VNX for FileでACLの管理と適用のためポリシーの使用方法 - …...この機能は、Windows Server 2000、2003、2008サーバで動作します。導入時の注意事項

1

EMC® VNX®シリーズ

リリース8.1

VNX for FileでACLの管理と適用のためのグループポリシーの使用方法

P/N 300-014-341 リビジョン01

2013年8月

このテクニカルノートには、以下のトピックに関する情報を掲載しています。

ビジネス上の問題 ............................................................................................. 2 はじめに ............................................................................................................. 2 新機能 ................................................................................................................. 2 アーキテクチャ ................................................................................................. 3 クライアントの考慮事項.................................................................................. 7 導入時の注意事項 ............................................................................................. 7 Windows GUI.................................................................................................... 8 付録：グループポリシーオブジェクトエディタ ..................................... 14

2

ビジネス上の問題

EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法

ビジネス上の問題

Windows管理者は、MMC（Microsoft管理コンソール）GPO（グループポリシーオブジェクト）を使用して、それぞれのWindows環境を構成できます。このファイルシステムオブジェクトを使用して、ACE（アクセスコントロールエントリー）を入力し、ユーザーやグループに対してWindows内のファイルシステムオブジェクトへのアクセスを許可および制限できます。ファイルシステムに対するACEのグループは、ACL（アクセスコントロールリスト）と呼ばれています。Windowsは、管理者が設定したセキュリティルールに従い、ファイルシステムのACLを定期的に更新します。ルールが設定されていない場合、更新サイクルは90分ごとに実行されます。

更新サイクルは、コンピュータリソースを集中的に使用する場合があります。特に、大きくて、階層が深く、多数のディレクトリ分岐があるファイルシステムでは顕著です。また、すぐには更新されないため、ACLの更新時刻とGPOルールの更新時刻の間でセキュリティループホールが存在する場合もあります。このような理由から、EMC® VNX®オペレーティングシステムはファイルシステムACLの更新イベントを開始して、ファイルシステムに迅速に変更を提供することができます。

はじめに

EMC VNX for Fileには、GPOのセキュリティ設定をファイルシステムに直接適用できるGUIツールがあります。これには、Windows Serverからセキュリティ更新を適用するのと同じ効果がありますが、セキュリティ設定はData Moverでローカルに管理されるため、大きな深いディレクトリ上で所要時間が大幅に短縮されます。

新機能

この機能は、EMC VNX for file 7.0以降でサポートされます。EMC VNX for file 7.0以前のバージョンの場合、Windowsのお客様は、Windowsドメインコントローラで［gpupdate.exe］コマンドを実行して、セキュリティ設定を直ちに実行させることができます。

3

アーキテクチャ

Patni社外秘



例として次のWindows構成を考慮します。

CIFSサーバ： 108DM3-114

CIFS共有： FS3

ディレクトリ: \dir4

ディレクトリのUNC： \\108DM3-114\FS3\dir4

ユーザー：ユーザー1およびユーザー2

ユーザー1にはディレクトリの完全な管理が付与され、ユーザー2はディレクトリへのすべてのアクセスが拒否されます。

付録：グループポリシーオブジェクトエディタは、グループポリシーエディタを起動する手順を説明しています。

ファイルシステムセキュリティACLを設定するには、次の手順に従います。

1. デフォルトドメインポリシーで、［コンピュータの構成］＞［Windowsの設定］＞［セキュリティの設定］＞［ファイルシステム］に移動します。

2. ［ファイルシステム］を右クリックし、［ファイルの追加］を選択します。［ファイルまたはフォルダを追加します］ウィンドウで、［フォルダ］テキストボックスにディレクトリ（またはファイル）のUNCパスを入力します。この例では、「\\108DM3-114\fs3\dir4」と入力します。UNCは、右側のパネルにある［オブジェクト名］の下に表示されます（図1を参照）。

4



図1：グループポリシーオブジェクトエディタ 3. ディレクトリのACLを入力するには、右側のパネルでUNC名を右クリックし、［プロパティ］を選択します。

3つのセキュリティポリシー設定があることに注意します（図2を参照）。

• プロパゲート：設定がすべてのサブディレクトリやファイルまでプロパゲートされます。

• リプレース：設定がサブディレクトリやファイルにあるすべての既存の権限とリプレースされます。

• このファイルまたはフォルダのアクセス許可の置き換えを許可しない：アクションは実行されません。

5


Patni社外秘


図2：セキュリティのプロパティ 4. ACLエントリーを追加するには、［セキュリティの編集］をクリックします。図3 は、ユーザー1とユーザー2のACLを示し、ユーザー1にはフルアクセスが付与され、ユーザー2はすべてのアクセスが拒否されます。

6



図3：ユーザーおよびグループ権限の割り当てこのGPO設定はしばらく更新の予定がないため、ドメイン管理者として別のWindowsクライアントにログオンしてこれをテストし、ディレクトリをマップしてユーザー2がこのディレクトリを完全に制御するようにできます。

ログオフし、ユーザー2としてログオンします。このディレクトリに移動します。ユーザー2が/fs3/dir4でファイルおよびサブディレクトリを作成できるようになっているはずです。

このセキュリティ設定を直ちに適用させるには、CIFSサーバがあるVNXのControl Stationにログオンして次のコマンドを実行します。

server_security server_x -update –policy gpo

server_securityは、Active DirectoryでGPOの読み取りを強制します。

7

クライアントの考慮事項

Patni社外秘


専用スレッドが起動すると、ファイルシステムGPOが非同期的に適用されます。しばらくすると、ユーザー2には、このディレクトリでフォルダやファイルを作成する権限がなくなっています。

クライアントの考慮事項

この機能は、Windows Server 2000、2003、2008サーバで動作します。

導入時の注意事項

GPOは定期的に更新されます。デフォルトでは、16時間ごとに更新されます。Data Moverへのパフォーマンスインパクトを回避するために、更新と更新の間は長いインターバルがあります。更新のインターバルが比較的短く、次の更新時間になったときにGPO更新が完了していない場合、次の更新は前の更新が完了するのを待って続行します。

インターバルパラメータの更新 Data Moverのパラメータ、gpo.fileSecurityUpdateIntervalを使用して、CIFSファシリティで更新のインターバルを定義できます。

以下はパラメータの詳細です。

$ server_param server_2 –facility cifs –info gpo.fileSecurityUpdateInterval server_2 name = gpo.fileSecurityUpdateInterval facility_name = cifs default_value = 17 current_value = 60 configured_value =

user_action =なし change_effective = immediate

range =（10,259200）

description = GPOの 2回の更新間のインターバル（単位：時間）補足情報については、「VNXパラメータガイド」を参照してください。

8

Windows GUI


Windows GUI

EMCは、ファイルシステムのセキュリティを強化するWindows GUI ツールを開発しました。このグラフィックツールを使用して、ディレクトリツリーでファイルシステムのセキュリティ設定を更新します。

UNC（Universal Naming Convention）パスを使用してマップしたディレクトリツリーのあるWindowsサーバでこのツールを使用します。

注: このツールで使用するパス名は、UNC形式（\\server\share\）で入力する必要があります。

このツールは、他の形式のパス名は受け入れません。たとえば、ネットワークドライブがUNC形式を使用して以前にマップされた場合でも、Z:\directory\file-name形式では機能しません。

ツール名はemcacl.exeです。Windows GUI ツールを使用するには、次の手順に従います。

1. このツールにアクセスするには、［スタート］＞［ファイル名を指定して実行］の順にクリックするか、または次のように入力してシステムプロンプトのコマンドラインからアクセスできます。

emcacl.exe /secwin.

9

Windows GUI

Patni社外秘


図4：EMC Security Directive Editor EMC Security Directive Editorには、2つの主要なセクションがあります。最初のセクションには、定義済みのすべてのUNCパスが表示されます。2つ目のセクションには、特定のアクションボタンがある3つのグループが表示されます。

エディションアクション Fileの構文解析初めてエディタを使用する場合、メインウィンドウは空白になります。UNC パスを追加するには、［追加］をクリックします

2. ［Add an Object（オブジェクトの追加）］プロンプトにUNCのパス

を入力します。この例では、\\Fuzzy\SFTP\b01としてUNCパスを

追加します。

10

Windows GUI


図5：UNCパス名の追加メイン画面でUNCパスが強調表示されている間は、［編集］をクリックして、権限設定を変更できます。\\Fuzzy\SFTP\b01ウィンドウのセキュリティは、図6のように表示されます。

3. ユーザーとグループをUNCパスに追加するには、［追加］をクリックします。次に、Windowsユーザーには見慣れた画面のダイアログが表示されるので、ローカルコンピュータまたはActive Directoryからユーザーを選択します。

11

Windows GUI

Patni社外秘


図6：ユーザーおよびグループの追加［詳細設定］をクリックして、さらに詳細な権限をユーザーとグループに割り当てることができます（図7を参照）。

4. ユーザーとグループの権限が割り当てられたら、アクショングループで［適用］をクリックします。これで、割り当てられた権限が指定されたUNCパスに適用されます。

注: 図6には、伝播モードを選択できるドロップダウンリストがあります。

12

Windows GUI


次の3つの伝播モードがあります。

• ACLのリプレース：設定がサブディレクトリやファイルにあるすべての既存の権限とリプレースされます

• ACLのマージ：設定がサブディレクトリやファイルにある既存の権限とマージされます

• 伝播の停止：上位のディレクトリからの権限がサブディレクトリやファイルに適用されません

図7：高度なセキュリティ設定の追加：ユーザーまたはグループの選択

5. ［編集］をクリックして、ユーザーまたはグループの権限エントリーを表示または変更します（図8を参照）。

13

Windows GUI

Patni社外秘


図8：ユーザーまたはグループの権限エントリー

14

付録：グループポリシーオブジェクトエディタ



グループポリシーオブジェクトエディタを起動するには、次の手順に従います。

1. ［スタート］＞［ファイル名を指定して実行］の順にクリックし、「mmc」と入力します。コンソールルートのある画面が表示されます。

2. ［ファイル］＞［スナップインの追加と削除］の順にクリックします。［スナップインの追加と削除］ウィンドウが表示されます。

3. ［追加］をクリックします。［スタンドアロンスナップインの追加］ウィンドウが表示されます。下にスクロールして［グループポリシーオブジェクトエディタ］を表示し、［追加］をクリックします。これで、ウィザード画面が表示されます。

4. ［Browse］をクリックします。［ドメイン/OU］が表示されます。探す場所: ドロップダウンリストで、ドメイン名を選択してから、［ドメイン、OU、およびリンクされたグループポリシーオブジェクト：］セクションの［既定のドメインポリシー］を選択して、［OK］をクリックします。

5. ［完了］をクリックして、［スタンドアロンスナップインの追加］ウィンドウに戻ります。

6. ［閉じる］をクリックして、［スナップインの追加と削除］ウィンドウに戻ります。

7. ［OK］をクリックして、［コンソール1］ウィンドウに戻ります。 8. [ドメイン名に対応する]デフォルトドメインポリシーツリーを開きます。［コンピュータの構成］＞［Windowsの設定］＞［セキュリティの設定］＞［ファイルシステム］をクリックします。

9. ［ファイルシステム］を右クリックします。［ファイルの追加］を選択し、［ファイルまたはフォルダを追加します］ウィンドウで［フォルダ：］テキストボックスに移動して、ACL設定を適用するディレクトリまたはファイルのUNCパスを入力します。

注: このUNCパスは、DNSが認識するUNCパスである必要があります。一般的に、IPアドレスを使用するUNCパスは機能しません。\\server-x\dir-y\file-zなどのように、UNCパスの名前が付けられたネームサービスが必要です。

グループポリシー更新率を変更する場合、前述のように、デフォルトドメインポリシーエディタを起動し、[ドメイン名に対応する]デフォルトドメインポリシーツリーを選択します。

15


Patni社外秘


10. ［管理用テンプレート］＞［システム］＞［グループポリシー］をクリックして、［標準］タブをクリックします。ワークステーションとドメインコントローラのグループポリシーの更新間隔が表示されます。

11. ユーザーの権利を変更する必要がある場合は、グループポリシーエディタを使用します。［スタート］＞［ファイル名を指定して実行］に移動して、「gpedit.msc」と入力してエディタを起動します。［ローカルコンピュータポリシー］で、［コンピュータの構成］＞［Windowsの設定］＞［セキュリティの設定］＞［ローカルポリシー］＞［ユーザー権利の割り当て］に移動します。右側のパネルにポリシーが表示されます。

16



Copyright © 2013 EMC Corporation. All rights reserved. Published in the USA.

2013年8月発行

EMC Corporationは、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更されることがあります。

この資料に記載される情報は、現状有姿の条件で提供されています。EMC Corporationは、この資料に記載された情報に関していかなる種類の表明または保証をするものではなく、特に市場性の暗黙の保証や特定の目的の適合性を保証していません。この資料に記載される、いかなるEMCソフトウェアの使用、複製、頒布も、当該ソフトウェア・ライセンスが必要です。

EMC2、EMC、およびEMCのロゴは、EMC Corporationの登録商標または商標です。他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。

製品ラインの最新規制のドキュメントについては、EMCオンラインサポート用Webサイトの「Technical Documentation and Advisories」セクションにアクセスしてください。

ビジネス上の問題はじめに新機能アーキテクチャクライアントの考慮事項導入時の注意事項インターバルパラメータの更新

Windows GUI 付録：グループポリシーオブジェクトエディタ

Documents

VNX for FileでACLの管理と適用のため ポリシーの使用方法 - …...この機能は、Windows Server 2000、2003、2008サーバで動作します。 導入時の注意事項

VNX for FileでACLの管理と適用のためポリシーの使用方法 - …...この機能は、Windows Server 2000、2003、2008サーバで動作します。導入時の注意事項