Unterstützte Gruppenrichtlinienobjekte
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Obwohl nicht alle Gruppenrichtlinienobjekte für Ihre CIFS-fähigen Storage Virtual Machines (SVMs) gelten, können SVMs die entsprechenden Gruppenrichtlinienobjekte erkennen und verarbeiten.
Die folgenden Gruppenrichtlinienobjekte werden derzeit auf SVMs unterstützt:
-
Konfigurationseinstellungen für erweiterte Prüfungsrichtlinien:
Objektzugriff: Zentrale Zugriffsrichtlinien-Staging
Gibt die Art der zu prüfenden Ereignisse für die Durchführung der CAP-Strategie (Central Access Policy) an, einschließlich der folgenden Einstellungen:
-
Nicht prüfen
-
Nur erfolgreiche Ereignisse werden geprüft
-
Nur Fehlerereignisse werden geprüft
-
Prüfung von Erfolg- und Fehlerereignissen
Wenn einer der drei Audit-Optionen festgelegt ist (reine Audit-Ereignisse, reine Audit-Ereignisse, sowohl Erfolgs- als auch Fehlerereignisse), prüft ONTAP sowohl Erfolg- als auch Fehlerereignisse.
Verwenden Sie die
Audit Central Access Policy Staging
Einstellung imAdvanced Audit Policy Configuration/Audit Policies/Object Access
GPO.
Um Gruppenrichtlinieneinstellungen für die erweiterte Audit-Richtlinien zu verwenden, muss für die CIFS-fähige SVM, auf die Sie diese Einstellung anwenden möchten, eine Prüfung konfiguriert werden. Wenn keine Prüfung für die SVM konfiguriert ist, werden die GPO-Einstellungen nicht angewendet und verworfen.
-
-
Registrierungseinstellungen:
-
Aktualisierungsintervall für Gruppenrichtlinien für CIFS-fähige SVM
Verwenden Sie die
Registry
GPO. -
Gruppen-Policy aktualisieren zufälligen Offset
Verwenden Sie die
Registry
GPO. -
Hash-Publikation für BranchCache
Das Gruppenrichtlinienobjekt Hash Publication for BranchCache entspricht der Betriebsart BranchCache. Folgende drei unterstützte Betriebsmodi werden unterstützt:
-
Pro Aktie
-
Nur Freigaben
-
Die Einstellung wird mithilfe des deaktiviert
Registry
GPO.
-
-
Unterstützung der Hash-Version für BranchCache
Die folgenden drei Hash-Versionseinstellungen werden unterstützt:
-
BranchCache Version 1
-
BranchCache Version 2
-
BranchCache Versionen 1 und 2 werden mithilfe der festgelegt
Registry
GPO.
-
Um Gruppenrichtlinieneinstellungen von BranchCache zu verwenden, muss BranchCache auf der CIFS-fähigen SVM konfiguriert werden, auf die Sie diese Einstellung anwenden möchten. Wenn BranchCache nicht auf der SVM konfiguriert ist, werden die GPO-Einstellungen nicht angewendet und werden verworfen.
-
-
Sicherheitseinstellungen
-
Audit-Richtlinie und Ereignisprotokoll
-
Anmeldeereignisse überwachen
Gibt den Typ der zu prüfenden Anmeldeereignisse an, einschließlich der folgenden Einstellungen:
-
Nicht prüfen
-
Nur erfolgreiche Ereignisse werden geprüft
-
Prüfung von Fehlerereignissen
-
Prüfung von Erfolg- und Fehlerereignissen, die mithilfe des festgelegt wurden
Audit logon events
Einstellung imLocal Policies/Audit Policy
GPO.
Wenn einer der drei Audit-Optionen festgelegt ist (reine Audit-Ereignisse, reine Audit-Ereignisse, sowohl Erfolgs- als auch Fehlerereignisse), prüft ONTAP sowohl Erfolg- als auch Fehlerereignisse.
-
-
Audit-Objektzugriff
Gibt den Typ des zu prüfenden Objektzugriffs an, einschließlich der folgenden Einstellungen:
-
Nicht prüfen
-
Nur erfolgreiche Ereignisse werden geprüft
-
Prüfung von Fehlerereignissen
-
Prüfung von Erfolg- und Fehlerereignissen, die mithilfe des festgelegt wurden
Audit object access
Einstellung imLocal Policies/Audit Policy
GPO.
Wenn einer der drei Audit-Optionen festgelegt ist (reine Audit-Ereignisse, reine Audit-Ereignisse, sowohl Erfolgs- als auch Fehlerereignisse), prüft ONTAP sowohl Erfolg- als auch Fehlerereignisse.
-
-
Methode zur Protokollaufbewahrung
Gibt die Aufbewahrungsmethode für das Prüfprotokoll an, einschließlich der folgenden Einstellungen:
-
Überschreiben Sie das Ereignisprotokoll, wenn die Größe der Protokolldatei die maximale Protokollgröße überschreitet
-
Überschreiben Sie das mit dem eingestellte Ereignisprotokoll nicht (Protokoll manuell löschen)
Retention method for security log
Einstellung imEvent Log
GPO.
-
-
Maximale Protokollgröße
Gibt die maximale Größe des Prüfprotokolls an.
Verwenden Sie die
Maximum security log size
Einstellung imEvent Log
GPO.
Um Richtlinien und GPO-Einstellungen für das Ereignisprotokoll zu verwenden, muss eine Prüfung auf der CIFS-fähigen SVM, auf die diese Einstellung angewendet werden soll, konfiguriert werden. Wenn keine Prüfung für die SVM konfiguriert ist, werden die GPO-Einstellungen nicht angewendet und verworfen.
-
-
Dateisystemsicherheit
Gibt eine Liste von Dateien oder Verzeichnissen an, auf denen Dateisicherheit über ein Gruppenrichtlinienobjekt angewendet wird.
Verwenden Sie die
File System
GPO.Der Volume-Pfad, zu dem das Gruppenrichtlinienobjekt für die Dateisystemsicherheit konfiguriert ist, muss in der SVM vorhanden sein.
-
Kerberos-Richtlinie
-
Maximale Taktabweichung
Gibt die maximale Toleranz in Minuten für die Synchronisierung der Computeruhr an.
Verwenden Sie die
Maximum tolerance for computer clock synchronization
Einstellung imAccount Policies/Kerberos Policy
GPO. -
Maximales Ticketalter
Gibt die maximale Lebensdauer in Stunden für das Benutzerticket an.
Verwenden Sie die
Maximum lifetime for user ticket
Einstellung imAccount Policies/Kerberos Policy
GPO. -
Maximales Alter der Ticketverlängerung
Gibt die maximale Lebensdauer in Tagen für die Verlängerung von Benutzertickets an.
Verwenden Sie die
Maximum lifetime for user ticket renewal
Einstellung imAccount Policies/Kerberos Policy
GPO. -
-
Zuweisung von Benutzerrechten (Berechtigungsrechte)
-
Verantwortung
Gibt die Liste der Benutzer und Gruppen an, die das Recht haben, die Verantwortung für jedes seecable Objekt zu übernehmen.
Verwenden Sie die
Take ownership of files or other objects
Einstellung imLocal Policies/User Rights Assignment
GPO. -
Sicherheitsberechtigungen
Gibt die Liste der Benutzer und Gruppen an, die Überwachungsoptionen für den Objektzugriff einzelner Ressourcen wie Dateien, Ordner und Active Directory-Objekte festlegen können.
Verwenden Sie die
Manage auditing and security log
Einstellung imLocal Policies/User Rights Assignment
GPO. -
Berechtigung zur Benachrichtigung ändern (Bypass Traverse-Überprüfung)
Gibt die Liste der Benutzer und Gruppen an, die Verzeichnisbäume durchlaufen können, auch wenn Benutzer und Gruppen möglicherweise keine Berechtigungen im durchlaufenen Verzeichnis besitzen.
Die gleiche Berechtigung ist erforderlich, damit Benutzer Benachrichtigungen über Änderungen an Dateien und Verzeichnissen erhalten. Verwenden Sie die
Bypass traverse checking
Einstellung imLocal Policies/User Rights Assignment
GPO. -
-
Registrierungswerte
-
Erforderliche Signatureinstellung
Gibt an, ob die erforderliche SMB-Signatur aktiviert oder deaktiviert ist.
Verwenden Sie die
Microsoft network server: Digitally sign communications (always)
Einstellung imSecurity Options
GPO. -
-
Anonym beschränken
Legt fest, welche Einschränkungen für anonyme Benutzer gelten und enthält die folgenden drei GPO-Einstellungen:
-
Keine Aufzählung von Security Account Manager (SAM)-Konten:
Durch diese Sicherheitseinstellung wird festgelegt, welche zusätzlichen Berechtigungen für anonyme Verbindungen zum Computer gewährt werden. Diese Option wird angezeigt als
no-enumeration
Wenn sie in ONTAP aktiviert ist.Verwenden Sie die
Network access: Do not allow anonymous enumeration of SAM accounts
Einstellung imLocal Policies/Security Options
GPO. -
Keine Aufzählung von SAM-Konten und -Freigaben
Mit dieser Sicherheitseinstellung wird festgelegt, ob eine anonyme Aufzählung von SAM-Konten und -Freigaben zulässig ist. Diese Option wird angezeigt als
no-enumeration
Wenn sie in ONTAP aktiviert ist.Verwenden Sie die
Network access: Do not allow anonymous enumeration of SAM accounts and shares
Einstellung imLocal Policies/Security Options
GPO. -
Anonymen Zugriff auf Freigaben und benannte Pipes beschränken
Diese Sicherheitseinstellung schränkt den anonymen Zugriff auf Freigaben und Leitungen ein. Diese Option wird angezeigt als
no-access
Wenn sie in ONTAP aktiviert ist.Verwenden Sie die
Network access: Restrict anonymous access to Named Pipes and Shares
Einstellung imLocal Policies/Security Options
GPO.Wenn Informationen über definierte und angewendete Gruppenrichtlinien angezeigt werden, wird das angezeigt
Resultant restriction for anonymous user
Das Ausgabefeld enthält Informationen über die sich daraus ergebende Einschränkung der drei anonymen GPO-Einstellungen beschränken. Die möglichen daraus resultierenden Einschränkungen sind wie folgt:
-
-
no-access
Dem anonymen Benutzer wird der Zugriff auf die angegebenen Freigaben und Named Pipes verweigert, und die Aufzählung von SAM-Konten und -Freigaben kann nicht verwendet werden. Diese resultierende Einschränkung wird angezeigt, wenn der
Network access: Restrict anonymous access to Named Pipes and Shares
GPO ist aktiviert. -
no-enumeration
Der anonyme Benutzer hat Zugriff auf die angegebenen Freigaben und Named Pipes, kann aber keine Aufzählung von SAM-Konten und -Freigaben verwenden. Diese resultierende Einschränkung wird angezeigt, wenn beide der folgenden Bedingungen erfüllt sind:
-
Der
Network access: Restrict anonymous access to Named Pipes and Shares
GPO ist deaktiviert. -
Entweder im
Network access: Do not allow anonymous enumeration of SAM accounts
Oder imNetwork access: Do not allow anonymous enumeration of SAM accounts and shares
Gruppenrichtlinienobjekte sind aktiviert.
-
-
no-restriction
Der anonyme Benutzer hat vollen Zugriff und kann Enumeration verwenden. Diese resultierende Einschränkung wird angezeigt, wenn beide der folgenden Bedingungen erfüllt sind:
-
Der
Network access: Restrict anonymous access to Named Pipes and Shares
GPO ist deaktiviert. -
Beide
Network access: Do not allow anonymous enumeration of SAM accounts
UndNetwork access: Do not allow anonymous enumeration of SAM accounts and shares
Gruppenrichtlinienobjekte sind deaktiviert.-
Eingeschränkte Gruppen
Sie können eingeschränkte Gruppen so konfigurieren, dass sie die Mitgliedschaft von integrierten oder benutzerdefinierten Gruppen zentral verwalten können. Wenn Sie eine eingeschränkte Gruppe über eine Gruppenrichtlinie anwenden, wird die Mitgliedschaft einer lokalen CIFS-Server-Gruppe automatisch so eingestellt, dass sie den in der angewendeten Gruppenrichtlinie festgelegten Mitgliedschaftslisteneinstellungen entspricht.
-
-
Verwenden Sie die
Restricted Groups
GPO. -
-
Einstellungen für zentrale Zugriffsrichtlinien
Gibt eine Liste der zentralen Zugriffsrichtlinien an. Zentrale Zugriffsrichtlinien und die zugehörigen zentralen Zugriffsrichtlinien bestimmen die Zugriffsberechtigungen für mehrere Dateien auf der SVM.
Aktivieren oder Deaktivieren der GPO-Unterstützung auf einem CIFS-Server