Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfiguration von zentralen Zugriffsrichtlinien zur Sicherung von Daten auf CIFS-Servern

Beitragende

Sie müssen verschiedene Schritte Unternehmen, um den Zugriff auf Daten auf dem CIFS-Server mithilfe von zentralen Zugriffsrichtlinien zu sichern. Hierzu zählen die Aktivierung von Dynamic Access Control (DAC) auf dem CIFS-Server, die Konfiguration zentraler Zugriffsrichtlinien in Active Directory, die Anwendung der zentralen Zugriffsrichtlinien auf Active Directory-Container mit GPOs, Und Aktivieren der Gruppenrichtlinienobjekte auf dem CIFS-Server.

Bevor Sie beginnen
  • Active Directory muss so konfiguriert sein, dass zentrale Zugriffsrichtlinien verwendet werden.

  • Sie müssen über ausreichende Zugriffsmöglichkeiten auf den Active Directory-Domänencontrollern verfügen, um zentrale Zugriffsrichtlinien zu erstellen und Gruppenrichtlinienobjekte zu erstellen und auf die Container anzuwenden, die die CIFS-Server enthalten.

  • Sie müssen über ausreichenden administrativen Zugriff auf der Storage Virtual Machine (SVM) verfügen, um die erforderlichen Befehle auszuführen.

Über diese Aufgabe

Zentrale Zugriffsrichtlinien werden definiert und auf Gruppenrichtlinienobjekte (Gruppenrichtlinienobjekte, GPOs) in Active Directory angewendet. Anweisungen zur Konfiguration zentraler Zugriffsrichtlinien und Gruppenrichtlinienobjekte finden Sie in der Microsoft TechNet-Bibliothek.

Schritte
  1. Aktivieren Sie Dynamic Access Control auf der SVM, wenn sie nicht bereits über die aktiviert ist vserver cifs options modify Befehl.

    vserver cifs options modify -vserver vs1 -is-dac-enabled true

  2. Gruppenrichtlinienobjekte (Gruppenrichtlinienobjekte, Gruppenrichtlinienobjekte) auf dem CIFS-Server aktivieren, wenn sie nicht bereits mit dem aktiviert sind vserver cifs group-policy modify Befehl.

    vserver cifs group-policy modify -vserver vs1 -status enabled

  3. Zentrale Zugriffsregeln und zentrale Zugriffsrichtlinien für Active Directory erstellen

  4. Erstellen eines Gruppenrichtlinienobjekts (GPO), um die zentralen Zugriffsrichtlinien in Active Directory zu implementieren.

  5. Wenden Sie das GPO auf den Container an, in dem sich das CIFS-Servercomputer-Konto befindet.

  6. Aktualisieren Sie manuell die Gruppenrichtlinienobjekte, die auf den CIFS-Server angewendet wurden, indem Sie auf das verwenden vserver cifs group-policy update Befehl.

    vserver cifs group-policy update -vserver vs1

  7. Überprüfen Sie, ob die GPO Central Access Policy auf die Ressourcen auf dem CIFS-Server angewendet wird. Verwenden Sie dazu die vserver cifs group-policy show-applied Befehl.

    Das folgende Beispiel zeigt, dass die Standard-Domänenrichtlinie zwei zentrale Zugriffsrichtlinien hat, die auf den CIFS-Server angewendet werden:

    vserver cifs group-policy show-applied

    Vserver: vs1
    -----------------------------
        GPO Name: Default Domain Policy
           Level: Domain
          Status: enabled
      Advanced Audit Settings:
          Object Access:
              Central Access Policy Staging: failure
      Registry Settings:
          Refresh Time Interval: 22
          Refresh Random Offset: 8
          Hash Publication Mode for BranchCache: per-share
          Hash Version Support for BranchCache: all-versions
      Security Settings:
          Event Audit and Event Log:
              Audit Logon Events: none
              Audit Object Access: success
              Log Retention Method: overwrite-as-needed
              Max Log Size: 16384
          File Security:
              /vol1/home
              /vol1/dir1
          Kerberos:
              Max Clock Skew: 5
              Max Ticket Age: 10
              Max Renew Age:  7
          Privilege Rights:
              Take Ownership: usr1, usr2
              Security Privilege: usr1, usr2
              Change Notify: usr1, usr2
          Registry Values:
              Signing Required: false
          Restrict Anonymous:
              No enumeration of SAM accounts: true
              No enumeration of SAM accounts and shares: false
              Restrict anonymous access to shares and named pipes: true
              Combined restriction for anonymous user: no-access
          Restricted Groups:
              gpr1
              gpr2
      Central Access Policy Settings:
          Policies: cap1
                    cap2
    
        GPO Name: Resultant Set of Policy
           Level: RSOP
      Advanced Audit Settings:
          Object Access:
              Central Access Policy Staging: failure
      Registry Settings:
          Refresh Time Interval: 22
          Refresh Random Offset: 8
          Hash Publication Mode for BranchCache: per-share
          Hash Version Support for BranchCache: all-versions
      Security Settings:
          Event Audit and Event Log:
              Audit Logon Events: none
              Audit Object Access: success
              Log Retention Method: overwrite-as-needed
              Max Log Size: 16384
          File Security:
              /vol1/home
              /vol1/dir1
          Kerberos:
              Max Clock Skew: 5
              Max Ticket Age: 10
              Max Renew Age:  7
          Privilege Rights:
              Take Ownership: usr1, usr2
              Security Privilege: usr1, usr2
              Change Notify: usr1, usr2
          Registry Values:
              Signing Required: false
          Restrict Anonymous:
              No enumeration of SAM accounts: true
              No enumeration of SAM accounts and shares: false
              Restrict anonymous access to shares and named pipes: true
              Combined restriction for anonymous user: no-access
          Restricted Groups:
              gpr1
              gpr2
      Central Access Policy Settings:
          Policies: cap1
                    cap2
    2 entries were displayed.