サポートされる GPO
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
すべてのグループポリシーオブジェクト( GPO )を CIFS 対応の Storage Virtual Machine ( SVM )に適用できるわけではありませんが、 SVM では関連する GPO を認識して処理することができます。
SVM で現在サポートされている GPO は次のとおりです。
-
高度な監査ポリシー設定:
オブジェクトへのアクセス:集約型アクセスポリシーのステージング
次の設定を含む集約型アクセスポリシー( CAP )のステージングで監査対象となるイベントのタイプを指定します。
-
監査しないでください
-
成功イベントのみ監査
-
失敗イベントのみ監査
-
成功イベントと失敗イベントの両方を監査します
3 つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、 ONTAP は成功イベントと失敗イベントの両方を監査します。
を使用して設定します
Audit Central Access Policy Staging
を設定しますAdvanced Audit Policy Configuration/Audit Policies/Object Access
GPO:
高度な監査ポリシー構成 GPO 設定を使用するには、その設定を適用する CIFS 対応の SVM 上で監査を構成する必要があります。SVM で監査が構成されていない場合、 GPO 設定は適用されず、破棄されます。
-
-
レジストリ設定:
-
CIFS 対応の SVM のグループポリシーの更新間隔
を使用して設定します
Registry
GPO: -
グループポリシーの更新間隔のランダムオフセット
を使用して設定します
Registry
GPO: -
BranchCache のハッシュの発行
BranchCache のハッシュの発行 GPO は、 BranchCache の動作モードに対応します。次の 3 つの動作モードがサポートされています。
-
共有ごと
-
all-shares
-
無効 を使用して設定します
Registry
GPO:
-
-
BranchCache のハッシュバージョンサポート
次の 3 つのハッシュバージョン設定がサポートされています。
-
BranchCache バージョン 1.7
-
BranchCache バージョン 1.7
-
BranchCacheバージョン1および2 を使用して設定します
Registry
GPO:
-
BranchCache GPO 設定を使用するには、その設定を適用する CIFS 対応の SVM 上で BranchCache を構成する必要があります。SVM で BranchCache が構成されていない場合、 GPO 設定は適用されず、破棄されます。
-
-
セキュリティ設定
-
監査ポリシーとイベントログ
-
ログオンイベントを監査します
次の設定を含む監査対象となるログオンイベントの種類を指定します。
-
監査しないでください
-
成功イベントのみ監査
-
障害イベントの監査
-
成功イベントと失敗イベントの両方を監査します を使用して設定します
Audit logon events
を設定しますLocal Policies/Audit Policy
GPO:
3 つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、 ONTAP は成功イベントと失敗イベントの両方を監査します。
-
-
オブジェクトへのアクセスを監査する
次の設定を含む監査対象となるオブジェクトアクセスの種類を指定します。
-
監査しないでください
-
成功イベントのみ監査
-
障害イベントの監査
-
成功イベントと失敗イベントの両方を監査します を使用して設定します
Audit object access
を設定しますLocal Policies/Audit Policy
GPO:
3 つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、 ONTAP は成功イベントと失敗イベントの両方を監査します。
-
-
ログの保持方法
次の設定を含む監査ログの保持方法を指定します。
-
ログファイルのサイズが最大ログサイズを超えたら、イベントログを上書きします
-
イベントログを上書きしない(手動でログを消去) を使用して設定します
Retention method for security log
を設定しますEvent Log
GPO:
-
-
最大ログサイズ
監査ログの最大サイズを指定します。
を使用して設定します
Maximum security log size
を設定しますEvent Log
GPO:
監査ポリシーとイベントログ GPO 設定を使用するには、その設定を適用する CIFS 対応の SVM 上で監査を構成する必要があります。SVM で監査が構成されていない場合、 GPO 設定は適用されず、破棄されます。
-
-
ファイルシステムのセキュリティ
GPO を通してファイルセキュリティを適用するファイルまたはディレクトリのリストを指定します。
を使用して設定します
File System
GPO:SVM 内にファイルシステムセキュリティ GPO を構成するボリュームパスが存在している必要があります。
-
Kerberos ポリシー
-
最大クロックスキュー
コンピュータクロック同期の最大許容誤差を分単位で指定します。
を使用して設定します
Maximum tolerance for computer clock synchronization
を設定しますAccount Policies/Kerberos Policy
GPO: -
チケットの有効期間
ユーザチケットの最大有効期間を時間単位で指定します。
を使用して設定します
Maximum lifetime for user ticket
を設定しますAccount Policies/Kerberos Policy
GPO: -
チケットの更新の有効期間
ユーザチケットの更新の最大有効期間を日単位で指定します。
を使用して設定します
Maximum lifetime for user ticket renewal
を設定しますAccount Policies/Kerberos Policy
GPO: -
-
ユーザ権限の割り当て(権限)
-
所有権を取得します
セキュリティ保護が可能なオブジェクトの所有権を持つユーザとグループのリストを指定します。
を使用して設定します
Take ownership of files or other objects
を設定しますLocal Policies/User Rights Assignment
GPO: -
セキュリティ権限
ファイル、フォルダ、 Active Directory オブジェクトなどの個々のリソースへのオブジェクトアクセスの監査オプションを指定できるユーザとグループのリストを指定します。
を使用して設定します
Manage auditing and security log
を設定しますLocal Policies/User Rights Assignment
GPO: -
通知権限の変更(トラバースチェックのバイパス)
ユーザとグループがトラバースするディレクトリに対する権限を持っていなくても、ディレクトリツリーをトラバースできるユーザとグループのリストを指定します。
ファイルやディレクトリの変更通知を受け取るユーザにも同じ権限が必要です。を使用して設定します
Bypass traverse checking
を設定しますLocal Policies/User Rights Assignment
GPO: -
-
レジストリ値
-
署名要求設定
SMB 署名要求が有効になっているか無効になっているかを示します。
を使用して設定します
Microsoft network server: Digitally sign communications (always)
を設定しますSecurity Options
GPO: -
-
restrict anonymous (匿名の制限
匿名ユーザの制限内容に次の 3 つの GPO 設定を指定します。
-
Security Account Manager ( SAM )アカウントを列挙しない:
このセキュリティ設定は、コンピュータへの匿名接続に付与される追加の権限を決定します。このオプションはと表示されます
no-enumeration
ONTAP (有効になっている場合)。を使用して設定します
Network access: Do not allow anonymous enumeration of SAM accounts
を設定しますLocal Policies/Security Options
GPO: -
SAM アカウントと共有は列挙しません
このセキュリティ設定で、匿名による SAM アカウントと共有の列挙を許可するかどうかを決定します。このオプションはと表示されます
no-enumeration
ONTAP (有効になっている場合)。を使用して設定します
Network access: Do not allow anonymous enumeration of SAM accounts and shares
を設定しますLocal Policies/Security Options
GPO: -
共有と名前付きパイプへの匿名アクセスを制限します
共有とパイプへの匿名アクセスを制限します。このオプションはと表示されます
no-access
ONTAP (有効になっている場合)。を使用して設定します
Network access: Restrict anonymous access to Named Pipes and Shares
を設定しますLocal Policies/Security Options
GPO:定義済みおよび適用済みのグループポリシーに関する情報を表示する場合は、
Resultant restriction for anonymous user
Outputフィールドには、3つのrestrict anonymous GPO設定による制限に関する情報が表示されます。表示される可能性がある制限結果は、次のとおりです。
-
-
no-access
匿名ユーザは、指定された共有と名前付きパイプへのアクセスを拒否され、 SAM アカウントと共有を列挙できません。この制限結果は、の場合に表示されます
Network access: Restrict anonymous access to Named Pipes and Shares
GPOが有効になっている。 -
no-enumeration
匿名ユーザは、指定された共有と名前付きパイプにアクセスできますが、 SAM アカウントと共有は列挙できません。この制限は、次の両方の条件に該当する場合に適用されます。
-
。
Network access: Restrict anonymous access to Named Pipes and Shares
GPOが無効になっています。 -
またはをクリックします
Network access: Do not allow anonymous enumeration of SAM accounts
またはNetwork access: Do not allow anonymous enumeration of SAM accounts and shares
GPOが有効になっている。
-
-
no-restriction
匿名ユーザにはフルアクセスが付与され、列挙できます。この制限は、次の両方の条件に該当する場合に適用されます。
-
。
Network access: Restrict anonymous access to Named Pipes and Shares
GPOが無効になっています。 -
両方とも
Network access: Do not allow anonymous enumeration of SAM accounts
およびNetwork access: Do not allow anonymous enumeration of SAM accounts and shares
GPOが無効になっている。-
制限されたグループ
制限されたグループを設定して、組み込みまたはユーザ定義のグループのメンバーシップを一元管理することができます。グループポリシーを通して制限されたグループを適用する場合、 CIFS サーバローカルグループのメンバーシップは、適用されるグループポリシーで定義されているメンバーリスト設定に一致するように自動的に設定されます。
-
-
を使用して設定します
Restricted Groups
GPO: -
-
集約型アクセスポリシーの設定
集約型アクセスポリシーのリストを指定します。集約型アクセスポリシーと関連付けられた集約型アクセスポリシールールによって、 SVM 上の複数のファイルに対するアクセス権限が決定されます。