Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
1
EMC® VNX®シリーズ
リリース8.1
VNX for FileでACLの管理と適用のためのグループ ポリシーの使用方法
P/N 300-014-341 リビジョン01
2013年8月
このテクニカル ノートには、以下のトピックに関する情報を掲載しています。
ビジネス上の問題 ............................................................................................. 2 はじめに ............................................................................................................. 2 新機能 ................................................................................................................. 2 アーキテクチャ ................................................................................................. 3 クライアントの考慮事項.................................................................................. 7 導入時の注意事項 ............................................................................................. 7 Windows GUI.................................................................................................... 8 付録:グループ ポリシー オブジェクト エディタ ..................................... 14
2
ビジネス上の問題
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
ビジネス上の問題
Windows管理者は、MMC(Microsoft管理コンソール)GPO(グループ ポリシー オブジェクト)を使用して、それぞれのWindows環境を構成できます。このファイル システム オブジェクトを使用して、ACE(アクセス コントロール エントリー)を入力し、ユーザーやグループに対してWindows内のファイル システム オブジェクトへのアクセスを許可および制限できます。ファイル システムに対するACEのグループは、ACL(アクセス コントロール リスト)と呼ばれています。Windowsは、管理者が設定したセキュリティ ルールに従い、ファイル システムのACLを定期的に更新します。ルールが設定されていない場合、更新サイクルは90分ごとに実行されます。
更新サイクルは、コンピュータ リソースを集中的に使用する場合があ ります。特に、大きくて、階層が深く、多数のディレクトリ分岐があるファイル システムでは顕著です。また、すぐには更新されないため、ACLの更新時刻とGPOルールの更新時刻の間でセキュリティ ループ ホールが存在する場合もあります。このような理由から、EMC® VNX®オペレーティング システムはファイル システムACLの更新イベントを開始して、ファイル システムに迅速に変更を提供することができます。
はじめに
EMC VNX for Fileには、GPOのセキュリティ設定をファイル システムに直接適用できるGUIツールがあります。これには、Windows Serverからセキュリティ更新を適用するのと同じ効果がありますが、セキュリティ設定はData Moverでローカルに管理されるため、大きな深いディレクトリ上で所要時間が大幅に短縮されます。
新機能
この機能は、EMC VNX for file 7.0以降でサポートされます。EMC VNX for file 7.0以前のバージョンの場合、Windowsのお客様は、Windowsドメイン コントローラで[gpupdate.exe]コマンドを実行して、セキュリティ設定を直ちに実行させることができます。
3
アーキテクチャ
Patni社外秘
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
アーキテクチャ
例として次のWindows構成を考慮します。
CIFSサーバ: 108DM3-114
CIFS共有: FS3
ディレクトリ: \dir4
ディレクトリのUNC: \\108DM3-114\FS3\dir4
ユーザー:ユーザー1およびユーザー2
ユーザー1にはディレクトリの完全な管理が付与され、ユーザー2はディレクトリへのすべてのアクセスが拒否されます。
付録:グループ ポリシー オブジェクト エディタは、グループ ポリシー エディタを起動する手順を説明しています。
ファイル システム セキュリティACLを設定するには、次の手順に従います。
1. デフォルト ドメイン ポリシーで、[コンピュータの構成]> [Windowsの設定]>[セキュリティの設定]>[ファイル システム]に移動します。
2. [ファイル システム]を右クリックし、[ファイルの追加]を選択します。[ファイルまたはフォルダを追加します]ウィンドウで、[フォルダ]テキスト ボックスにディレクトリ(またはファイル)のUNCパスを入力します。この例では、「\\108DM3-114\fs3\dir4」と入力します。UNCは、右側のパネルにある[オブジェクト名]の下に表示されます(図1を参照)。
4
アーキテクチャ
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
図1:グループ ポリシー オブジェクト エディタ 3. ディレクトリのACLを入力するには、右側のパネルでUNC名を右クリックし、[プロパティ]を選択します。
3つのセキュリティ ポリシー設定があることに注意します(図2を 参照)。
• プロパゲート:設定がすべてのサブディレクトリやファイルまでプロパゲートされます。
• リプレース:設定がサブディレクトリやファイルにあるすべての既存の権限とリプレースされます。
• このファイルまたはフォルダのアクセス許可の置き換えを許可しない:アクションは実行されません。
5
アーキテクチャ
Patni社外秘
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
図2:セキュリティのプロパティ 4. ACLエントリーを追加するには、[セキュリティの編集]をクリックします。図3 は、ユーザー1とユーザー2のACLを示し、ユーザー1にはフルアクセスが付与され、ユーザー2はすべてのアクセスが拒否されます。
6
アーキテクチャ
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
図3:ユーザーおよびグループ権限の割り当て このGPO設定はしばらく更新の予定がないため、ドメイン管理者として別のWindowsクライアントにログオンしてこれをテストし、ディレクトリをマップしてユーザー2がこのディレクトリを完全に制御するようにできます。
ログオフし、ユーザー2としてログオンします。このディレクトリに移動します。ユーザー2が/fs3/dir4でファイルおよびサブディレクトリを作成できるようになっているはずです。
このセキュリティ設定を直ちに適用させるには、CIFSサーバがあるVNXのControl Stationにログオンして次のコマンドを実行します。
server_security server_x -update –policy gpo
server_securityは、Active DirectoryでGPOの読み取りを強制します。
7
クライアントの考慮事項
Patni社外秘
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
専用スレッドが起動すると、ファイル システムGPOが非同期的に適用されます。しばらくすると、ユーザー2には、このディレクトリでフォルダやファイルを作成する権限がなくなっています。
クライアントの考慮事項
この機能は、Windows Server 2000、2003、2008サーバで動作します。
導入時の注意事項
GPOは定期的に更新されます。デフォルトでは、16時間ごとに更新されます。Data Moverへのパフォーマンス インパクトを回避するために、更新と更新の間は長いインターバルがあります。更新のインターバルが比較的短く、次の更新時間になったときにGPO更新が完了していない場合、次の更新は前の更新が完了するのを待って続行します。
インターバル パラメータの更新 Data Moverのパラメータ、gpo.fileSecurityUpdateIntervalを使用して、CIFSファシリティで更新のインターバルを定義できます。
以下はパラメータの詳細です。
$ server_param server_2 –facility cifs –info gpo.fileSecurityUpdateInterval server_2 name = gpo.fileSecurityUpdateInterval facility_name = cifs default_value = 17 current_value = 60 configured_value =
user_action =なし change_effective = immediate
range =(10,259200)
description = GPOの 2回の更新間のインターバル(単位:時間) 補足情報については、「VNXパラメータ ガイド」を参照してください。
8
Windows GUI
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
Windows GUI
EMCは、ファイル システムのセキュリティを強化するWindows GUI ツールを開発しました。このグラフィック ツールを使用して、ディレクトリ ツリーでファイル システムのセキュリティ設定を更新します。
UNC(Universal Naming Convention)パスを使用してマップしたディレクトリ ツリーのあるWindowsサーバでこのツールを使用します。
注: このツールで使用するパス名は、UNC形式(\\server\share\)で入力する必要があります。
このツールは、他の形式のパス名は受け入れません。たとえば、ネットワーク ドライブがUNC形式を使用して以前にマップされた場合でも、Z:\directory\file-name形式では機能しません。
ツール名はemcacl.exeです。Windows GUI ツールを使用するには、次の手順に従います。
1. このツールにアクセスするには、[スタート]>[ファイル名を指定して実行]の順にクリックするか、または次のように入力してシステム プロンプトのコマンド ラインからアクセスできます。
emcacl.exe /secwin.
9
Windows GUI
Patni社外秘
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
図4:EMC Security Directive Editor EMC Security Directive Editorには、2つの主要なセクションがあります。最初のセクションには、定義済みのすべてのUNCパスが表示されます。2つ目のセクションには、特定のアクション ボタンがある3つのグループが表示されます。
エディション アクション Fileの構文解析 初めてエディタを使用する場合、メイン ウィンドウは空白になり ます。UNC パスを追加するには、[追加]をクリックします
2. [Add an Object(オブジェクトの追加)]プロンプトにUNCのパス
を入力します。この例では、\\Fuzzy\SFTP\b01としてUNCパスを
追加します。
10
Windows GUI
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
図5:UNCパス名の追加 メイン画面でUNCパスが強調表示されている間は、[編集]をクリックして、権限設定を変更できます。\\Fuzzy\SFTP\b01ウィンドウのセキュリティは、図6のように表示されます。
3. ユーザーとグループをUNCパスに追加するには、[追加]をクリックします。次に、Windowsユーザーには見慣れた画面のダイアログが表示されるので、ローカル コンピュータまたはActive Directoryからユーザーを選択します。
11
Windows GUI
Patni社外秘
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
図6:ユーザーおよびグループの追加 [詳細設定]をクリックして、さらに詳細な権限をユーザーとグ ループに割り当てることができます(図7を参照)。
4. ユーザーとグループの権限が割り当てられたら、アクション グループで[適用]をクリックします。これで、割り当てられた権限が指定されたUNCパスに適用されます。
注: 図6には、伝播モードを選択できるドロップダウン リストがあります。
12
Windows GUI
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
次の3つの伝播モードがあります。
• ACLのリプレース:設定がサブディレクトリやファイルにあるすべての既存の権限とリプレースされます
• ACLのマージ:設定がサブディレクトリやファイルにある既存の権限とマージされます
• 伝播の停止:上位のディレクトリからの権限がサブディレクトリやファイルに適用されません
図7:高度なセキュリティ設定の追加:ユーザーまたはグループの 選択
5. [編集]をクリックして、ユーザーまたはグループの権限エントリーを表示または変更します(図8を参照)。
13
Windows GUI
Patni社外秘
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
図8:ユーザーまたはグループの権限エントリー
14
付録:グループ ポリシー オブジェクト エディタ
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
付録:グループ ポリシー オブジェクト エディタ
グループ ポリシー オブジェクト エディタを起動するには、次の手順に従います。
1. [スタート]>[ファイル名を指定して実行 ]の順にクリックし、「mmc」と入力します。コンソール ルートのある画面が表示され ます。
2. [ファイル]>[スナップインの追加と削除]の順にクリックします。[スナップインの追加と削除]ウィンドウが表示されます。
3. [追加]をクリックします。[スタンドアロン スナップインの追加]ウィンドウが表示されます。下にスクロールして[グループ ポリシー オブジェクト エディタ]を表示し、[追加]をクリックします。これで、ウィザード画面が表示されます。
4. [Browse]をクリックします。[ドメイン/OU]が表示されます。探す場所: ドロップダウン リストで、ドメイン名を選択してから、 [ドメイン、OU、およびリンクされたグループ ポリシー オブジェクト:]セクションの[既定のドメイン ポリシー]を選択して、 [OK]をクリックします。
5. [完了]をクリックして、[スタンドアロン スナップインの追加]ウィンドウに戻ります。
6. [閉じる]をクリックして、[スナップインの追加と削除]ウィンドウに戻ります。
7. [OK]をクリックして、[コンソール1]ウィンドウに戻ります。 8. [ドメイン名に対応する]デフォルト ドメイン ポリシー ツリーを開きます。[コンピュータの構成]>[Windowsの設定]>[セキュリティの設定]>[ファイル システム]をクリックします。
9. [ファイル システム]を右クリックします。[ファイルの追加]を選択し、[ファイルまたはフォルダを追加します]ウィンドウで[フォルダ:]テキスト ボックスに移動して、ACL設定を適用するディレクトリまたはファイルのUNCパスを入力します。
注: このUNCパスは、DNSが認識するUNCパスである必要があります。一般的に、IPアドレスを使用するUNCパスは機能しません。\\server-x\dir-y\file-zなどのように、UNCパスの名前が付けられたネーム サービスが必要です。
グループ ポリシー更新率を変更する場合、前述のように、デフォ ルト ドメイン ポリシー エディタを起動し、[ドメイン名に対応する]デフォルト ドメイン ポリシー ツリーを選択します。
15
付録:グループ ポリシー オブジェクト エディタ
Patni社外秘
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
10. [管理用テンプレート]>[システム]>[グループ ポリシー]をクリックして、[標準]タブをクリックします。ワークステーションとドメイン コントローラのグループ ポリシーの更新間隔が表示されます。
11. ユーザーの権利を変更する必要がある場合は、グループ ポリシー エディタを使用します。[スタート]>[ファイル名を指定して実行]に移動して、「gpedit.msc」と入力してエディタを起動します。[ローカル コンピュータ ポリシー]で、[コンピュータの構成]>[Windowsの設定]>[セキュリティの設定]>[ローカル ポリシー]>[ユーザー権利の割り当て]に移動します。右側のパネルにポリシーが表示されます。
16
付録:グループ ポリシー オブジェクト エディタ
EMC VNXシリーズ VNX for Fileで ACLの管理と適用のためのグループポリシーの使用方法
Copyright © 2013 EMC Corporation. All rights reserved. Published in the USA.
2013年8月発行
EMC Corporationは、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更されることがあります。
この資料に記載される情報は、現状有姿の条件で提供されています。EMC Corporationは、この資料に記載された情報に関していかなる種類の表明または保証をするものではなく、特に市場性の暗黙の保証や特定の目的の適合性を保証していません。 この資料に記載される、いかなるEMCソフトウェアの使用、複製、頒布も、当該ソフトウェア・ライセンスが必要です。
EMC2、EMC、およびEMCのロゴは、EMC Corporationの登録商標または商標です。 他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。
製品ラインの最新規制のドキュメントについては、EMCオンライン サポート用Webサイトの「Technical Documentation and Advisories」セクションにアクセスしてください。
ビジネス上の問題 はじめに 新機能 アーキテクチャ クライアントの考慮事項 導入時の注意事項 インターバル パラメータの更新
Windows GUI 付録:グループ ポリシー オブジェクト エディタ