ダイナミックアクセス制御でファイルを管理しよう~(2)ADサーバーの設定

サーバー

ファイルやフォルダの管理って大変ですよね。

例えば、「共通のファイルサーバーにファイルを保管しないといけないけど、重要な秘密が入っているから関係者以外見せたくない」なんてことあると思います。

そしてフォルダへのアクセス許可に登録するためだけに新しいグループを作成。そしてそれを続けた結果、同じようなグループがたくさんできてしまい、どれがどれだかわからない・・・。

そんな問題を解決してくれるのが、「ダイナミックアクセス制御」です。

今回はADサーバーで行う設定手順についてご紹介します。

ダイナミックアクセス制御でファイルを管理しよう~(1)概要と事前準備

設定手順

今回は以下のダイナミックアクセス制御を行う想定とします。

  • 対象フォルダ:F:\共通\役員
  • アクセス条件:役職が役員のユーザーのみフルコントロール

要求の種類を設定する

参照する属性を設定し、有効化します。

ユーザーの属性には役職、部署、事業所などがありますが、今回は役職を設定します。

1. 「Active Directory 管理センター」の起動

Windowsスタート > [サーバーマネージャー] > [ツール] > [Active Directory 管理センター]

2. [Claim Types]設定画面の起動

[ダイナミック アクセス制御] > [Claim Types]

3. [要求の種類の作成]フォームの表示

右ペインの[Claim Types] > [新規] > [要求の種類]

設定入力

  • 4. 表示名:任意の値(今回は”test”)
  • 5. クラス設定:今回はユーザーの属性を指定したので「ユーザー」を選択

リソースプロパティの設定

リソースプロパティとは属性の具体的な設定値を指します。今回は役職に「役員」「課長」「部長」を設定します。

1. Active Directory 管理センターの起動

Windowsスタート > [サーバーマネージャー] > [ツール] > [Active Directory 管理センター]

2. [Resource Properties]設定画面の起動

[ダイナミック アクセス制御] > [Resource Properties]

3. [リソースプロパティの作成]フォームの表示

[Resource Properties] > [新規] > [リソースプロパティ]

設定入力

  • 4. 表示名:任意の名前を入力(今回は”役職”)
  • 5. 値の種類:[Single-valued Choice]を選択

6. [提案された値の追加]フォームの起動

[提案された値] > [追加]

7. [OK]で値を登録

8. 6~7を繰り返す

9. [OK]で設定を終了

集約型アクセス規則の設定

リソースにアクセスできるユーザーもしくはコンピューターの条件を設定します。

1. Active Directory 管理センターの起動

Windowsスタート > [サーバーマネージャー] > [ツール] > [Active Directory 管理センター]

2. [ Central Access Rules]設定画面の起動

[ダイナミック アクセス制御] > [Central Access Rules]

3. [集約型アクセス規則の作成]フォームの表示

[Central Access Rules] > [新規] > [集約型アクセス規則]

4. 集約型アクセス規則名の入力

今回は”test”という名前で作成します。

5. [集約型アクセス規則]フォームの表示

[ターゲットリソース] > [編集]

6. ターゲットリソースの作成

[条件の追加] > 参照する値を設定

今回は以下の設定で行いました。
[リソース] + [役職] + [次の値が存在する]

7. アクセス許可の設定

[アクセス許可] > [次のアクセス許可を現在のアクセス許可として使用する]

8. アクセス許可の詳細設定

「Authenticated Users」の中から「役員」にフルコントロールを与える設定を行います。

[編集] > [追加]

  • プリンシバル:Authenticated Users
  • 基本のアクセス許可:フルコントロール
  • 条件:[ユーザー] + [title] + [次の値と等しい] + [役員]

9. [OK]をクリックし、設定したアクセス許可を反映

集約型アクセスポリシーの作成

作成した集約型アクセス規則1つ以上を集約型アクセスポリシーに纏めることで、ファイルサーバーへアクセス許可の設定を配布します。

1. グループポリシーの管理の起動

Windowsスタート > [サーバーマネージャー] > [ツール] > [グループポリシーの管理]

2. [Central Access Policies]設定画面の起動

[ダイナミック アクセス制御] > [ Central Access Policies]

3. [集約型アクセス規則の作成]フォームの表示

[Central Access Policies] > [新規] > [集約型アクセスポリシー]

4. 集約型アクセスポリシー名の入力

今回は”アクセスポリシーA”とします。

5. 集約型アクセス規則の追加

[追加] > 作成した集約アクセス規則を選択 > [>>]

6. [OK]で設定終了

「メンバーアクセス集約型アクセス規則」に作成した集約型アクセス規則があることを確認。

集約型アクセスポリシーを展開する

作成した集約型アクセスポリシーをファイルサーバーへ配布するためにGPOを作成します。

今回は「DAC規則」というGPOをドメイン直下に作成します。

1. GPOの作成

Windowsスタート > [サーバーマネージャー] > [ツール] > [グループポリシーの管理] > ドメイン名を右クリック > [このドメインにGPOを作成し、このコンテナーにリンクする]

上記手順実行後、GPO名を入力し、[OK]をクリック。

2. セキュリティフィルターの編集

[セキュリティフィルター処理] > [Authenticated Users] > [削除]

Authenticated Usersの削除が完了したら、ファイルサーバーをセキュリティフィルターに追加します。

3. 集約型アクセスポリシーの適用

作成したGPOを右クリック > [編集] > [コンピューターの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [ファイルシステム] > [集約型アクセスポリシー]を右クリック > [集約型アクセスポリシーの管理]

集約型アクセスポリシー構成ウィンドウで、集約型アクセスポリシーを追加します。
[追加] > 作成した集約アクセス規則をクリック > [>>]

4. [OK]をクリックし、設定を終了

最後に

これでADサーバーの設定は完了です。

次の記事では、ファイルサーバーでの設定の手順と動作の確認方法を紹介します。