Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

GPO supportati

Collaboratori
PDF

Sebbene non tutti gli oggetti Criteri di gruppo (GPO) siano applicabili alle SVM (Storage Virtual Machine) abilitate per CIFS, le SVM sono in grado di riconoscere ed elaborare il relativo set di GPO.

I seguenti GPO sono attualmente supportati sulle SVM:

  • Impostazioni avanzate di configurazione dei criteri di controllo:

    Accesso a oggetti: Staging dei criteri di accesso centrale

    Specifica il tipo di eventi da sottoporre a verifica per lo staging dei criteri di accesso centrale (CAP), incluse le seguenti impostazioni:

    • Non eseguire audit

    • Controllare solo gli eventi di successo

    • Controllare solo gli eventi di errore

    • Controllare gli eventi di successo e di guasto

      Nota

      Se viene impostata una qualsiasi delle tre opzioni di audit (solo eventi di successo, solo eventi di errore di audit, eventi di successo e di fallimento di audit), ONTAP controlla sia gli eventi di successo che quelli di fallimento.

      Impostare utilizzando Audit Central Access Policy Staging in Advanced Audit Policy Configuration/Audit Policies/Object Access GPO.

    Nota

    Per utilizzare le impostazioni dell'oggetto Criteri di gruppo per la configurazione avanzata dei criteri di controllo, è necessario configurare il controllo sulla SVM CIFS-Enabled a cui si desidera applicare queste impostazioni. Se il controllo non è configurato sulla SVM, le impostazioni dell'oggetto Criteri di gruppo non verranno applicate e verranno ignorate.

  • Impostazioni del Registro di sistema:

    • Intervallo di aggiornamento dei criteri di gruppo per SVM abilitato CIFS

      Impostare utilizzando Registry GPO.

    • Offset casuale di refresh dei criteri di gruppo

      Impostare utilizzando Registry GPO.

    • Pubblicazione hash per BranchCache

      La pubblicazione Hash per l'oggetto Criteri di gruppo BranchCache corrisponde alla modalità operativa BranchCache. Sono supportate le seguenti tre modalità operative:

      • Per-share

      • All-share

      • Disattivato tramite Registry GPO.

    • Supporto della versione hash per BranchCache

      Sono supportate le seguenti tre impostazioni di versione hash:

      • BranchCache versione 1

      • BranchCache versione 2

      • BranchCache versioni 1 e 2 impostate tramite Registry GPO.

    Nota

    Per utilizzare le impostazioni dell'oggetto Criteri di gruppo BranchCache, è necessario configurare BranchCache sulla SVM CIFS-Enabled a cui si desidera applicare queste impostazioni. Se BranchCache non è configurato sulla SVM, le impostazioni dell'oggetto Criteri di gruppo non verranno applicate e verranno ignorate.

  • Impostazioni di sicurezza

    • Policy di audit e registro eventi

      • Controllare gli eventi di accesso

        Specifica il tipo di eventi di accesso da sottoporre a verifica, incluse le seguenti impostazioni:

        • Non eseguire audit

        • Controllare solo gli eventi di successo

        • Verifica degli eventi di guasto

        • Controllare gli eventi di successo e di guasto impostati utilizzando Audit logon events in Local Policies/Audit Policy GPO.

        Nota

        Se viene impostata una qualsiasi delle tre opzioni di audit (solo eventi di successo, solo eventi di errore di audit, eventi di successo e di fallimento di audit), ONTAP controlla sia gli eventi di successo che quelli di fallimento.

      • Controllare l'accesso agli oggetti

        Specifica il tipo di accesso a oggetti da sottoporre a controllo, incluse le seguenti impostazioni:

        • Non eseguire audit

        • Controllare solo gli eventi di successo

        • Verifica degli eventi di guasto

        • Controllare gli eventi di successo e di guasto impostati utilizzando Audit object access in Local Policies/Audit Policy GPO.

        Nota

        Se viene impostata una qualsiasi delle tre opzioni di audit (solo eventi di successo, solo eventi di errore di audit, eventi di successo e di fallimento di audit), ONTAP controlla sia gli eventi di successo che quelli di fallimento.

      • Metodo di conservazione dei log

        Specifica il metodo di conservazione del registro di controllo, incluse le seguenti impostazioni:

        • Sovrascrivere il registro eventi quando la dimensione del file di registro supera la dimensione massima

        • Non sovrascrivere il registro eventi (cancellare manualmente il registro) impostato utilizzando Retention method for security log in Event Log GPO.

      • Dimensione massima del log

        Specifica la dimensione massima del registro di controllo.

        Impostare utilizzando Maximum security log size in Event Log GPO.

      Nota

      Per utilizzare le impostazioni dell'oggetto Criteri di gruppo dei criteri di controllo e del registro eventi, è necessario configurare il controllo sulla SVM CIFS-Enabled a cui si desidera applicare queste impostazioni. Se il controllo non è configurato sulla SVM, le impostazioni dell'oggetto Criteri di gruppo non verranno applicate e verranno ignorate.

    • Sicurezza del file system

      Specifica un elenco di file o directory su cui viene applicata la protezione dei file tramite un GPO.

      Impostare utilizzando File System GPO.

      Nota

      Il percorso del volume in cui è configurato l'oggetto Criteri di gruppo di protezione del file system deve esistere all'interno della SVM.

    • Policy Kerberos

      • Massima inclinazione dell'orologio

        Specifica la tolleranza massima in minuti per la sincronizzazione dell'orologio del computer.

        Impostare utilizzando Maximum tolerance for computer clock synchronization in Account Policies/Kerberos Policy GPO.

      • Età massima del biglietto

        Specifica la durata massima in ore per il ticket utente.

        Impostare utilizzando Maximum lifetime for user ticket in Account Policies/Kerberos Policy GPO.

      • Età massima per il rinnovo del biglietto

        Specifica la durata massima in giorni per il rinnovo del ticket utente.

      Impostare utilizzando Maximum lifetime for user ticket renewal in Account Policies/Kerberos Policy GPO.

    • Assegnazione dei diritti dell'utente (diritti di privilegio)

      • Assuma la proprietà

        Specifica l'elenco di utenti e gruppi che hanno il diritto di assumere la proprietà di qualsiasi oggetto a protezione diretta.

        Impostare utilizzando Take ownership of files or other objects in Local Policies/User Rights Assignment GPO.

      • Privilegio di sicurezza

        Specifica l'elenco di utenti e gruppi che possono specificare le opzioni di controllo per l'accesso a oggetti di singole risorse, come file, cartelle e oggetti Active Directory.

        Impostare utilizzando Manage auditing and security log in Local Policies/User Rights Assignment GPO.

      • Modifica del privilegio di notifica (ignora il controllo incrociato)

        Specifica l'elenco di utenti e gruppi che possono attraversare gli alberi di directory anche se gli utenti e i gruppi potrebbero non disporre delle autorizzazioni per la directory attraversata.

      Lo stesso privilegio è richiesto per gli utenti per ricevere notifiche delle modifiche apportate a file e directory. Impostare utilizzando Bypass traverse checking in Local Policies/User Rights Assignment GPO.

    • Valori del Registro di sistema

      • Firma obbligatoria

        Specifica se la firma SMB richiesta è attivata o disattivata.

      Impostare utilizzando Microsoft network server: Digitally sign communications (always) in Security Options GPO.

    • Limitare l'anonimato

      Specifica quali sono le restrizioni per gli utenti anonimi e include le seguenti tre impostazioni dell'oggetto Criteri di gruppo:

      • Nessuna enumerazione degli account SAM (Security account Manager):

        Questa impostazione di protezione determina le autorizzazioni aggiuntive concesse per le connessioni anonime al computer. Questa opzione viene visualizzata come no-enumeration In ONTAP, se abilitato.

        Impostare utilizzando Network access: Do not allow anonymous enumeration of SAM accounts in Local Policies/Security Options GPO.

      • Nessuna enumerazione di account e condivisioni SAM

        Questa impostazione di protezione determina se è consentita l'enumerazione anonima di account e condivisioni SAM. Questa opzione viene visualizzata come no-enumeration In ONTAP, se abilitato.

        Impostare utilizzando Network access: Do not allow anonymous enumeration of SAM accounts and shares in Local Policies/Security Options GPO.

      • Limitare l'accesso anonimo alle condivisioni e alle named pipe

        Questa impostazione di sicurezza limita l'accesso anonimo alle condivisioni e alle pipe. Questa opzione viene visualizzata come no-access In ONTAP, se abilitato.

        Impostare utilizzando Network access: Restrict anonymous access to Named Pipes and Shares in Local Policies/Security Options GPO.

        Quando si visualizzano informazioni sui criteri di gruppo definiti e applicati, il Resultant restriction for anonymous user Il campo di output fornisce informazioni sulla restrizione risultante delle tre impostazioni di restrizione anonime dell'oggetto Criteri di gruppo. Le possibili restrizioni risultanti sono le seguenti:

    • no-access

      All'utente anonimo viene negato l'accesso alle condivisioni e alle named pipe specificate e non è possibile utilizzare l'enumerazione degli account e delle condivisioni SAM. Questa restrizione risultante si verifica se Network access: Restrict anonymous access to Named Pipes and Shares L'oggetto Criteri di gruppo è attivato.

    • no-enumeration

      L'utente anonimo ha accesso alle condivisioni e alle named pipe specificate, ma non può utilizzare l'enumerazione degli account e delle condivisioni SAM. Questa restrizione risultante si verifica se vengono soddisfatte entrambe le seguenti condizioni:

      • Il Network access: Restrict anonymous access to Named Pipes and Shares L'oggetto Criteri di gruppo è disattivato.

      • Sia il Network access: Do not allow anonymous enumeration of SAM accounts o il Network access: Do not allow anonymous enumeration of SAM accounts and shares Gli oggetti GPO sono abilitati.

    • no-restriction

      L'utente anonimo ha accesso completo e può utilizzare l'enumerazione. Questa restrizione risultante si verifica se vengono soddisfatte entrambe le seguenti condizioni:

      • Il Network access: Restrict anonymous access to Named Pipes and Shares L'oggetto Criteri di gruppo è disattivato.

      • Entrambi i modelli Network access: Do not allow anonymous enumeration of SAM accounts e. Network access: Do not allow anonymous enumeration of SAM accounts and shares Gli oggetti Criteri di gruppo sono disattivati.

        • Gruppi con restrizioni

          È possibile configurare gruppi con restrizioni per gestire centralmente l'appartenenza a gruppi integrati o definiti dall'utente. Quando si applica un gruppo con restrizioni tramite un criterio di gruppo, l'appartenenza di un gruppo locale del server CIFS viene impostata automaticamente in modo che corrisponda alle impostazioni dell'elenco di appartenenze definite nel criterio di gruppo applicato.

    Impostare utilizzando Restricted Groups GPO.

  • Impostazioni dei criteri di accesso centrale

    Specifica un elenco di criteri di accesso centrale. I criteri di accesso centrale e le relative regole dei criteri di accesso centrale determinano le autorizzazioni di accesso per più file sulla SVM.

Informazioni correlate

Attivazione o disattivazione del supporto GPO su un server CIFS

Protezione dell'accesso ai file mediante il controllo dinamico dell'accesso (DAC)

"Controllo SMB e NFS e tracciamento della sicurezza"

Modifica delle impostazioni di sicurezza Kerberos del server CIFS

Utilizzo di BranchCache per memorizzare nella cache SMB i contenuti vengono condivisi in una filiale

Utilizzo della firma SMB per migliorare la sicurezza della rete

Configurazione del controllo incrociato bypass

Configurazione delle restrizioni di accesso per utenti anonimi