例2 ユーザーの属性をもとにアクセス許可を設定する
これまで、ファイルやフォルダに対するアクセス許可を設定する場合は、グループを使ってユーザーをまとめ、そのグループに対してアクセス許可を設定するのが定石だった。ユーザーごとに個別にアクセス許可を設定するのは、時間も手間もかかるからだ。
ところが、部署などをベースにグループを作成していると、人事異動のたびにグループのメンバーを再設定しなければならないことがある。
Active Directoryユーザーのプロパティには人事情報を入れる項目が用意されているので、もし人事異動の際、人事情報をユーザーのプロパティに入力しているのであれば、この情報をもとにアクセス許可を設定できる。それが、Windows Server 2012から用意された「ダイナミックアクセス制御」である。ダイナミックアクセス制御によるアクセス許可設定のイメージは、以下の図1のようになる。
図1:Windows Server 2012で提供された「ダイナミックアクセス制御」
※クリックすると拡大画像が見られます
「Title(役職)」が「部長」のユーザーが、重要度が「高」になっている共有フォルダーに対し、「変更」というアクセス許可を割り当てる場合、「集約型アクセス規則」と呼ばれるルールを作成して定義する。ただし、集約型アクセス規則を設定するには、付随するいくつかの設定を行わなければならない。そこで、集約型アクセス規則とともに設定する必要のある項目を以下の図2にまとめてみた。
図2:ダイナミックアクセス制御を実現するために必要な設定一覧
※クリックすると拡大画像が見られます
図2の設定項目のうち、「要求の種類」「リソースプロパティ」「集約型アクセス規則」「集約型アクセスポリシー」の4つについては、Active Directory管理センターから設定する。そして、リソースプロパティの配布設定は「グループポリシーオブジェクト(GPO)」の項目で定義する(画面2、画面3)
画面2:集約型アクセスポリシーを定義するグループポリシー設定項目
※クリックすると拡大画像が見られます
画面3:要求の種類を利用するためのグループポリシー設定項目
※クリックすると拡大画像が見られます
ここまで確認したように、設定自体は確かに複雑である。しかし、一度設定してしまえば、グループをもとにしたアクセス許可ではなく、人事情報をもとにしてアクセス許可を運用できるので、その後の運用管理が直感的に行えるメリットが得られる。
