集約型アクセス ポリシーの展開 (デモンストレーション手順)
このシナリオでは、金融部門のセキュリティ運用では、集約型情報セキュリティを操作して、ファイル サーバーに保管されたアーカイブ金融情報を保護できるように集約型アクセス ポリシーのニーズを指定します。 各国のアーカイブ金融情報には、同じ国の金融従業員が読み取り専用としてアクセスできます。 集約型金融管理グループは、すべての国の金融情報にアクセスできます。
集約型アクセス ポリシーの展開には、以下のフェーズがあります。
フェーズ | 説明 |
---|---|
計画: ポリシーのニーズと展開に必要な構成を特定する | ポリシーのニーズおよび展開に必要な構成を特定します。 |
実装: コンポーネントとポリシーを構成する | コンポーネントおよびポリシーを構成します。 |
集約型アクセス ポリシーを展開する | ポリシーを展開します。 |
メンテナンス: ポリシーを変更とステージング | ポリシーの変更とステージング。 |
テスト環境を設定する
開始する前に、このシナリオをテストするラボを設定する必要があります。 ラボを設定する手順については、「付録 B: テスト環境の設定」を参照してください。
計画: ポリシーのニーズと展開に必要な構成を特定する
このセクションでは、展開の計画フェーズで役立つ一連の大まかな手順を示します。
手順番号 | 手順 | 例 |
---|---|---|
1.1 | ビジネスで集約型アクセス ポリシーが必要であると判断する | ファイル サーバーに保管されている金融情報を保護するために、金融部門のセキュリティ運用では、集約型情報セキュリティを操作して、集約型アクセス ポリシーのニーズを指定します。 |
1.2 | アクセス ポリシーを表現する | 金融ドキュメントは、金融部門のメンバーのみが読み取るようにする必要があります。 金融部門のメンバーは、属している国のドキュメントのみにアクセスする必要があります。 書き込みアクセス権限を備えているのは、金融管理者のみにします。 FinanceException グループのメンバーに対して例外が許可されるようにします。 このグループは読み取りアクセス権限を備えています。 |
1.3 | Windows Server 2012 コンストラクトでアクセス ポリシーを表現する | ターゲット: - Resource.Department Contains Finance アクセス規則: - Allow read User.Country=Resource.Country AND User.department = Resource.Department 例外: Allow read memberOf(FinanceException) |
1.4 | ポリシーに必要なファイル プロパティを決定する | 次の項目でファイルにタグを付けます。 - 部署 |
1.5 | ポリシーに必要な要求の種類とグループを決定する | 要求の種類: - 国 ユーザー グループ: - FinanceAdmin |
1.6 | このポリシーを適用するサーバーを決定する | すべての金融ファイル サーバーでポリシーを適用します。 |
実装: コンポーネントとポリシーを構成する
このセクションでは、金融ドキュメント用の集約型アクセス ポリシーを展開する例を示します。
手順番号 | 手順 | 例 |
---|---|---|
2.1 | 要求の種類を作成する | 次の要求の種類を作成します。 - 部署 |
2.2 | リソース プロパティを作成する | 次のリソース プロパティを作成して有効にします。 - 部署 |
2.3 | 集約型アクセス規則を構成する | 前のセクションで決定したポリシーが含まれた金融ドキュメント規則を作成します。 |
2.4 | 集約型アクセス ポリシー (CAP) を構成する | 金融ポリシーという CAP を作成し、その CAP に金融ドキュメント規則を追加します。 |
2.5 | 集約型アクセス ポリシーのターゲットをファイル サーバーに設定する | 金融ポリシー CAP をファイル サーバーにパブリッシュします。 |
2.6 | KDC での信頼性情報、複合認証、および Kerberos 防御のサポートを有効にする | contoso.com について KDC での信頼性情報、複合認証、および Kerberos 防御のサポートを有効にします。 |
次の手順では、国と部署という 2 種類の要求を作成します。
要求の種類を作成するには
Hyper-V マネージャーでサーバー DC1 を開き、パスワード pass@word1 を使用して contoso\administrator としてログオンします。
Active Directory 管理センターを開きます。
ツリー ビュー アイコンをクリックし、[ダイナミック アクセス制御] を展開し、[要求の種類] を選択します。
[要求の種類] を右クリックし、[新規作成] をクリックしてから、[要求の種類] をクリックします。
ヒント
[タスク] ウィンドウから [要求の種類の作成:] ウィンドウを開きます。 [タスク] ウィンドウで [新規作成] をクリックしてから、[要求の種類] をクリックします。
[ソース属性] リストで属性のリストを下にスクロールし、[department] をクリックします。 これにより、[表示名] フィールドに [department] のデータが設定されます。 [OK] をクリックします。
[タスク] ウィンドウで [新規作成] をクリックしてから、[要求の種類] をクリックします。
[ソース属性] リストで属性のリストを下にスクロールし、[c] 属性 (国名) をクリックします。 [表示名] フィールドに country と入力します。
[提案された値] セクションで [次の値を提案します:] を選択してから、[追加] をクリックします。
[値] フィールドおよび [表示名] フィールドに US と入力してから、[OK] をクリックします。
上記ステップを繰り返します。 [提案された値の追加] ダイアログ ボックスの [値] フィールドおよび [表示名] フィールドに JP と入力してから、[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department
ヒント
Active Directory 管理センターの Windows PowerShell 履歴ビューアーを使用して、Active Directory 管理センターで実行する各手順の Windows PowerShell コマンドレットを検索できます。 詳細については、「Windows PowerShell 履歴ビューアー」を参照してください。
次の手順では、リソース プロパティを作成します。 次の手順では、ドメイン コントローラーのグローバル リソース プロパティ リストに自動的に追加されるリソース プロパティを作成して、ファイル サーバーで使用可能にします。
事前作成のリソース プロパティを作成して有効にするには
Active Directory 管理センターの左側のウィンドウで、[ツリー ビュー] をクリックします。 [ダイナミック アクセス制御] を展開してから、[リソース プロパティ] を選択します。
[リソース プロパティ] を右クリックし、[新規作成] をクリックしてから、[参照用リソース プロパティ] をクリックします。
ヒント
[タスク] ウィンドウからリソース プロパティを選択することもできます。 [新規作成] をクリックしてから、[参照用リソース プロパティ] をクリックします。
[提案された値リストを共有する要求の種類の選択] で、[country] をクリックします。
[表示名] フィールドに country と入力してから、[OK] をクリックします。
[リソース プロパティ] リストをダブルクリックし、[Department] リソース プロパティまで下にスクロールします。 右クリックし、[有効にする] をクリックします。 これにより、ビルトイン [Department] リソース プロパティが有効になります。
これで、Active Directory 管理センターのナビゲーション ウィンドウの [リソース プロパティ] リストに、次の 2 つの有効になっているリソース プロパティが含まれています。
国
Department
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS
次の手順では、リソースにアクセスできるユーザーを定義する集約型アクセス規則を作成します。 このシナリオでは、ビジネス規則は次のようにします。
金融ドキュメントは、金融部門のメンバーのみが読み取ることができます。
金融部門のメンバーは、属している国のドキュメントのみにアクセスできます。
書き込みアクセス権限を備えることができるのは、金融管理者のみにします。
FinanceException グループのメンバーに対して例外を許可します。 このグループは読み取りアクセス権限を備えています。
管理者およびドキュメント所有者は引き続き、フル アクセスできます。
または、Windows Server 2012 コンストラクトを使用して規則を表現するために、次のようにします。
ターゲット設定: Resource.Department Contains Finance
アクセス規則:
Allow Read User.Country=Resource.Country AND User.department = Resource.Department
Allow Full control User.MemberOf(FinanceAdmin)
Allow Read User.MemberOf(FinanceException)
集約型アクセス規則を作成するには
Active Directory 管理センターの左側のウィンドウで、[ツリー ビュー] をクリックし、[ダイナミック アクセス制御] を選択してから、[集約型アクセス規則] をクリックします。
[集約型アクセス規則] を右クリックし、[新規作成] をクリックしてから、[集約型アクセス規則] をクリックします。
[名前] フィールドに「金融ドキュメント規則」と入力します。
[ターゲット リソース] セクションで [編集] をクリックし、[集約型アクセス規則] ダイアログ ボックスで [条件の追加] をクリックします。 次の条件を追加します。[リソース] [Department] [等しい] [値] [Finance]。次に、[OK] をクリックします。
[アクセス許可] セクションで [次のアクセス許可を現在のアクセス許可として使用する] を選択し、[編集] をクリックし、[アクセス許可のセキュリティの詳細設定] ダイアログ ボックスで [追加] をクリックします。
注意
[次のアクセス許可を、提案されたアクセス許可として使用する] オプションを使用することで、ステージングのポリシーを作成できます。 これを行う方法の詳細については、このトピックの「メンテナンス: ポリシーを変更およびステージングする」セクションを参照してください。
[アクセス許可のアクセス許可エントリ] ダイアログ ボックスで [プリンシパルの選択] をクリックし、「Authenticated Users」と入力してから、[OK] をクリックします。
[アクセス許可のアクセス許可エントリ] ダイアログ ボックスで [条件の追加] をクリックし、次の条件を追加します。[ユーザー][country][いずれかを満たす][リソース][country][条件の追加] をクリックします。 [And]。[ユーザー] [Department] [いずれかを満たす] [リソース] [Department] をクリックします。 [アクセス許可] を [読み取り] に設定します。
[OK] をクリックしてから、[追加] をクリックします。 [プリンシパルの選択] をクリックし、FinanceAdmin と入力してから、[OK] をクリックします。
[変更]、[読み取りと実行]、[読み取り]、[書き込み] の各アクセス許可を選択してから、[OK] をクリックします。
[追加] をクリックし、[プリンシパルの選択] をクリックし、FinanceException と入力してから、[OK] をクリックします。 アクセス許可が [読み取り] および [読み取りと実行] になるように選択します。
[OK] を 3 回クリックして終了し、Active Directory 管理センターに戻ります。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition
重要
上記のコマンドレットの例では、グループ FinanceAdmin およびユーザーのセキュリティ ID (SID) は作成時に決定されるため、お客様の例では異なるものになります。 たとえば、FinanceAdmin に指定されている SID 値 (S-1-5-21-1787166779-1215870801-2157059049-1113) は、ご使用の展開で作成する必要がある FinanceAdmin グループの実際の SID に置き換える必要があります。 Windows PowerShell を使用して、このグループの SID 値を検索し、その値を変数に割り当ててから、その変数をここで使用できます。 詳細については、「Windows PowerShell ヒント: SID の使用」を参照してください。
これで、ユーザーが同じ国および同じ部門のドキュメントにアクセスできるようにする集約型アクセス規則が作成されました。 この規則により、FinanceAdmin グループはドキュメントを編集でき、FinanceException グループはドキュメントを読み取ることができます。 この規則のターゲットは、金融として分類されているドキュメントのみです。
集約型アクセス規則を集約型アクセス ポリシーに追加するには
Active Directory 管理センターの左側のウィンドウで、[ダイナミック アクセス制御] をクリックしてから、[集約型アクセス ポリシー] をクリックします。
[タスク] ウィンドウの [新規作成] をクリックし、[集約型アクセス ポリシー] をクリックします。
[集約型アクセス ポリシーの作成:] の [名前] ボックスに「金融ポリシー」と入力します。
[メンバー集約型アクセス規則] で [追加] をクリックします。
[金融ドキュメント規則] をダブルクリックして [次の集約型アクセス規則を追加します] リストに追加してから、[OK] をクリックします。
[OK] をクリックして完了します。 これで、金融ポリシーという集約型アクセス ポリシーが作成されました。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"
グループ ポリシーを使用してファイル サーバー全体で集約型アクセス ポリシーを適用するには
[スタート] 画面の [検索] ボックスに「グループ ポリシーの管理」と入力します。 [グループ ポリシーの管理] をダブルクリックします。
ヒント
[管理ツールを表示] の設定が無効になっていると、[管理ツール] フォルダーとその内容は [設定] の結果に表示されません。
ヒント
運用環境では、ファイル サーバー組織単位 (OU) を作成し、このポリシーを適用するすべてのファイル サーバーをその OU に追加する必要があります。 次に、グループ ポリシーを作成し、この OU をそのポリシーに追加できます。
この手順では、テスト環境のセクション「ドメイン コントローラーを作成する」で作成したグループ ポリシー オブジェクトを編集して、作成した集約型アクセス ポリシーを組み込みます。 グループ ポリシー管理エディターで、ドメイン (この例では contoso.com) の組織単位に移動して選びます。[グループ ポリシーの管理]、[フォレスト: contoso.com]、[ドメイン]、contoso.com、Contoso、FileServerOU。
[FlexibleAccessGPO] を右クリックしてから、[編集] をクリックします。
[グループ ポリシー管理エディター] ウィンドウで、[コンピューターの構成] に移動し、[ポリシー] を展開し、[Windows の設定] を展開し、[セキュリティの設定] をクリックします。
[ファイル システム] を展開し、[集約型アクセス ポリシー] を右クリックしてから、[集約型アクセス ポリシーの管理] をクリックします。
[集約型アクセス ポリシー構成] ダイアログ ボックスで [金融ポリシー] を追加してから、[OK] をクリックします。
[監査ポリシーの詳細な構成] まで下にスクロールしてこれを展開します。
[監査ポリシー] を展開し、[オブジェクト アクセス] を選択します。
[集約型アクセス ポリシー ステージングの監査] をダブルクリックします。 3 つすべてのチェック ボックスを選択してから、[OK] をクリックします。 この手順により、システムは、集約型アクセス ステージング ポリシーに関連した監査イベントを受信できるようになります。
[ファイル システム プロパティの監査] をダブルクリックします。 3 つすべてのチェック ボックスを選択してから、[OK] をクリックします。
グループ ポリシー管理エディターを閉じます。 これで、集約型アクセス ポリシーがグループ ポリシーに組み込まれました。
ドメインのドメイン コントローラーで信頼性情報またはデバイスの承認データを提供するには、ダイナミック アクセス制御をサポートするようにドメイン コントローラーを構成する必要があります。
contoso.com の信頼性情報および複合認証のサポートを有効にするには
グループ ポリシーの管理を開き、contoso.com をクリックしてから、[ドメイン コントローラー] をクリックします。
[既定のドメイン コントローラー ポリシー] を右クリックし、[編集] をクリックします。
[グループ ポリシー管理エディター] ウィンドウで [コンピューターの構成] をダブルクリックし、[ポリシー] をダブルクリックし、[管理用テンプレート] をダブルクリックし、[システム] をダブルクリックしてから、[KDC] をダブルクリックします。
[KDC で信頼性情報、複合認証、および Kerberos 防御をサポートする] をダブルクリックします。 [KDC で信頼性情報、複合認証、および Kerberos 防御をサポートする] ダイアログ ボックスで [有効] をクリックし、[オプション] ドロップ ダウン リストから [サポートされています] を選択します。 (集約型アクセス ポリシーでユーザーの信頼性情報を使用するには、この設定を有効にする必要があります)。
[グループ ポリシー管理] を閉じます。
コマンド プロンプトを開き、「
gpupdate /force
」と入力します。
集約型アクセス ポリシーを展開する
手順番号 | 手順 | 例 |
---|---|---|
3.1 | ファイル サーバー上の該当する共有フォルダーに CAP を割り当てる。 | ファイル サーバー上の該当する共有フォルダーに集約型アクセス ポリシーを割り当てます。 |
3.2 | アクセスが適切に構成されていることを確認する。 | さまざまな国および部門のユーザーについてアクセスを確認します。 |
この手順では、ファイル サーバーに集約型アクセス ポリシーを割り当てます。 以前の手順で作成した集約型アクセス ポリシーを受信するファイル サーバーにログオンし、ポリシーを共有フォルダーに割り当てます。
ファイル サーバーに集約型アクセス ポリシーを割り当てるには
Hyper-V マネージャーでサーバー FILE1 に接続します。 contoso\administrator とパスワード pass@word1 を使用してサーバーにログオンします。
管理者特権でのコマンド プロンプトを開き、コマンド「gpupdate /force」を入力します。 これにより、グループ ポリシーの変更がサーバーで有効になります。
Active Directory からグローバル リソース プロパティーを更新する必要もあります。 管理者特権で Windows PowerShell ウィンドウを開き、「
Update-FSRMClassificationpropertyDefinition
」と入力します。 Enter キーをクリックしてから、Windows PowerShell を閉じます。ヒント
ファイル サーバーにログオンしてグローバル リソース プロパティを更新することもできます。 ファイル サーバーからグローバル リソース プロパティを更新するには、次のようにします。
- パスワード pass@word1 を使用して contoso\administrator としてファイル サーバー FILE1 にログオンします。
- ファイル サーバー リソース マネージャーを開きます。 ファイル サーバー リソース マネージャーを開くには、[スタート] をクリックし、「ファイル サーバー リソース マネージャー」と入力してから、[ファイル サーバー リソース マネージャー] をクリックします。
- ファイル サーバー リソース マネージャーで [ファイル分類管理] をクリックし、[分類プロパティ] を右クリックしてから、[更新] をクリックします。
エクスプローラーを開き、左側のウィンドウでドライブ D をクリックします。[Finance Documents] フォルダーを右クリックし、[プロパティ] をクリックします。
[分類] タブをクリックし、[Country] をクリックしてから、[値] フィールドで [US] を選択します。
[Department] をクリックしてから、[値] フィールドで [Finance] を選択し、[適用] をクリックします。
注意
集約型アクセス ポリシーは、金融部門のファイルをターゲットにするように構成されていることに注意してください。 以前の手順では、Country 属性および Department 属性を使用して、フォルダー内のすべてのドキュメントをマークしています。
[セキュリティ] タブをクリックし、[詳細設定] をクリックします。 [集約型ポリシー] タブをクリックします。
[変更] をクリックし、ドロップダウン メニューから [金融ポリシー] を選択してから、[適用] をクリックします。 [金融ドキュメント規則] がポリシーにリストされているのを確認できます。 この項目を展開して、Active Directory の規則を作成したときに設定したすべてのアクセス許可を表示します。
[OK] をクリックしてエクスプローラーに戻ります。
次の手順では、アクセスが適切に構成されているかを確認します。 ユーザー アカウントには、適切な部門属性が設定されている必要があります (これは、Active Directory 管理センターを使用して設定します)。 新規ポリシーの結果を表示する最もシンプルな方法としては、エクスプローラーの [有効なアクセス] タブを使用します。 [有効なアクセス] タブには、特定のユーザー アカウントのアクセス権限が表示されます。
各種ユーザーのアクセスを調べるには
Hyper-V マネージャーでサーバー FILE1 に接続します。 contoso\administrator を使用してサーバーにログオンします。 エクスプローラーで D:\ に移動します。 [Finance Documents] フォルダーを右クリックしてから、[プロパティ] をクリックします。
[セキュリティ] タブをクリックし、[詳細設定] をクリックしてから、[有効なアクセス] タブをクリックします。
ユーザーのアクセス許可を調べるには、[ユーザーの選択] をクリックし、ユーザー名を入力してから、[有効なアクセス許可の表示] をクリックして有効なアクセス権限を表示します。 例:
Myriam Delesalle (MDelesalle) は金融部門に属しており、フォルダーに対する読み取りアクセス権を必要としています。
Miles Reid (MReid) は FinanceAdmin グループのメンバーであり、フォルダーに対する変更アクセス権を必要としています。
Esther Valle (EValle) は金融部門に属していませんが、FinanceException グループのメンバーであり、読み取りアクセス権が必要です。
Maira Wenzel (MWenzel) は金融部門に属しておらず、また FinanceAdmin グループと FinanceException グループのいずれのメンバーでもありません。 フォルダーに対するどのアクセスも備えていてはなりません。
[有効なアクセス] ウィンドウの [アクセスの制限者] とう最後の列に注目してください。 この列は、ユーザーのアクセス許可を決定しているゲートを示します。 この場合、共有および NTFS のアクセス許可により、すべてのユーザーにフル コントロールが許可されています。 ただし、集約型アクセス ポリシーは、以前に構成した規則に基づいてアクセスを制限します。
メンテナンス: ポリシーの変更とステージング
手順番号 | 手順 | 例 |
---|---|---|
4.1 | クライアント用のデバイスの信頼性情報を構成する | グループ ポリシー設定を設定してデバイスの信頼性情報を有効にします。 |
4.2 | デバイスの信頼性情報を有効にする | デバイスの国の信頼性情報の種類を有効にします。 |
4.3 | 変更する既存の集約型アクセス規則にステージング ポリシーを追加する | 金融ドキュメント規則を変更して、ステージング ポリシーを追加します。 |
4.4. | ステージング ポリシーの結果を表示する | Ester Velle のアクセス許可を確認します。 |
デバイスの信頼性情報を有効にするためにグループ ポリシー設定をセットアップするには
DC1 にログオンし、グループ ポリシーの管理を開き、contoso.com をクリックし、[既定のドメイン ポリシー] をクリックし、右クリックして [編集] を選択します。
[グループ ポリシー管理エディター] ウィンドウで [コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[システム]、[Kerberos] に移動します。
[要求、複合認証、および Kerberos 防御の Kerberos クライアント サポート] を選択し、[有効にする] をクリックします。
デバイスの信頼性情報を有効にするには
Hyper-V マネージャーでサーバー DC1 を開き、パスワード pass@word1 を使用して contoso\Administrator としてログオンします。
[ツール] メニューから Active Directory 管理センターを開きます。
[ツリー ビュー] をクリックし、[ダイナミック アクセス制御] を展開し、[要求の種類] をダブルクリックし、country 要求をダブルクリックします。
[この種類の要求は次のクラスに対して発行できます] で [コンピューター] チェック ボックスを選択します。 [OK] をクリックします。 これで、[ユーザー] と [コンピューター] の両チェック ボックスが選択されています。 デバイスでユーザーに加えて country 要求を使用できるようになりました。
次の手順では、ステージング ポリシー規則を作成します。 ステージング ポリシーを使用して、新規ポリシー エントリを有効にする前にその効果をモニターできます。 次の手順では、ステージング ポリシー エントリを作成し、共有フォルダーでその効果をモニターします。
ステージング ポリシー規則を作成して集約型アクセス ポリシーに追加するには
Hyper-V マネージャーでサーバー DC1 を開き、パスワード pass@word1 を使用して contoso\Administrator としてログオンします。
Active Directory 管理センターを開きます。
[ツリー ビュー] をクリックし、[ダイナミック アクセス制御] を展開し、[集約型アクセス規則] を選択します。
[金融ドキュメント規則] を右クリックしてから、[プロパティ] をクリックします。
[提案されたアクセス許可] セクションで [アクセス許可のステージング構成を有効にする] チェック ボックスを選択し、[編集] をクリックしてから、[追加] をクリックします。 [提案されたアクセス許可のアクセス許可エントリ] ウィンドウで [プリンシパルの選択] リンクをクリックし、「Authenticated Users」と入力してから、[OK] をクリックします。
[条件の追加] リンクをクリックし、次の条件を追加します。[ユーザー][country][いずれかを満たす][リソース][Country]。
[条件の追加] をもう一度クリックし、次の条件を追加します。[And][デバイス][country][いずれかを満たす][リソース][Country]
[条件の追加] を再度クリックし、次の条件を追加します。 [And] [ユーザー][グループ][次のいずれかに所属する][値](FinanceException)
FinanceException グループを設定するには、[項目の追加] をクリックし、[ユーザー、コンピューター、サービス アカウントまたはグループの選択] ウィンドウで FinanceException と入力します。
[アクセス許可] をクリックし、[フル コントロール] を選択し、[OK] をクリックします。
[提案されたアクセス許可のセキュリティの詳細設定] ウィンドウで [FinanceException] を選択し、[削除] をクリックします。
[OK] を 2 回クリックして完了します。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"
注意
上記のコマンドレットの例では、サーバー値はテスト ラボ環境のサーバーを反映しています。 Windows PowerShell 履歴ビューアーを使用して、Active Directory 管理センターで実行する各手順の Windows PowerShell コマンドレットを検索できます。 詳細については、「Windows PowerShell 履歴ビューアー」を参照してください。
この提案されたアクセス許可セットでは、FinanceException グループのメンバーは、属している国のファイルにドキュメントとして同じ国のデバイスを使用してアクセスした場合、そのファイルに対するフル アクセスを備えています。 金融部門のユーザーがファイルにアクセスしようとした場合、ファイル サーバーのセキュリティ ログに監査エントリが書き込まれます。 ただし、ポリシーがステージングのレベルから上げられるまで、セキュリティ設定は適用されません。
次の手順では、ステージング ポリシーの結果を確認します。 現在の規則に基づいてアクセス許可を備えているユーザー名を使用して、共有フォルダーにアクセスします。 Esther Valle (EValle) は FinanceException のメンバーであり、現在、読み取り権限を備えています。 このステージング ポリシーでは、EValle はどの権限も備えていてはなりません。
ステージング ポリシーの結果を確認するには
Hyper-V マネージャーでファイル サーバー FILE1 に接続し、パスワード pass@word1 を使用して contoso\administrator としてログオンします。
コマンド プロンプト ウィンドウを開き、gpupdate /force と入力します。 これにより、グループ ポリシーの変更がサーバーで有効になります。
Hyper-V マネージャーでサーバー CLIENT1 に接続します。 現在ログオンしているユーザーをログオフします。 仮想マシン CLIENT1 を再起動します。 次に、contoso\EValle pass@word1 を使用してコンピューターにログオンします。
\\FILE1\Finance Documents のデスクトップのショートカットをダブルクリックします。 EValle は引き続きファイルにアクセスできます。 FILE1 に切り替えます。
デスクトップのショートカットから [イベント ビューアー] を開きます。 [Windows ログ] を展開してから、[セキュリティ] を選択します。 [集約型アクセス ポリシー ステージング] タスク カテゴリの Event ID 4818 のエントリを開きます。 EValle にアクセスが許可されていたことがわかります。ただし、ステージング ポリシーに従えば、このユーザーはアクセスが拒否されていました。
次の手順
System Center Operations Manager などの集約型サーバー管理システムがある場合、イベントをモニターするように構成することもできます。 これにより、管理者は、集約型アクセス ポリシーを適用する前にその効果をモニターできます。