Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Unterstützte Gruppenrichtlinienobjekte

Beitragende
PDFs

Obwohl nicht alle Gruppenrichtlinienobjekte für Ihre CIFS-fähigen Storage Virtual Machines (SVMs) gelten, können SVMs die entsprechenden Gruppenrichtlinienobjekte erkennen und verarbeiten.

Die folgenden Gruppenrichtlinienobjekte werden derzeit auf SVMs unterstützt:

  • Konfigurationseinstellungen für erweiterte Prüfungsrichtlinien:

    Objektzugriff: Zentrale Zugriffsrichtlinien-Staging

    Gibt die Art der zu prüfenden Ereignisse für die Durchführung der CAP-Strategie (Central Access Policy) an, einschließlich der folgenden Einstellungen:

    • Nicht prüfen

    • Nur erfolgreiche Ereignisse werden geprüft

    • Nur Fehlerereignisse werden geprüft

    • Prüfung von Erfolg- und Fehlerereignissen

      Hinweis

      Wenn einer der drei Audit-Optionen festgelegt ist (reine Audit-Ereignisse, reine Audit-Ereignisse, sowohl Erfolgs- als auch Fehlerereignisse), prüft ONTAP sowohl Erfolg- als auch Fehlerereignisse.

      Wird mithilfe der Audit Central Access Policy Staging Einstellung im Advanced Audit Policy Configuration/Audit Policies/Object Access Gruppenrichtlinienobjekt festgelegt.

    Hinweis

    Um Gruppenrichtlinieneinstellungen für die erweiterte Audit-Richtlinien zu verwenden, muss für die CIFS-fähige SVM, auf die Sie diese Einstellung anwenden möchten, eine Prüfung konfiguriert werden. Wenn keine Prüfung für die SVM konfiguriert ist, werden die GPO-Einstellungen nicht angewendet und verworfen.

  • Registrierungseinstellungen:

    • Aktualisierungsintervall für Gruppenrichtlinien für CIFS-fähige SVM

      Wird mithilfe des Registry Gruppenrichtlinienobjekts festgelegt.

    • Gruppen-Policy aktualisieren zufälligen Offset

      Wird mithilfe des Registry Gruppenrichtlinienobjekts festgelegt.

    • Hash-Publikation für BranchCache

      Das Gruppenrichtlinienobjekt Hash Publication for BranchCache entspricht der Betriebsart BranchCache. Folgende drei unterstützte Betriebsmodi werden unterstützt:

      • Pro Aktie

      • Nur Freigaben

      • Deaktiviert, festgelegt mithilfe des Registry Gruppenrichtlinienobjekts.

    • Unterstützung der Hash-Version für BranchCache

      Die folgenden drei Hash-Versionseinstellungen werden unterstützt:

      • BranchCache Version 1

      • BranchCache Version 2

      • BranchCache-Versionen 1 und 2 werden mithilfe des Registry GPO festgelegt.

    Hinweis

    Um Gruppenrichtlinieneinstellungen von BranchCache zu verwenden, muss BranchCache auf der CIFS-fähigen SVM konfiguriert werden, auf die Sie diese Einstellung anwenden möchten. Wenn BranchCache nicht auf der SVM konfiguriert ist, werden die GPO-Einstellungen nicht angewendet und werden verworfen.

  • Sicherheitseinstellungen

    • Audit-Richtlinie und Ereignisprotokoll

      • Anmeldeereignisse überwachen

        Gibt den Typ der zu prüfenden Anmeldeereignisse an, einschließlich der folgenden Einstellungen:

        • Nicht prüfen

        • Nur erfolgreiche Ereignisse werden geprüft

        • Prüfung von Fehlerereignissen

        • Überwachen Sie sowohl Erfolg- als auch Fehlerereignisse Audit logon events Local Policies/Audit Policy, die mithilfe der Einstellung im Gruppenrichtlinienobjekt festgelegt wurden.

        Hinweis

        Wenn einer der drei Audit-Optionen festgelegt ist (reine Audit-Ereignisse, reine Audit-Ereignisse, sowohl Erfolgs- als auch Fehlerereignisse), prüft ONTAP sowohl Erfolg- als auch Fehlerereignisse.

      • Audit-Objektzugriff

        Gibt den Typ des zu prüfenden Objektzugriffs an, einschließlich der folgenden Einstellungen:

        • Nicht prüfen

        • Nur erfolgreiche Ereignisse werden geprüft

        • Prüfung von Fehlerereignissen

        • Überwachen Sie sowohl Erfolg- als auch Fehlerereignisse Audit object access Local Policies/Audit Policy, die mithilfe der Einstellung im Gruppenrichtlinienobjekt festgelegt wurden.

        Hinweis

        Wenn einer der drei Audit-Optionen festgelegt ist (reine Audit-Ereignisse, reine Audit-Ereignisse, sowohl Erfolgs- als auch Fehlerereignisse), prüft ONTAP sowohl Erfolg- als auch Fehlerereignisse.

      • Methode zur Protokollaufbewahrung

        Gibt die Aufbewahrungsmethode für das Prüfprotokoll an, einschließlich der folgenden Einstellungen:

        • Überschreiben Sie das Ereignisprotokoll, wenn die Größe der Protokolldatei die maximale Protokollgröße überschreitet

        • Überschreiben Sie das Ereignisprotokoll nicht (manuell löschen), das Retention method for security log Event Log Sie über die Einstellung im Gruppenrichtlinienobjekt festgelegt haben.

      • Maximale Protokollgröße

        Gibt die maximale Größe des Prüfprotokolls an.

        Wird mithilfe der Maximum security log size Einstellung im Event Log Gruppenrichtlinienobjekt festgelegt.

      Hinweis

      Um Richtlinien und GPO-Einstellungen für das Ereignisprotokoll zu verwenden, muss eine Prüfung auf der CIFS-fähigen SVM, auf die diese Einstellung angewendet werden soll, konfiguriert werden. Wenn keine Prüfung für die SVM konfiguriert ist, werden die GPO-Einstellungen nicht angewendet und verworfen.

    • Dateisystemsicherheit

      Gibt eine Liste von Dateien oder Verzeichnissen an, auf denen Dateisicherheit über ein Gruppenrichtlinienobjekt angewendet wird.

      Wird mithilfe des File System Gruppenrichtlinienobjekts festgelegt.

      Hinweis

      Der Volume-Pfad, zu dem das Gruppenrichtlinienobjekt für die Dateisystemsicherheit konfiguriert ist, muss in der SVM vorhanden sein.

    • Kerberos-Richtlinie

      • Maximale Taktabweichung

        Gibt die maximale Toleranz in Minuten für die Synchronisierung der Computeruhr an.

        Wird mithilfe der Maximum tolerance for computer clock synchronization Einstellung im Account Policies/Kerberos Policy Gruppenrichtlinienobjekt festgelegt.

      • Maximales Ticketalter

        Gibt die maximale Lebensdauer in Stunden für das Benutzerticket an.

        Wird mithilfe der Maximum lifetime for user ticket Einstellung im Account Policies/Kerberos Policy Gruppenrichtlinienobjekt festgelegt.

      • Maximales Alter der Ticketverlängerung

        Gibt die maximale Lebensdauer in Tagen für die Verlängerung von Benutzertickets an.

      Wird mithilfe der Maximum lifetime for user ticket renewal Einstellung im Account Policies/Kerberos Policy Gruppenrichtlinienobjekt festgelegt.

    • Zuweisung von Benutzerrechten (Berechtigungsrechte)

      • Verantwortung

        Gibt die Liste der Benutzer und Gruppen an, die das Recht haben, die Verantwortung für jedes seecable Objekt zu übernehmen.

        Wird mithilfe der Take ownership of files or other objects Einstellung im Local Policies/User Rights Assignment Gruppenrichtlinienobjekt festgelegt.

      • Sicherheitsberechtigungen

        Gibt die Liste der Benutzer und Gruppen an, die Überwachungsoptionen für den Objektzugriff einzelner Ressourcen wie Dateien, Ordner und Active Directory-Objekte festlegen können.

        Wird mithilfe der Manage auditing and security log Einstellung im Local Policies/User Rights Assignment Gruppenrichtlinienobjekt festgelegt.

      • Berechtigung zur Benachrichtigung ändern (Bypass Traverse-Überprüfung)

        Gibt die Liste der Benutzer und Gruppen an, die Verzeichnisbäume durchlaufen können, auch wenn Benutzer und Gruppen möglicherweise keine Berechtigungen im durchlaufenen Verzeichnis besitzen.

      Die gleiche Berechtigung ist erforderlich, damit Benutzer Benachrichtigungen über Änderungen an Dateien und Verzeichnissen erhalten. Wird mithilfe der Bypass traverse checking Einstellung im Local Policies/User Rights Assignment Gruppenrichtlinienobjekt festgelegt.

    • Registrierungswerte

      • Erforderliche Signatureinstellung

        Gibt an, ob die erforderliche SMB-Signatur aktiviert oder deaktiviert ist.

      Wird mithilfe der Microsoft network server: Digitally sign communications (always) Einstellung im Security Options Gruppenrichtlinienobjekt festgelegt.

    • Anonym beschränken

      Legt fest, welche Einschränkungen für anonyme Benutzer gelten und enthält die folgenden drei GPO-Einstellungen:

      • Keine Aufzählung von Security Account Manager (SAM)-Konten:

        Durch diese Sicherheitseinstellung wird festgelegt, welche zusätzlichen Berechtigungen für anonyme Verbindungen zum Computer gewährt werden. Diese Option wird als no-enumeration in ONTAP angezeigt, wenn sie aktiviert ist.

        Wird mithilfe der Network access: Do not allow anonymous enumeration of SAM accounts Einstellung im Local Policies/Security Options Gruppenrichtlinienobjekt festgelegt.

      • Keine Aufzählung von SAM-Konten und -Freigaben

        Mit dieser Sicherheitseinstellung wird festgelegt, ob eine anonyme Aufzählung von SAM-Konten und -Freigaben zulässig ist. Diese Option wird als no-enumeration in ONTAP angezeigt, wenn sie aktiviert ist.

        Wird mithilfe der Network access: Do not allow anonymous enumeration of SAM accounts and shares Einstellung im Local Policies/Security Options Gruppenrichtlinienobjekt festgelegt.

      • Anonymen Zugriff auf Freigaben und benannte Pipes beschränken

        Diese Sicherheitseinstellung schränkt den anonymen Zugriff auf Freigaben und Leitungen ein. Diese Option wird als no-access in ONTAP angezeigt, wenn sie aktiviert ist.

        Wird mithilfe der Network access: Restrict anonymous access to Named Pipes and Shares Einstellung im Local Policies/Security Options Gruppenrichtlinienobjekt festgelegt.

        Beim Anzeigen von Informationen zu definierten und angewendeten Gruppenrichtlinien Resultant restriction for anonymous user enthält das Ausgabefeld Informationen über die sich daraus ergebende Einschränkung der drei anonymen Gruppenrichtlinieneinstellungen beschränken. Die möglichen daraus resultierenden Einschränkungen sind wie folgt:

    • no-access

      Dem anonymen Benutzer wird der Zugriff auf die angegebenen Freigaben und Named Pipes verweigert, und die Aufzählung von SAM-Konten und -Freigaben kann nicht verwendet werden. Diese daraus resultierende Einschränkung wird angezeigt, wenn das Network access: Restrict anonymous access to Named Pipes and Shares Gruppenrichtlinienobjekt aktiviert ist.

    • no-enumeration

      Der anonyme Benutzer hat Zugriff auf die angegebenen Freigaben und Named Pipes, kann aber keine Aufzählung von SAM-Konten und -Freigaben verwenden. Diese resultierende Einschränkung wird angezeigt, wenn beide der folgenden Bedingungen erfüllt sind:

      • Das Network access: Restrict anonymous access to Named Pipes and Shares Gruppenrichtlinienobjekt ist deaktiviert.

      • Entweder Network access: Do not allow anonymous enumeration of SAM accounts Network access: Do not allow anonymous enumeration of SAM accounts and shares ist der oder die Gruppenrichtlinienobjekte aktiviert.

    • no-restriction

      Der anonyme Benutzer hat vollen Zugriff und kann Enumeration verwenden. Diese resultierende Einschränkung wird angezeigt, wenn beide der folgenden Bedingungen erfüllt sind:

      • Das Network access: Restrict anonymous access to Named Pipes and Shares Gruppenrichtlinienobjekt ist deaktiviert.

      • Sowohl die Network access: Do not allow anonymous enumeration of SAM accounts Network access: Do not allow anonymous enumeration of SAM accounts and shares Gruppenrichtlinienobjekte als auch die Gruppenrichtlinienobjekte sind deaktiviert.

        • Eingeschränkte Gruppen

          Sie können eingeschränkte Gruppen so konfigurieren, dass sie die Mitgliedschaft von integrierten oder benutzerdefinierten Gruppen zentral verwalten können. Wenn Sie eine eingeschränkte Gruppe über eine Gruppenrichtlinie anwenden, wird die Mitgliedschaft einer lokalen CIFS-Server-Gruppe automatisch so eingestellt, dass sie den in der angewendeten Gruppenrichtlinie festgelegten Mitgliedschaftslisteneinstellungen entspricht.

    Wird mithilfe des Restricted Groups Gruppenrichtlinienobjekts festgelegt.

  • Einstellungen für zentrale Zugriffsrichtlinien

    Gibt eine Liste der zentralen Zugriffsrichtlinien an. Zentrale Zugriffsrichtlinien und die zugehörigen zentralen Zugriffsrichtlinien bestimmen die Zugriffsberechtigungen für mehrere Dateien auf der SVM.

Verwandte Informationen

Aktivieren oder Deaktivieren der GPO-Unterstützung auf einem CIFS-Server

Sichern des Dateizugriffs mithilfe von Dynamic Access Control (DAC)

"SMB- und NFS-Auditing und Sicherheits-Tracing"

Ändern der Kerberos-Sicherheitseinstellungen des CIFS-Servers

Nutzung von BranchCache zum Caching von SMB-Inhalten für Zweigstellen

Verwendung von SMB-Signing zur Verbesserung der Netzwerksicherheit

Konfigurieren der Umgehungsüberprüfung

Konfigurieren von Zugriffsbeschränkungen für anonyme Benutzer