ダイナミックアクセス制御の概要シリーズ、第3回目はActive Directory側で設定したダイナミックアクセス制御設定を使って、ファイルサーバーに対する具体的なアクセス制御を行う方法について確認します。
■ ■ ■
ダイナミックアクセス制御に必要な3つの設定
クドイようだが、これまでダイナミックアクセス制御には次の3つの設定が必要だと話をしてきた。
1.ダイナミックアクセス制御で利用するユーザーやコンピューターの属性に関する設定
2.アクセス許可を定義する集約型アクセスポリシーの設定
3.ファイルサーバーなど、ダイナミックアクセス制御を利用するサーバー側の設定
このうち1.と2.については、これまでの連載で解説させていただいた。今回は3.のダイナミックアクセス制御を利用するサーバー側の設定について見ていくことにする。
ダイナミックアクセス制御を利用するサーバー側の設定
前回、集約型アクセス規則で「重要度=高だったら..」という条件を設定するところを確認した。
図1●集約型アクセス規則ではアクセス許可を割り当てるための条件を設定した
「重要度=高」という設定は、集約型アクセス規則だけでなく、ファイルやフォルダーにも設定することでアクセス許可を割り当てるファイルやフォルダーが決定する。
図2●ファイル/フォルダーに重要度を設定することで、集約型アクセス規則に基づくアクセス許可設定が可能となる
「重要度=高」という設定をファイル/フォルダーで行うことこそが今回紹介する、3.のダイナミックアクセス制御を利用するサーバー側の設定なのである。今回はファイルサーバーの共有フォルダーに対して行う設定に絞って解説することとしよう。
先ほどから登場している「重要度=高」という設定は、ファイルサーバーリソースマネージャーにある「分類管理」と呼ばれる機能を利用して行う。ファイルサーバーリソースマネージャーはサーバーマネージャーから役割の追加で、ファイルサービスの役割を追加することで一緒にインストールできる(画面1)。
画面1●ファイルサービスの役割の中にファイルサーバーリソースマネージャーは含まれる
ファイルサーバーリソースマネージャーを追加したら、スタートメニューから起動し、[分類管理]の項目を開く。[分類プロパティ]では「重要度」という名前の分類項目の定義(画面2)、[分類規則]ではファイル・フォルダーがどのようなときに「重要度=高」となるのか?という条件をそれぞれ設定する(画面3)。なお、分類プロパティの定義についてはActive Directory側で設定したターゲットリソースが自動的に使えるようになるので、実質、分類規則だけ設定すればよい。
画面2●分類プロパティには、前回の連載で設定した[リソースプロパティ]の情報が自動的に登録される
画面3●分類規則では、どのような基準で分類するかを設定したルールを登録する
分類規則を新規作成する際、設定する項目は大きく分けて4つある。
1.規則の名前
2.分類を割り当てるフォルダーの指定(スコープ)
3.分類に当てはまる条件の指定(分類方法)
4.再評価の設定
では順番に確認しよう。
1.分類規則の設定:規則の名前
規則の名前は分類規則の[全般]タブから設定する。どのような分類を行う規則であるか、わかるような名前を付けておくと良いだろう。
2.分類規則の設定:スコープ
分類規則の[スコープ]タブから設定する。スコープでは分類規則の対象となるフォルダーまたは特定のファイル種類(アプリケーションファイル、バックアップファイルなど)を指定する。例えば、フォルダーを指定する場合は、c:shareのように指定する(画面4)。
画面4●スコープとしてc:shareを指定した様子
3.分類規則の設定:分類方法
分類規則の[分類方法]タブから設定する。分類方法では、3種類の分類方法を選択できる。それぞれの分類方法の特徴は以下のとおりである。
| Windows PowerShell 分類子 | PowerShellスクリプトに基づいて、「重要度=高」のような 分類基準を決定する。 |
| コンテンツ分類子 | フォルダー内のファイルに含まれる文字列に基づいて、 「重要度=高」のような分類基準を決定する。ファイルを単位として分類が行われる点に注意したい。 |
| フォルダー分類子 | スコープで指定した、すべてのフォルダーに対して 「重要度=高」のような分類を設定する。 |
例えば、コンテンツ分類子で「ファイルに「社外秘」という文字列が含まれるとき、重要度=高とする」と設定する場合は画面5のような設定となる。
画面5●「社外秘」という文字が1回以上出現するファイルに対して、「重要度=高」を設定している
4.分類規則の設定:再評価の設定
分類規則の[評価の種類]から設定する。ダイナミックアクセス制御で分類規則を利用する場合、分類規則の評価は定期的に実行する必要がある。そのため、[既存のプロパティ値を再評価する]にチェックをつけておく。
分類の実行と確認
ここまでの設定が完了したら、左ペインの[分類規則]を右クリックし、[すべての規則で今すぐ分類を実行する]をクリックする。すると、分類がはじまり、規則に当てはまるファイル/フォルダーには「重要度=高」のような分類が設定される。ファイル/フォルダーに設定されたことを確認する場合、ファイル/フォルダーのプロパティから[分類]タブをクリックする。
画面6●分類規則に一致するファイルに対して「重要度=高」が設定された様子
分類ができたら、3回に渡って紹介してきたダイナミックアクセス制御の設定も完了だ。実際に適用される様子を確認してみよう。ここではファイル/フォルダーに対して、実際に割り当てられるアクセス許可が確認できる[有効なアクセス]を使って確認する。今回のダイナミックアクセス制御の設定状況は図3のとおりだ。
図3●集約型アクセス規則では変更、NTFSアクセス許可ではフルコントロールのアクセス許可が割り当てられている
[有効なアクセス]はファイル/フォルダーのプロパティから[セキュリティ]-[詳細設定]-[有効なアクセス]の順にアクセスする。[有効なアクセス]でファイルにアクセスするユーザーを指定すると、そのユーザーに与えられるアクセス許可が確認できる(画面7)。画面7で確認できるように、集約型アクセス規則によって、フルコントロールのアクセス許可ではなく、変更のアクセス許可が代わりに割り当てられたことが確認できる。
画面7●フルコントロールのアクセス許可が割り当てられていないことがわかる
ダイナミックアクセス制御で広がる、ファイル制御方法
今回は「重要度=高」というファイル、「役職=部長」というユーザーの条件でダイナミックアクセス制御を設定する方法を紹介してきた。これはあくまでも一例であり、重要度以外にも自由にリソースプロパティを設定できるし、役職以外にも様々な属性を利用できる。
大事なことはユーザー、コンピューター、ファイル、フォルダーが持つ属性に基づいて自動的にアクセス許可を制御できることである。設定は少々面倒かもしれないが、直観的なアクセス許可体系を構築できれば、その後のアクセス許可に関する運用は随分と楽なものになるであろう。
今回は紹介できなかったが、ダイナミックアクセス制御はアクセス監査を行うために利用したり、分類管理機能と組み合わせて条件に当てはまるファイルに対して各種操作を行うなどの処理も可能にある。今回のダイナミックアクセス制御の設定方法を覚えていただき、こうした処理にもチャレンジしていただければと考えている。
