。

今回は、全てのPCに設定を反映するために「Default Domain Policy」で設定を行います。

1. グループポリシー管理エディターを起動

Windowsスタート > [サーバーマネージャー] > [ツール] > [グループポリシーの管理] > Default Domain Policyを右クリック > [編集]

2. グループポリシーの「KDCで信頼性情報、複合認証、およびKerberos防御をサポートする」を有効化

[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [システム] > [KDC] > [KDCで信頼性情報、複合認証、およびKerberos防御をサポートする]

以下のように設定します。

  • 状態:有効
  • オプション:サポート

3. グループポリシーの「Kerberos クライアントで信頼性情報、複合認証、およびKerberos防御をサポートする」を有効化

[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [システム] > [Kerberos] > [Kerberos クライアントで信頼性情報、複合認証、およびKerberos防御をサポートする]

以下の設定をします。

  • 状態:有効

2つのグループポリシーを設定したら、グループポリシーの管理で設定が反映されていることを確認しましょう。

4. GPOを適用

ADサーバーで以下のコマンドを実行します。

gpupdate /force

「ファイルサーバーリソースマネージャー」のインストール

フォルダをダイナミックアクセス制御の対象に指定するためには、「分類」プロパティの設定が必要です。しかし「分類」プロパティは既定では存在しません。

そこで「分類」プロパティを追加するために、ファイルサーバーに「ファイルサーバーリソースマネージャー」機能をインストールする必要があります。

1. 「機能と役割の追加」ウィザードを起動

Windowsスタート > [サーバーマネージャー] > [管理] > [機能と役割の追加]

2. インストール

▼選択されているサーバーが対象のファイルサーバーであることを確認してください

3. インストール完了まで待つ

インストールが完了すると、サーバーマネージャーの [ツール] に、ファイルサーバーリソースマネージャーが追加されます。

最後に

今回はダイナミックアクセス制御の概要と、事前準備についてご紹介しました。

次回はADサーバーの設定手順をご紹介します。

アーザスBlog
 
https://a-zs.net/DAC-02
2020.08.11
ダイナミックアクセス制御でファイルを管理しよう~(2)ADサーバーの設定
ファイルやフォルダの管理って大変ですよね。例えば、「共通のファイルサーバーにファイルを保管しないといけないけど、重要な秘密が入っているから関係者以外見せたくない」なんてことあると思います。そしてフォルダへのアクセス許可に登録するためだけに新しいグループを作成。そしてそれを続けた結果、同じようなグループがたくさんできてしまい、どれがどれだかわからない・・・。そんな問題を解決してくれるのが、「ダイナミックアクセス制御」です。今回はADサーバーで行う設定手順についてご紹介します。ダイナミックアクセス...