Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configuración de políticas de acceso centrales para proteger los datos en servidores CIFS

Colaboradores
PDF

Hay varios pasos que debe dar para garantizar el acceso seguro a los datos en el servidor CIFS mediante políticas de acceso centrales, incluida la habilitación del control de acceso dinámico (DAC) en el servidor CIFS, la configuración de políticas de acceso centrales en Active Directory y la aplicación de las políticas de acceso centrales a los contenedores de Active Directory con GPO, Y habilitar los GPO en el servidor CIFS.

Antes de empezar

  • Active Directory debe estar configurado para utilizar las directivas de acceso central.

  • Debe tener suficiente acceso en los controladores de dominio de Active Directory para crear políticas de acceso centrales y crear y aplicar GPO a los contenedores que contienen los servidores CIFS.

  • Debe tener suficiente acceso administrativo en la máquina virtual de almacenamiento (SVM) para ejecutar los comandos necesarios.

Acerca de esta tarea

Las directivas de acceso central se definen y aplican a los objetos de directiva de grupo (GPO) en Active Directory. Puede consultar la biblioteca de Microsoft TechNet para obtener instrucciones sobre la configuración de directivas de acceso central y GPO.

"Biblioteca de Microsoft TechNet"

Pasos

  1. Habilite el control de acceso dinámico en la SVM si aún no está habilitado mediante el vserver cifs options modify comando.

    vserver cifs options modify -vserver vs1 -is-dac-enabled true

  2. Habilite los objetos de política de grupo (GPO) en el servidor CIFS si todavía no están habilitados mediante el vserver cifs group-policy modify comando.

    vserver cifs group-policy modify -vserver vs1 -status enabled

  3. Crear reglas de acceso central y políticas de acceso central en Active Directory.

  4. Cree un objeto de directiva de grupo (GPO) para implementar las directivas de acceso central en Active Directory.

  5. Aplique el GPO al contenedor donde se encuentra la cuenta de equipo servidor CIFS.

  6. Actualice manualmente los GPO aplicados al servidor CIFS mediante el vserver cifs group-policy update comando.

    vserver cifs group-policy update -vserver vs1

  7. Compruebe que la directiva de acceso central de GPO se aplica a los recursos del servidor CIFS mediante vserver cifs group-policy show-applied comando.

    El siguiente ejemplo muestra que la política de dominio predeterminada tiene dos políticas de acceso centrales que se aplican al servidor CIFS:

    vserver cifs group-policy show-applied

    Vserver: vs1
-----------------------------
    GPO Name: Default Domain Policy
       Level: Domain
      Status: enabled
  Advanced Audit Settings:
      Object Access:
          Central Access Policy Staging: failure
  Registry Settings:
      Refresh Time Interval: 22
      Refresh Random Offset: 8
      Hash Publication Mode for BranchCache: per-share
      Hash Version Support for BranchCache: all-versions
  Security Settings:
      Event Audit and Event Log:
          Audit Logon Events: none
          Audit Object Access: success
          Log Retention Method: overwrite-as-needed
          Max Log Size: 16384
      File Security:
          /vol1/home
          /vol1/dir1
      Kerberos:
          Max Clock Skew: 5
          Max Ticket Age: 10
          Max Renew Age:  7
      Privilege Rights:
          Take Ownership: usr1, usr2
          Security Privilege: usr1, usr2
          Change Notify: usr1, usr2
      Registry Values:
          Signing Required: false
      Restrict Anonymous:
          No enumeration of SAM accounts: true
          No enumeration of SAM accounts and shares: false
          Restrict anonymous access to shares and named pipes: true
          Combined restriction for anonymous user: no-access
      Restricted Groups:
          gpr1
          gpr2
  Central Access Policy Settings:
      Policies: cap1
                cap2

    GPO Name: Resultant Set of Policy
       Level: RSOP
  Advanced Audit Settings:
      Object Access:
          Central Access Policy Staging: failure
  Registry Settings:
      Refresh Time Interval: 22
      Refresh Random Offset: 8
      Hash Publication Mode for BranchCache: per-share
      Hash Version Support for BranchCache: all-versions
  Security Settings:
      Event Audit and Event Log:
          Audit Logon Events: none
          Audit Object Access: success
          Log Retention Method: overwrite-as-needed
          Max Log Size: 16384
      File Security:
          /vol1/home
          /vol1/dir1
      Kerberos:
          Max Clock Skew: 5
          Max Ticket Age: 10
          Max Renew Age:  7
      Privilege Rights:
          Take Ownership: usr1, usr2
          Security Privilege: usr1, usr2
          Change Notify: usr1, usr2
      Registry Values:
          Signing Required: false
      Restrict Anonymous:
          No enumeration of SAM accounts: true
          No enumeration of SAM accounts and shares: false
          Restrict anonymous access to shares and named pipes: true
          Combined restriction for anonymous user: no-access
      Restricted Groups:
          gpr1
          gpr2
  Central Access Policy Settings:
      Policies: cap1
                cap2
2 entries were displayed.
Información relacionada

Mostrar información acerca de las configuraciones de GPO

Visualización de información acerca de las políticas de acceso central

Mostrar información acerca de las reglas de la política de acceso central

Activación o desactivación del control de acceso dinámico