Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Obtenga más información sobre los GPO para SMB de ONTAP compatibles

Colaboradores netapp-aaron-holt netapp-aherbin netapp-thomi
PDF

Aunque no todos los objetos de políticas de grupo (GPO) se aplican a las máquinas virtuales de almacenamiento (SVM) habilitadas para CIFS, las SVM pueden reconocer y procesar el conjunto de objetos de normativa de grupo correspondiente.

Actualmente, los siguientes GPO son compatibles con las SVM:

  • Ajustes de configuración de directivas de auditoría avanzadas:

    Acceso a objetos: Escalonamiento de la directiva de acceso central

    Especifica el tipo de eventos que se auditarán para la configuración provisional de la directiva de acceso central (CAP), incluida la siguiente configuración:

    • No auditar

    • Auditar solo los eventos de éxito

    • Auditar solo los eventos de fallo

    • Auditar eventos de éxito y fallo

      Nota

      Si se establece cualquiera de las tres opciones de auditoría (sólo eventos de éxito de auditoría, auditar sólo eventos de fallo, auditar eventos de éxito y de fallo), ONTAP audita tanto eventos de éxito como de fallo.

      Se establece mediante la Audit Central Access Policy Staging configuración de Advanced Audit Policy Configuration/Audit Policies/Object Access GPO.

    Nota

    Para utilizar las opciones de GPO de configuración de directivas de auditoría avanzadas, la auditoría debe configurarse en la SVM habilitada para CIFS a la que desee aplicar estas opciones. Si la auditoría no está configurada en la SVM, la configuración de GPO no se aplicará y se descarta.

  • Configuración del registro:

    • Intervalo de actualización de la directiva de grupo para la SVM habilitada para CIFS

      Se establece mediante el Registry GPO.

    • Actualización aleatoria de directivas de grupo

      Se establece mediante el Registry GPO.

    • Publicación de hash para BranchCache

      El GPO Hash Publication para BranchCache corresponde al modo operativo de BranchCache. Se admiten los tres modos de funcionamiento compatibles siguientes:

      • Por recurso compartido

      • Todos los recursos compartidos

      • Se desactiva mediante Registry GPO.

    • Compatibilidad de la versión de hash para BranchCache

      Se admiten las tres configuraciones de la siguiente versión de hash:

      • BranchCache versión 1

      • BranchCache versión 2

      • Las versiones 1 y 2 de BranchCache se establecen mediante Registry GPO.

    Nota

    Para usar la configuración de GPO de BranchCache, BranchCache debe configurarse en la SVM habilitada para CIFS a la que desea aplicar esta configuración. Si no se configura BranchCache en la SVM, no se aplicará la configuración de GPO y se descarta.

  • Configuración de seguridad

    • Política de auditoría y registro de eventos

      • Auditar eventos de inicio de sesión

        Especifica el tipo de eventos de inicio de sesión que se van a auditar, incluida la siguiente configuración:

        • No auditar

        • Auditar solo los eventos de éxito

        • Auditoría de eventos de fallo

        • Audite los eventos de éxito y fallo definidos mediante la Audit logon events configuración del Local Policies/Audit Policy GPO.

        Nota

        Si se establece cualquiera de las tres opciones de auditoría (sólo eventos de éxito de auditoría, auditar sólo eventos de fallo, auditar eventos de éxito y de fallo), ONTAP audita tanto eventos de éxito como de fallo.

      • Auditar el acceso a objetos

        Especifica el tipo de acceso al objeto que se va a auditar, incluida la siguiente configuración:

        • No auditar

        • Auditar solo los eventos de éxito

        • Auditoría de eventos de fallo

        • Audite los eventos de éxito y fallo definidos mediante la Audit object access configuración del Local Policies/Audit Policy GPO.

        Nota

        Si se establece cualquiera de las tres opciones de auditoría (sólo eventos de éxito de auditoría, auditar sólo eventos de fallo, auditar eventos de éxito y de fallo), ONTAP audita tanto eventos de éxito como de fallo.

      • Método de retención de registros

        Especifica el método de retención del registro de auditoría, incluida la siguiente configuración:

        • Sobrescribir el registro de eventos cuando el tamaño del archivo de registro supere el tamaño máximo del registro

        • No sobrescriba el registro de eventos (borrar registro manualmente) establecido mediante la Retention method for security log configuración del Event Log GPO.

      • Tamaño máximo del registro

        Especifica el tamaño máximo del registro de auditoría.

        Se establece mediante la Maximum security log size configuración de Event Log GPO.

      Nota

      Para utilizar la configuración de directiva de auditoría y GPO de registro de eventos, la auditoría debe configurarse en la SVM habilitada para CIFS a la que desea aplicar esta configuración. Si la auditoría no está configurada en la SVM, la configuración de GPO no se aplicará y se descarta.

    • Seguridad del sistema de archivos

      Especifica una lista de archivos o directorios en los que se aplica la seguridad de archivos a través de un GPO.

      Se establece mediante el File System GPO.

      Nota

      Debe existir la ruta de acceso del volumen donde se configura el GPO de seguridad del sistema de archivos en la SVM.

    • Política de Kerberos

      • Desviación máxima del reloj

        Especifica la tolerancia máxima en minutos para la sincronización del reloj del equipo.

        Se establece mediante la Maximum tolerance for computer clock synchronization configuración de Account Policies/Kerberos Policy GPO.

      • Antigüedad máxima del billete

        Especifica la duración máxima en horas para el ticket de usuario.

        Se establece mediante la Maximum lifetime for user ticket configuración de Account Policies/Kerberos Policy GPO.

      • Antigüedad máxima de renovación del boleto

        Especifica la duración máxima en días para la renovación de la tarjeta de usuario.

      Se establece mediante la Maximum lifetime for user ticket renewal configuración de Account Policies/Kerberos Policy GPO.

    • Asignación de derechos de usuario (derechos de privilegio)

      • Asuma la propiedad

        Especifica la lista de usuarios y grupos que tienen derecho a asumir la propiedad de cualquier objeto asegurable.

        Se establece mediante la Take ownership of files or other objects configuración de Local Policies/User Rights Assignment GPO.

      • Privilegio de seguridad

        Especifica la lista de usuarios y grupos que pueden especificar opciones de auditoría para el acceso a objetos de recursos individuales, como archivos, carpetas y objetos de Active Directory.

        Se establece mediante la Manage auditing and security log configuración de Local Policies/User Rights Assignment GPO.

      • Cambiar privilegio de notificación (comprobación de recorrido de derivación)

        Especifica la lista de usuarios y grupos que pueden recorrer los árboles de directorios aunque los usuarios y los grupos puedan no tener permisos en el directorio de recorrido.

      El mismo privilegio es necesario para que los usuarios reciban notificaciones de cambios en archivos y directorios. Se establece mediante la Bypass traverse checking configuración de Local Policies/User Rights Assignment GPO.

    • Valores del Registro

      • Firma Configuración requerida

        Especifica si la firma SMB necesaria está habilitada o deshabilitada.

      Se establece mediante la Microsoft network server: Digitally sign communications (always) configuración de Security Options GPO.

    • Restringir anónimo

      Especifica cuáles son las restricciones para los usuarios anónimos e incluye las tres configuraciones de GPO siguientes:

      • No hay enumeración de cuentas del Administrador de cuentas de seguridad (SAM):

        Esta configuración de seguridad determina qué permisos adicionales se conceden para las conexiones anónimas al equipo. Esta opción se muestra como no-enumeration en ONTAP si está habilitada.

        Se establece mediante la Network access: Do not allow anonymous enumeration of SAM accounts configuración de Local Policies/Security Options GPO.

      • No hay enumeración de cuentas y recursos compartidos de SAM

        Esta configuración de seguridad determina si se permite la enumeración anónima de cuentas SAM y recursos compartidos. Esta opción se muestra como no-enumeration en ONTAP si está habilitada.

        Se establece mediante la Network access: Do not allow anonymous enumeration of SAM accounts and shares configuración de Local Policies/Security Options GPO.

      • Restringir el acceso anónimo a recursos compartidos y canalizaciones con nombre

        Esta configuración de seguridad restringe el acceso anónimo a recursos compartidos y tuberías. Esta opción se muestra como no-access en ONTAP si está habilitada.

        Se establece mediante la Network access: Restrict anonymous access to Named Pipes and Shares configuración de Local Policies/Security Options GPO.

        Cuando se muestra información sobre las políticas de grupo definidas y aplicadas, el Resultant restriction for anonymous user campo de salida proporciona información sobre la restricción resultante de los tres valores de GPO anónimos de restricción. Las posibles restricciones resultantes son las siguientes:

    • no-access

      Al usuario anónimo se le deniega el acceso a los recursos compartidos especificados y a las canalizaciones con nombre, y no se puede utilizar la enumeración de cuentas y recursos compartidos SAM. Esta restricción resultante se ve si el Network access: Restrict anonymous access to Named Pipes and Shares GPO está habilitado.

    • no-enumeration

      El usuario anónimo tiene acceso a los recursos compartidos y canalizaciones con nombre especificados, pero no puede utilizar la enumeración de cuentas y recursos compartidos SAM. Esta restricción resultante se observa si se cumplen las dos condiciones siguientes:

      • El Network access: Restrict anonymous access to Named Pipes and Shares GPO está desactivado.

      • Network access: Do not allow anonymous enumeration of SAM accounts`O los `Network access: Do not allow anonymous enumeration of SAM accounts and shares objetos de normativa de grupo están activados.

    • no-restriction

      El usuario anónimo tiene acceso completo y puede utilizar la enumeración. Esta restricción resultante se observa si se cumplen las dos condiciones siguientes:

      • El Network access: Restrict anonymous access to Named Pipes and Shares GPO está desactivado.

      • Los Network access: Do not allow anonymous enumeration of SAM accounts Network access: Do not allow anonymous enumeration of SAM accounts and shares GPO y están desactivados.

        • Grupos restringidos

          Puede configurar grupos restringidos para administrar de forma centralizada la pertenencia a grupos integrados o definidos por el usuario. Cuando aplica un grupo restringido a través de una directiva de grupo, la pertenencia a un grupo local de servidor CIFS se establece automáticamente para que coincida con la configuración de la lista de miembros definida en la directiva de grupo aplicada.

    Se establece mediante el Restricted Groups GPO.

  • Configuración de la directiva de acceso central

    Especifica una lista de directivas de acceso central. Las políticas de acceso central y las reglas de política de acceso central asociadas determinan los permisos de acceso para varios archivos en la SVM.

Información relacionada