2013年10月14日月曜日

Windows Server 2012 集中アクセス制御

Windows Server 2012では、動的アクセス制御(ダイナミックアクセス制御)の機能が追加され、ファイルのセキュリティに集中アクセス制御が利用できます。

集中アクセス制御は、セキュリティ管理者があらかじめ決めておいたアクセス許可ポリシーを、利用者が選択する機能で、以下のような利点があります。

  • 利用者は、ビジネス用語で記述されたラベルを使ってセキュリティを指定できる
  • 管理者は、確実に正しいセキュリティを(ある程度)強制できる

集中アクセス制御は、ポリシーを決める操作と、ポリシーを割り当てる操作に大別されます。

ポリシーを決める操作は「Active Directory管理センター」と「グループポリシー管理エディタ」を使います。「Active Directory管理センター」の操作はすべてPowerShellに置き換え可能であり、管理ツール下にはPowerShell履歴を表示する機能もあります。

詳しくはマイクロソフトのWebサイト「Deploy a Central Access Policy (Demonstration Steps)」などをご覧ください。

展開は、ファイルやフォルダーのプロパティで行ないます。

先日、この時のPowerShellのコマンドを質問されて即答できませんでしたが、どうやらSet-Aclコマンドレットが拡張されたようです。

TechNetライブラリのPowerShellリファレンスにはSet-Aclの項目に –CentralAccessPolicy オプションが追加されたことが記載されていました。

またマイクロソフトのストレージチームのブログには「Getting started with Central Access Policies - Reducing security group complexity and achieving data access compliance using Dynamic Access Control」というエントリがあり、具体例が出ていました。

基本的に、Windowsの新機能はすべてPowerShellで実装されると考えてもらって構いません。既存のコマンドが廃止されてPowerShellに移行する場合もあります。「これがコマンドでできないかな」と思ったら、最初にPowerShellを調べてみてください。