Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Unterstützte Gruppenrichtlinienobjekte

Beitragende
PDFs

Obwohl nicht alle Gruppenrichtlinienobjekte für Ihre CIFS-fähigen Storage Virtual Machines (SVMs) gelten, können SVMs die entsprechenden Gruppenrichtlinienobjekte erkennen und verarbeiten.

Die folgenden Gruppenrichtlinienobjekte werden derzeit auf SVMs unterstützt:

  • Konfigurationseinstellungen für erweiterte Prüfungsrichtlinien:

    Objektzugriff: Zentrale Zugriffsrichtlinien-Staging

    Gibt die Art der zu prüfenden Ereignisse für die Durchführung der CAP-Strategie (Central Access Policy) an, einschließlich der folgenden Einstellungen:

    • Nicht prüfen

    • Nur erfolgreiche Ereignisse werden geprüft

    • Nur Fehlerereignisse werden geprüft

    • Prüfung von Erfolg- und Fehlerereignissen

      Hinweis

      Wenn einer der drei Audit-Optionen festgelegt ist (reine Audit-Ereignisse, reine Audit-Ereignisse, sowohl Erfolgs- als auch Fehlerereignisse), prüft ONTAP sowohl Erfolg- als auch Fehlerereignisse.

      Verwenden Sie die Audit Central Access Policy Staging Einstellung im Advanced Audit Policy Configuration/Audit Policies/Object Access GPO.

    Hinweis

    Um Gruppenrichtlinieneinstellungen für die erweiterte Audit-Richtlinien zu verwenden, muss für die CIFS-fähige SVM, auf die Sie diese Einstellung anwenden möchten, eine Prüfung konfiguriert werden. Wenn keine Prüfung für die SVM konfiguriert ist, werden die GPO-Einstellungen nicht angewendet und verworfen.

  • Registrierungseinstellungen:

    • Aktualisierungsintervall für Gruppenrichtlinien für CIFS-fähige SVM

      Verwenden Sie die Registry GPO.

    • Gruppen-Policy aktualisieren zufälligen Offset

      Verwenden Sie die Registry GPO.

    • Hash-Publikation für BranchCache

      Das Gruppenrichtlinienobjekt Hash Publication for BranchCache entspricht der Betriebsart BranchCache. Folgende drei unterstützte Betriebsmodi werden unterstützt:

      • Pro Aktie

      • Nur Freigaben

      • Die Einstellung wird mithilfe des deaktiviert Registry GPO.

    • Unterstützung der Hash-Version für BranchCache

      Die folgenden drei Hash-Versionseinstellungen werden unterstützt:

      • BranchCache Version 1

      • BranchCache Version 2

      • BranchCache Versionen 1 und 2 werden mithilfe der festgelegt Registry GPO.

    Hinweis

    Um Gruppenrichtlinieneinstellungen von BranchCache zu verwenden, muss BranchCache auf der CIFS-fähigen SVM konfiguriert werden, auf die Sie diese Einstellung anwenden möchten. Wenn BranchCache nicht auf der SVM konfiguriert ist, werden die GPO-Einstellungen nicht angewendet und werden verworfen.

  • Sicherheitseinstellungen

    • Audit-Richtlinie und Ereignisprotokoll

      • Anmeldeereignisse überwachen

        Gibt den Typ der zu prüfenden Anmeldeereignisse an, einschließlich der folgenden Einstellungen:

        • Nicht prüfen

        • Nur erfolgreiche Ereignisse werden geprüft

        • Prüfung von Fehlerereignissen

        • Prüfung von Erfolg- und Fehlerereignissen, die mithilfe des festgelegt wurden Audit logon events Einstellung im Local Policies/Audit Policy GPO.

        Hinweis

        Wenn einer der drei Audit-Optionen festgelegt ist (reine Audit-Ereignisse, reine Audit-Ereignisse, sowohl Erfolgs- als auch Fehlerereignisse), prüft ONTAP sowohl Erfolg- als auch Fehlerereignisse.

      • Audit-Objektzugriff

        Gibt den Typ des zu prüfenden Objektzugriffs an, einschließlich der folgenden Einstellungen:

        • Nicht prüfen

        • Nur erfolgreiche Ereignisse werden geprüft

        • Prüfung von Fehlerereignissen

        • Prüfung von Erfolg- und Fehlerereignissen, die mithilfe des festgelegt wurden Audit object access Einstellung im Local Policies/Audit Policy GPO.

        Hinweis

        Wenn einer der drei Audit-Optionen festgelegt ist (reine Audit-Ereignisse, reine Audit-Ereignisse, sowohl Erfolgs- als auch Fehlerereignisse), prüft ONTAP sowohl Erfolg- als auch Fehlerereignisse.

      • Methode zur Protokollaufbewahrung

        Gibt die Aufbewahrungsmethode für das Prüfprotokoll an, einschließlich der folgenden Einstellungen:

        • Überschreiben Sie das Ereignisprotokoll, wenn die Größe der Protokolldatei die maximale Protokollgröße überschreitet

        • Überschreiben Sie das mit dem eingestellte Ereignisprotokoll nicht (Protokoll manuell löschen) Retention method for security log Einstellung im Event Log GPO.

      • Maximale Protokollgröße

        Gibt die maximale Größe des Prüfprotokolls an.

        Verwenden Sie die Maximum security log size Einstellung im Event Log GPO.

      Hinweis

      Um Richtlinien und GPO-Einstellungen für das Ereignisprotokoll zu verwenden, muss eine Prüfung auf der CIFS-fähigen SVM, auf die diese Einstellung angewendet werden soll, konfiguriert werden. Wenn keine Prüfung für die SVM konfiguriert ist, werden die GPO-Einstellungen nicht angewendet und verworfen.

    • Dateisystemsicherheit

      Gibt eine Liste von Dateien oder Verzeichnissen an, auf denen Dateisicherheit über ein Gruppenrichtlinienobjekt angewendet wird.

      Verwenden Sie die File System GPO.

      Hinweis

      Der Volume-Pfad, zu dem das Gruppenrichtlinienobjekt für die Dateisystemsicherheit konfiguriert ist, muss in der SVM vorhanden sein.

    • Kerberos-Richtlinie

      • Maximale Taktabweichung

        Gibt die maximale Toleranz in Minuten für die Synchronisierung der Computeruhr an.

        Verwenden Sie die Maximum tolerance for computer clock synchronization Einstellung im Account Policies/Kerberos Policy GPO.

      • Maximales Ticketalter

        Gibt die maximale Lebensdauer in Stunden für das Benutzerticket an.

        Verwenden Sie die Maximum lifetime for user ticket Einstellung im Account Policies/Kerberos Policy GPO.

      • Maximales Alter der Ticketverlängerung

        Gibt die maximale Lebensdauer in Tagen für die Verlängerung von Benutzertickets an.

      Verwenden Sie die Maximum lifetime for user ticket renewal Einstellung im Account Policies/Kerberos Policy GPO.

    • Zuweisung von Benutzerrechten (Berechtigungsrechte)

      • Verantwortung

        Gibt die Liste der Benutzer und Gruppen an, die das Recht haben, die Verantwortung für jedes seecable Objekt zu übernehmen.

        Verwenden Sie die Take ownership of files or other objects Einstellung im Local Policies/User Rights Assignment GPO.

      • Sicherheitsberechtigungen

        Gibt die Liste der Benutzer und Gruppen an, die Überwachungsoptionen für den Objektzugriff einzelner Ressourcen wie Dateien, Ordner und Active Directory-Objekte festlegen können.

        Verwenden Sie die Manage auditing and security log Einstellung im Local Policies/User Rights Assignment GPO.

      • Berechtigung zur Benachrichtigung ändern (Bypass Traverse-Überprüfung)

        Gibt die Liste der Benutzer und Gruppen an, die Verzeichnisbäume durchlaufen können, auch wenn Benutzer und Gruppen möglicherweise keine Berechtigungen im durchlaufenen Verzeichnis besitzen.

      Die gleiche Berechtigung ist erforderlich, damit Benutzer Benachrichtigungen über Änderungen an Dateien und Verzeichnissen erhalten. Verwenden Sie die Bypass traverse checking Einstellung im Local Policies/User Rights Assignment GPO.

    • Registrierungswerte

      • Erforderliche Signatureinstellung

        Gibt an, ob die erforderliche SMB-Signatur aktiviert oder deaktiviert ist.

      Verwenden Sie die Microsoft network server: Digitally sign communications (always) Einstellung im Security Options GPO.

    • Anonym beschränken

      Legt fest, welche Einschränkungen für anonyme Benutzer gelten und enthält die folgenden drei GPO-Einstellungen:

      • Keine Aufzählung von Security Account Manager (SAM)-Konten:

        Durch diese Sicherheitseinstellung wird festgelegt, welche zusätzlichen Berechtigungen für anonyme Verbindungen zum Computer gewährt werden. Diese Option wird angezeigt als no-enumeration Wenn sie in ONTAP aktiviert ist.

        Verwenden Sie die Network access: Do not allow anonymous enumeration of SAM accounts Einstellung im Local Policies/Security Options GPO.

      • Keine Aufzählung von SAM-Konten und -Freigaben

        Mit dieser Sicherheitseinstellung wird festgelegt, ob eine anonyme Aufzählung von SAM-Konten und -Freigaben zulässig ist. Diese Option wird angezeigt als no-enumeration Wenn sie in ONTAP aktiviert ist.

        Verwenden Sie die Network access: Do not allow anonymous enumeration of SAM accounts and shares Einstellung im Local Policies/Security Options GPO.

      • Anonymen Zugriff auf Freigaben und benannte Pipes beschränken

        Diese Sicherheitseinstellung schränkt den anonymen Zugriff auf Freigaben und Leitungen ein. Diese Option wird angezeigt als no-access Wenn sie in ONTAP aktiviert ist.

        Verwenden Sie die Network access: Restrict anonymous access to Named Pipes and Shares Einstellung im Local Policies/Security Options GPO.

        Wenn Informationen über definierte und angewendete Gruppenrichtlinien angezeigt werden, wird das angezeigt Resultant restriction for anonymous user Das Ausgabefeld enthält Informationen über die sich daraus ergebende Einschränkung der drei anonymen GPO-Einstellungen beschränken. Die möglichen daraus resultierenden Einschränkungen sind wie folgt:

    • no-access

      Dem anonymen Benutzer wird der Zugriff auf die angegebenen Freigaben und Named Pipes verweigert, und die Aufzählung von SAM-Konten und -Freigaben kann nicht verwendet werden. Diese resultierende Einschränkung wird angezeigt, wenn der Network access: Restrict anonymous access to Named Pipes and Shares GPO ist aktiviert.

    • no-enumeration

      Der anonyme Benutzer hat Zugriff auf die angegebenen Freigaben und Named Pipes, kann aber keine Aufzählung von SAM-Konten und -Freigaben verwenden. Diese resultierende Einschränkung wird angezeigt, wenn beide der folgenden Bedingungen erfüllt sind:

      • Der Network access: Restrict anonymous access to Named Pipes and Shares GPO ist deaktiviert.

      • Entweder im Network access: Do not allow anonymous enumeration of SAM accounts Oder im Network access: Do not allow anonymous enumeration of SAM accounts and shares Gruppenrichtlinienobjekte sind aktiviert.

    • no-restriction

      Der anonyme Benutzer hat vollen Zugriff und kann Enumeration verwenden. Diese resultierende Einschränkung wird angezeigt, wenn beide der folgenden Bedingungen erfüllt sind:

      • Der Network access: Restrict anonymous access to Named Pipes and Shares GPO ist deaktiviert.

      • Beide Network access: Do not allow anonymous enumeration of SAM accounts Und Network access: Do not allow anonymous enumeration of SAM accounts and shares Gruppenrichtlinienobjekte sind deaktiviert.

        • Eingeschränkte Gruppen

          Sie können eingeschränkte Gruppen so konfigurieren, dass sie die Mitgliedschaft von integrierten oder benutzerdefinierten Gruppen zentral verwalten können. Wenn Sie eine eingeschränkte Gruppe über eine Gruppenrichtlinie anwenden, wird die Mitgliedschaft einer lokalen CIFS-Server-Gruppe automatisch so eingestellt, dass sie den in der angewendeten Gruppenrichtlinie festgelegten Mitgliedschaftslisteneinstellungen entspricht.

    Verwenden Sie die Restricted Groups GPO.

  • Einstellungen für zentrale Zugriffsrichtlinien

    Gibt eine Liste der zentralen Zugriffsrichtlinien an. Zentrale Zugriffsrichtlinien und die zugehörigen zentralen Zugriffsrichtlinien bestimmen die Zugriffsberechtigungen für mehrere Dateien auf der SVM.

Verwandte Informationen

Aktivieren oder Deaktivieren der GPO-Unterstützung auf einem CIFS-Server

Sichern des Dateizugriffs mithilfe von Dynamic Access Control (DAC)

"SMB- und NFS-Auditing und Sicherheits-Tracing"

Ändern der Kerberos-Sicherheitseinstellungen des CIFS-Servers

Nutzung von BranchCache zum Caching von SMB-Inhalten für Zweigstellen

Verwendung von SMB-Signing zur Verbesserung der Netzwerksicherheit

Konfigurieren der Umgehungsüberprüfung

Konfigurieren von Zugriffsbeschränkungen für anonyme Benutzer