Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Objetos de normativa de grupo compatibles

Colaboradores
PDF

Aunque no todos los objetos de políticas de grupo (GPO) se aplican a las máquinas virtuales de almacenamiento (SVM) habilitadas para CIFS, las SVM pueden reconocer y procesar el conjunto de objetos de normativa de grupo correspondiente.

Actualmente, los siguientes GPO son compatibles con las SVM:

  • Ajustes de configuración de directivas de auditoría avanzadas:

    Acceso a objetos: Escalonamiento de la directiva de acceso central

    Especifica el tipo de eventos que se auditarán para la configuración provisional de la directiva de acceso central (CAP), incluida la siguiente configuración:

    • No auditar

    • Auditar solo los eventos de éxito

    • Auditar solo los eventos de fallo

    • Auditar eventos de éxito y fallo

      Nota

      Si se establece cualquiera de las tres opciones de auditoría (sólo eventos de éxito de auditoría, auditar sólo eventos de fallo, auditar eventos de éxito y de fallo), ONTAP audita tanto eventos de éxito como de fallo.

      Establecer mediante la Audit Central Access Policy Staging ajuste en la Advanced Audit Policy Configuration/Audit Policies/Object Access GPO.

    Nota

    Para utilizar las opciones de GPO de configuración de directivas de auditoría avanzadas, la auditoría debe configurarse en la SVM habilitada para CIFS a la que desee aplicar estas opciones. Si la auditoría no está configurada en la SVM, la configuración de GPO no se aplicará y se descarta.

  • Configuración del registro:

    • Intervalo de actualización de la directiva de grupo para la SVM habilitada para CIFS

      Establecer mediante la Registry GPO.

    • Actualización aleatoria de directivas de grupo

      Establecer mediante la Registry GPO.

    • Publicación de hash para BranchCache

      El GPO Hash Publication para BranchCache corresponde al modo operativo de BranchCache. Se admiten los tres modos de funcionamiento compatibles siguientes:

      • Por recurso compartido

      • Todos los recursos compartidos

      • Deshabilitado Establecer mediante la Registry GPO.

    • Compatibilidad de la versión de hash para BranchCache

      Se admiten las tres configuraciones de la siguiente versión de hash:

      • BranchCache, versión 1

      • BranchCache versión 2

      • BranchCache versiones 1 y 2 Establecer mediante la Registry GPO.

    Nota

    Para usar la configuración de GPO de BranchCache, BranchCache debe configurarse en la SVM habilitada para CIFS a la que desea aplicar esta configuración. Si no se configura BranchCache en la SVM, no se aplicará la configuración de GPO y se descarta.

  • Configuración de seguridad

    • Política de auditoría y registro de eventos

      • Auditar eventos de inicio de sesión

        Especifica el tipo de eventos de inicio de sesión que se van a auditar, incluida la siguiente configuración:

        • No auditar

        • Auditar solo los eventos de éxito

        • Auditoría de eventos de fallo

        • Auditar eventos de éxito y fallo Establecer mediante la Audit logon events ajuste en la Local Policies/Audit Policy GPO.

        Nota

        Si se establece cualquiera de las tres opciones de auditoría (sólo eventos de éxito de auditoría, auditar sólo eventos de fallo, auditar eventos de éxito y de fallo), ONTAP audita tanto eventos de éxito como de fallo.

      • Auditar el acceso a objetos

        Especifica el tipo de acceso al objeto que se va a auditar, incluida la siguiente configuración:

        • No auditar

        • Auditar solo los eventos de éxito

        • Auditoría de eventos de fallo

        • Auditar eventos de éxito y fallo Establecer mediante la Audit object access ajuste en la Local Policies/Audit Policy GPO.

        Nota

        Si se establece cualquiera de las tres opciones de auditoría (sólo eventos de éxito de auditoría, auditar sólo eventos de fallo, auditar eventos de éxito y de fallo), ONTAP audita tanto eventos de éxito como de fallo.

      • Método de retención de registros

        Especifica el método de retención del registro de auditoría, incluida la siguiente configuración:

        • Sobrescribir el registro de eventos cuando el tamaño del archivo de registro supere el tamaño máximo del registro

        • No sobrescribir el registro de eventos (borrar el registro manualmente) Establecer mediante la Retention method for security log ajuste en la Event Log GPO.

      • Tamaño máximo del registro

        Especifica el tamaño máximo del registro de auditoría.

        Establecer mediante la Maximum security log size ajuste en la Event Log GPO.

      Nota

      Para utilizar la configuración de directiva de auditoría y GPO de registro de eventos, la auditoría debe configurarse en la SVM habilitada para CIFS a la que desea aplicar esta configuración. Si la auditoría no está configurada en la SVM, la configuración de GPO no se aplicará y se descarta.

    • Seguridad del sistema de archivos

      Especifica una lista de archivos o directorios en los que se aplica la seguridad de archivos a través de un GPO.

      Establecer mediante la File System GPO.

      Nota

      Debe existir la ruta de acceso del volumen donde se configura el GPO de seguridad del sistema de archivos en la SVM.

    • Política de Kerberos

      • Desviación máxima del reloj

        Especifica la tolerancia máxima en minutos para la sincronización del reloj del equipo.

        Establecer mediante la Maximum tolerance for computer clock synchronization ajuste en la Account Policies/Kerberos Policy GPO.

      • Antigüedad máxima del billete

        Especifica la duración máxima en horas para el ticket de usuario.

        Establecer mediante la Maximum lifetime for user ticket ajuste en la Account Policies/Kerberos Policy GPO.

      • Antigüedad máxima de renovación del boleto

        Especifica la duración máxima en días para la renovación de la tarjeta de usuario.

      Establecer mediante la Maximum lifetime for user ticket renewal ajuste en la Account Policies/Kerberos Policy GPO.

    • Asignación de derechos de usuario (derechos de privilegio)

      • Asuma la propiedad

        Especifica la lista de usuarios y grupos que tienen derecho a asumir la propiedad de cualquier objeto asegurable.

        Establecer mediante la Take ownership of files or other objects ajuste en la Local Policies/User Rights Assignment GPO.

      • Privilegio de seguridad

        Especifica la lista de usuarios y grupos que pueden especificar opciones de auditoría para el acceso a objetos de recursos individuales, como archivos, carpetas y objetos de Active Directory.

        Establecer mediante la Manage auditing and security log ajuste en la Local Policies/User Rights Assignment GPO.

      • Cambiar privilegio de notificación (comprobación de recorrido de derivación)

        Especifica la lista de usuarios y grupos que pueden recorrer los árboles de directorios aunque los usuarios y los grupos puedan no tener permisos en el directorio de recorrido.

      El mismo privilegio es necesario para que los usuarios reciban notificaciones de cambios en archivos y directorios. Establecer mediante la Bypass traverse checking ajuste en la Local Policies/User Rights Assignment GPO.

    • Valores del Registro

      • Firma Configuración requerida

        Especifica si la firma SMB necesaria está habilitada o deshabilitada.

      Establecer mediante la Microsoft network server: Digitally sign communications (always) ajuste en la Security Options GPO.

    • Restringir anónimo

      Especifica cuáles son las restricciones para los usuarios anónimos e incluye las tres configuraciones de GPO siguientes:

      • No hay enumeración de cuentas del Administrador de cuentas de seguridad (SAM):

        Esta configuración de seguridad determina qué permisos adicionales se conceden para las conexiones anónimas al equipo. Esta opción se muestra como no-enumeration En ONTAP si está habilitado.

        Establecer mediante la Network access: Do not allow anonymous enumeration of SAM accounts ajuste en la Local Policies/Security Options GPO.

      • No hay enumeración de cuentas y recursos compartidos de SAM

        Esta configuración de seguridad determina si se permite la enumeración anónima de cuentas SAM y recursos compartidos. Esta opción se muestra como no-enumeration En ONTAP si está habilitado.

        Establecer mediante la Network access: Do not allow anonymous enumeration of SAM accounts and shares ajuste en la Local Policies/Security Options GPO.

      • Restringir el acceso anónimo a recursos compartidos y canalizaciones con nombre

        Esta configuración de seguridad restringe el acceso anónimo a recursos compartidos y tuberías. Esta opción se muestra como no-access En ONTAP si está habilitado.

        Establecer mediante la Network access: Restrict anonymous access to Named Pipes and Shares ajuste en la Local Policies/Security Options GPO.

        Cuando se muestra información acerca de las directivas de grupo definidas y aplicadas, la Resultant restriction for anonymous user El campo salida proporciona información sobre la restricción resultante de las tres configuraciones de GPO anónimo de restricción. Las posibles restricciones resultantes son las siguientes:

    • no-access

      Al usuario anónimo se le deniega el acceso a los recursos compartidos especificados y a las canalizaciones con nombre, y no se puede utilizar la enumeración de cuentas y recursos compartidos SAM. Esta restricción resultante se observa si el Network access: Restrict anonymous access to Named Pipes and Shares GPO está habilitado.

    • no-enumeration

      El usuario anónimo tiene acceso a los recursos compartidos y canalizaciones con nombre especificados, pero no puede utilizar la enumeración de cuentas y recursos compartidos SAM. Esta restricción resultante se observa si se cumplen las dos condiciones siguientes:

      • La Network access: Restrict anonymous access to Named Pipes and Shares GPO deshabilitado.

      • O bien la Network access: Do not allow anonymous enumeration of SAM accounts o la Network access: Do not allow anonymous enumeration of SAM accounts and shares Los GPO están habilitados.

    • no-restriction

      El usuario anónimo tiene acceso completo y puede utilizar la enumeración. Esta restricción resultante se observa si se cumplen las dos condiciones siguientes:

      • La Network access: Restrict anonymous access to Named Pipes and Shares GPO deshabilitado.

      • Ambas Network access: Do not allow anonymous enumeration of SAM accounts y.. Network access: Do not allow anonymous enumeration of SAM accounts and shares Los GPO están deshabilitados.

        • Grupos restringidos

          Puede configurar grupos restringidos para administrar de forma centralizada la pertenencia a grupos integrados o definidos por el usuario. Cuando aplica un grupo restringido a través de una directiva de grupo, la pertenencia a un grupo local de servidor CIFS se establece automáticamente para que coincida con la configuración de la lista de miembros definida en la directiva de grupo aplicada.

    Establecer mediante la Restricted Groups GPO.

  • Configuración de la directiva de acceso central

    Especifica una lista de directivas de acceso central. Las políticas de acceso central y las reglas de política de acceso central asociadas determinan los permisos de acceso para varios archivos en la SVM.

Información relacionada

Habilitar o deshabilitar la compatibilidad de GPO en un servidor CIFS

Protección del acceso a los archivos mediante el control de acceso dinámico (DAC)

"Seguimiento de seguridad y auditoría de SMB y NFS"

Modificar la configuración de seguridad Kerberos del servidor CIFS

Uso de BranchCache para almacenar en caché contenido compartido de SMB en una sucursal

Utilizar la firma SMB para mejorar la seguridad de la red

Configuración de la comprobación de recorrido de derivación

Configuración de restricciones de acceso para usuarios anónimos