Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Stratégies de groupe prises en charge

Contributeurs
PDF

Bien que tous les objets de stratégie de groupe (GPO) ne soient pas applicables à vos SVM (Storage Virtual machines) compatibles CIFS, les SVM peuvent reconnaître et traiter l'ensemble des GPO pertinents.

Les GPO suivants sont actuellement pris en charge sur SVM :

  • Paramètres de configuration des règles d'audit avancées :

    Accès aux objets : staging de stratégie d'accès central

    Spécifie le type d'événements à auditer pour l'activation de la stratégie d'accès central (CAP), y compris les paramètres suivants :

    • Ne pas auditer

    • Vérifier uniquement les événements de réussite

    • Audit des événements d'échec uniquement

    • Vérifiez à la fois les événements de réussite et d'échec

      Remarque

      Si l'une des trois options d'audit est définie (audit uniquement des événements de réussite, audit uniquement des événements d'échec, audit des événements de réussite et d'échec), ONTAP vérifie à la fois les événements de réussite et d'échec.

      Réglez à l'aide du Audit Central Access Policy Staging réglage dans le Advanced Audit Policy Configuration/Audit Policies/Object Access GPO.

    Remarque

    Pour utiliser les paramètres de stratégie d'audit avancée, l'audit doit être configuré sur le SVM compatible CIFS auquel vous souhaitez appliquer ce paramètre. Si l'audit n'est pas configuré sur le SVM, les paramètres de GPO ne sont pas appliqués et seront supprimés.

  • Paramètres du registre :

    • Intervalle d'actualisation des règles de groupe pour les SVM compatibles CIFS

      Réglez à l'aide du Registry GPO.

    • Actualisation aléatoire de la stratégie de groupe

      Réglez à l'aide du Registry GPO.

    • Publication de hachage pour BranchCache

      La publication Hash pour BranchCache correspond au mode de fonctionnement de BranchCache. Les trois modes de fonctionnement pris en charge sont les suivants :

      • Par action

      • Tous les partages

      • Désactivé Réglez à l'aide du Registry GPO.

    • Prise en charge du hachage pour BranchCache

      Les trois paramètres de version de hachage suivants sont pris en charge :

      • BranchCache version 1

      • BranchCache version 2

      • BranchCache versions 1 et 2 Réglez à l'aide du Registry GPO.

    Remarque

    Pour utiliser les paramètres de BranchCache, BranchCache doit être configuré sur le SVM compatible CIFS auquel vous souhaitez appliquer ce paramètre. Si BranchCache n'est pas configuré sur le SVM, les paramètres de GPO ne sont pas appliqués et seront supprimés.

  • Les paramètres de sécurité

    • Règle d'audit et journal des événements

      • Audit des événements de connexion

        Spécifie le type d'événements de connexion à auditer, notamment les paramètres suivants :

        • Ne pas auditer

        • Vérifier uniquement les événements de réussite

        • Audit sur les événements de panne

        • Vérifiez à la fois les événements de réussite et d'échec Réglez à l'aide du Audit logon events réglage dans le Local Policies/Audit Policy GPO.

        Remarque

        Si l'une des trois options d'audit est définie (audit uniquement des événements de réussite, audit uniquement des événements d'échec, audit des événements de réussite et d'échec), ONTAP vérifie à la fois les événements de réussite et d'échec.

      • Auditer l'accès aux objets

        Spécifie le type d'accès aux objets à auditer, y compris les paramètres suivants :

        • Ne pas auditer

        • Vérifier uniquement les événements de réussite

        • Audit sur les événements de panne

        • Vérifiez à la fois les événements de réussite et d'échec Réglez à l'aide du Audit object access réglage dans le Local Policies/Audit Policy GPO.

        Remarque

        Si l'une des trois options d'audit est définie (audit uniquement des événements de réussite, audit uniquement des événements d'échec, audit des événements de réussite et d'échec), ONTAP vérifie à la fois les événements de réussite et d'échec.

      • Méthode de conservation des journaux

        Spécifie la méthode de conservation du journal d'audit, y compris les paramètres suivants :

        • Remplacez le journal des événements lorsque la taille du fichier journal dépasse la taille maximale du journal

        • Ne pas écraser le journal des événements (effacer le journal manuellement) Réglez à l'aide du Retention method for security log réglage dans le Event Log GPO.

      • Taille maximale du journal

        Spécifie la taille maximale du journal d'audit.

        Réglez à l'aide du Maximum security log size réglage dans le Event Log GPO.

      Remarque

      Pour utiliser les paramètres de stratégie d'audit et de stratégie GPO du journal des événements, l'audit doit être configuré sur le SVM compatible CIFS auquel vous souhaitez appliquer ce paramètre. Si l'audit n'est pas configuré sur le SVM, les paramètres de GPO ne sont pas appliqués et seront supprimés.

    • Sécurité du système de fichiers

      Spécifie une liste de fichiers ou de répertoires sur lesquels la sécurité des fichiers est appliquée via un GPO.

      Réglez à l'aide du File System GPO.

      Remarque

      Le chemin d'accès au volume auquel la stratégie de sécurité du système de fichiers est configurée doit exister au sein de la SVM.

    • Règle Kerberos

      • Inclinaison maximale de l'horloge

        Spécifie la tolérance maximale en minutes pour la synchronisation de l'horloge de l'ordinateur.

        Réglez à l'aide du Maximum tolerance for computer clock synchronization réglage dans le Account Policies/Kerberos Policy GPO.

      • Âge maximum du billet

        Spécifie la durée de vie maximale en heures pour le ticket utilisateur.

        Réglez à l'aide du Maximum lifetime for user ticket réglage dans le Account Policies/Kerberos Policy GPO.

      • Âge maximum de renouvellement du billet

        Spécifie la durée de vie maximale en jours pour le renouvellement du ticket utilisateur.

      Réglez à l'aide du Maximum lifetime for user ticket renewal réglage dans le Account Policies/Kerberos Policy GPO.

    • Attribution de droits utilisateur (droits de privilège)

      • Devenir propriétaire

        Indique la liste des utilisateurs et des groupes qui ont le droit de prendre possession de tout objet sécurisé.

        Réglez à l'aide du Take ownership of files or other objects réglage dans le Local Policies/User Rights Assignment GPO.

      • Privilège de sécurité

        Indique la liste des utilisateurs et des groupes qui peuvent spécifier des options d'audit pour l'accès aux objets de ressources individuelles, telles que des fichiers, des dossiers et des objets Active Directory.

        Réglez à l'aide du Manage auditing and security log réglage dans le Local Policies/User Rights Assignment GPO.

      • Changer le privilège de notification (vérification de la traverse de dérivation)

        Indique la liste des utilisateurs et des groupes qui peuvent traverser les arborescences de répertoires, même si les utilisateurs et les groupes ne disposent pas des autorisations sur le répertoire de traversée.

      Le même privilège est requis pour que les utilisateurs reçoivent des notifications sur les modifications apportées aux fichiers et aux répertoires. Réglez à l'aide du Bypass traverse checking réglage dans le Local Policies/User Rights Assignment GPO.

    • Valeurs de registre

      • Paramètre de signature requis

        Indique si la signature SMB requise est activée ou désactivée.

      Réglez à l'aide du Microsoft network server: Digitally sign communications (always) réglage dans le Security Options GPO.

    • Limiter l'anonymat

      Indique les restrictions pour les utilisateurs anonymes et inclut les trois paramètres de stratégie de groupe suivants :

      • Pas d'énumération des comptes de Security Account Manager (SAM) :

        Ce paramètre de sécurité détermine les autorisations supplémentaires accordées pour les connexions anonymes à l'ordinateur. Cette option s'affiche sous la forme no-enumeration Dans ONTAP, si elle est activée.

        Réglez à l'aide du Network access: Do not allow anonymous enumeration of SAM accounts réglage dans le Local Policies/Security Options GPO.

      • Pas d'énumération des comptes et des partages SAM

        Ce paramètre de sécurité détermine si l'énumération anonyme des comptes et partages SAM est autorisée. Cette option s'affiche sous la forme no-enumeration Dans ONTAP, si elle est activée.

        Réglez à l'aide du Network access: Do not allow anonymous enumeration of SAM accounts and shares réglage dans le Local Policies/Security Options GPO.

      • Limiter l'accès anonyme aux partages et aux canaux nommés

        Ce paramètre de sécurité limite l'accès anonyme aux partages et aux tuyaux. Cette option s'affiche sous la forme no-access Dans ONTAP, si elle est activée.

        Réglez à l'aide du Network access: Restrict anonymous access to Named Pipes and Shares réglage dans le Local Policies/Security Options GPO.

        Lors de l'affichage d'informations sur les stratégies de groupe définies et appliquées, le Resultant restriction for anonymous user Le champ sortie fournit des informations sur la restriction résultant des trois paramètres de GPO anonymes de restriction. Les restrictions possibles résultantes sont les suivantes :

    • no-access

      L'utilisateur anonyme refuse l'accès aux partages spécifiés et aux canaux nommés, et ne peut pas utiliser l'énumération des comptes et des partages SAM. Cette restriction résultante est visible si le Network access: Restrict anonymous access to Named Pipes and Shares L'objet GPO est activé.

    • no-enumeration

      L'utilisateur anonyme a accès aux partages spécifiés et aux canaux nommés, mais ne peut pas utiliser l'énumération des comptes et partages SAM. Cette restriction résultante est observée si les deux conditions suivantes sont remplies :

      • Le Network access: Restrict anonymous access to Named Pipes and Shares GPO est désactivé.

      • Soit le Network access: Do not allow anonymous enumeration of SAM accounts ou le Network access: Do not allow anonymous enumeration of SAM accounts and shares Les stratégies de groupe sont activées.

    • no-restriction

      L'utilisateur anonyme dispose d'un accès complet et peut utiliser l'énumération. Cette restriction résultante est observée si les deux conditions suivantes sont remplies :

      • Le Network access: Restrict anonymous access to Named Pipes and Shares GPO est désactivé.

      • Les deux Network access: Do not allow anonymous enumeration of SAM accounts et Network access: Do not allow anonymous enumeration of SAM accounts and shares Les GPO sont désactivés.

        • Groupes restreints

          Vous pouvez configurer des groupes restreints pour gérer de manière centralisée l'appartenance à des groupes intégrés ou définis par l'utilisateur. Lorsque vous appliquez un groupe restreint via une stratégie de groupe, l'appartenance à un groupe local de serveur CIFS est automatiquement définie pour correspondre aux paramètres de liste d'appartenance définis dans la stratégie de groupe appliquée.

    Réglez à l'aide du Restricted Groups GPO.

  • Paramètres de stratégie d'accès centralisé

    Spécifie une liste de stratégies d'accès centralisé. Les politiques d'accès central et les règles de politique d'accès central associées déterminent les autorisations d'accès pour plusieurs fichiers sur la SVM.

Informations associées

Activation ou désactivation de la prise en charge de GPO sur un serveur CIFS

Sécurisation de l'accès aux fichiers à l'aide du contrôle d'accès dynamique (DAC)

"Audit et suivi de sécurité SMB et NFS"

Modification des paramètres de sécurité Kerberos du serveur CIFS

Utilisation de BranchCache pour mettre en cache le contenu de partage SMB dans une succursale

Utilisation de la signature SMB pour améliorer la sécurité du réseau

Configuration de la vérification de la traverse de dérivation

Configuration des restrictions d'accès pour les utilisateurs anonymes