リリースノート
サポートされる GPO
変更を提案
-
このドキュメント ページのPDF
-
ボリューム管理
-
CLI を使用した論理ストレージ管理
-
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
-
SMB を使用したファイルアクセスの管理
-
-
-
PDF版ドキュメントのセット
Creating your file...
すべてのグループポリシーオブジェクト( GPO )を CIFS 対応の Storage Virtual Machine ( SVM )に適用できるわけではありませんが、 SVM では関連する GPO を認識して処理することができます。
SVM で現在サポートされている GPO は次のとおりです。
-
高度な監査ポリシー設定:
オブジェクトへのアクセス:集約型アクセスポリシーのステージング
次の設定を含む集約型アクセスポリシー( CAP )のステージングで監査対象となるイベントのタイプを指定します。
-
監査しないでください
-
成功イベントのみ監査
-
失敗イベントのみ監査
-
成功イベントと失敗イベントの両方を監査します
3 つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、 ONTAP は成功イベントと失敗イベントの両方を監査します。
を使用して設定します
Audit Central Access Policy Stagingを設定しますAdvanced Audit Policy Configuration/Audit Policies/Object AccessGPO:
高度な監査ポリシー構成 GPO 設定を使用するには、その設定を適用する CIFS 対応の SVM 上で監査を構成する必要があります。SVM で監査が構成されていない場合、 GPO 設定は適用されず、破棄されます。
-
-
レジストリ設定:
-
CIFS 対応の SVM のグループポリシーの更新間隔
を使用して設定します
RegistryGPO: -
グループポリシーの更新間隔のランダムオフセット
を使用して設定します
RegistryGPO: -
BranchCache のハッシュの発行
BranchCache のハッシュの発行 GPO は、 BranchCache の動作モードに対応します。次の 3 つの動作モードがサポートされています。
-
共有ごと
-
all-shares
-
無効 を使用して設定します
RegistryGPO:
-
-
BranchCache のハッシュバージョンサポート
次の 3 つのハッシュバージョン設定がサポートされています。
-
BranchCache バージョン 1.7
-
BranchCache バージョン 1.7
-
BranchCacheバージョン1および2 を使用して設定します
RegistryGPO:
-
BranchCache GPO 設定を使用するには、その設定を適用する CIFS 対応の SVM 上で BranchCache を構成する必要があります。SVM で BranchCache が構成されていない場合、 GPO 設定は適用されず、破棄されます。
-
-
セキュリティ設定
-
監査ポリシーとイベントログ
-
ログオンイベントを監査します
次の設定を含む監査対象となるログオンイベントの種類を指定します。
-
監査しないでください
-
成功イベントのみ監査
-
障害イベントの監査
-
成功イベントと失敗イベントの両方を監査します を使用して設定します
Audit logon eventsを設定しますLocal Policies/Audit PolicyGPO:
3 つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、 ONTAP は成功イベントと失敗イベントの両方を監査します。
-
-
オブジェクトへのアクセスを監査する
次の設定を含む監査対象となるオブジェクトアクセスの種類を指定します。
-
監査しないでください
-
成功イベントのみ監査
-
障害イベントの監査
-
成功イベントと失敗イベントの両方を監査します を使用して設定します
Audit object accessを設定しますLocal Policies/Audit PolicyGPO:
3 つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、 ONTAP は成功イベントと失敗イベントの両方を監査します。
-
-
ログの保持方法
次の設定を含む監査ログの保持方法を指定します。
-
ログファイルのサイズが最大ログサイズを超えたら、イベントログを上書きします
-
イベントログを上書きしない(手動でログを消去) を使用して設定します
Retention method for security logを設定しますEvent LogGPO:
-
-
最大ログサイズ
監査ログの最大サイズを指定します。
を使用して設定します
Maximum security log sizeを設定しますEvent LogGPO:
監査ポリシーとイベントログ GPO 設定を使用するには、その設定を適用する CIFS 対応の SVM 上で監査を構成する必要があります。SVM で監査が構成されていない場合、 GPO 設定は適用されず、破棄されます。
-
-
ファイルシステムのセキュリティ
GPO を通してファイルセキュリティを適用するファイルまたはディレクトリのリストを指定します。
を使用して設定します
File SystemGPO:
SVM 内にファイルシステムセキュリティ GPO を構成するボリュームパスが存在している必要があります。
-
Kerberos ポリシー
-
最大クロックスキュー
コンピュータクロック同期の最大許容誤差を分単位で指定します。
を使用して設定します
Maximum tolerance for computer clock synchronizationを設定しますAccount Policies/Kerberos PolicyGPO: -
チケットの有効期間
ユーザチケットの最大有効期間を時間単位で指定します。
を使用して設定します
Maximum lifetime for user ticketを設定しますAccount Policies/Kerberos PolicyGPO: -
チケットの更新の有効期間
ユーザチケットの更新の最大有効期間を日単位で指定します。
を使用して設定します
Maximum lifetime for user ticket renewalを設定しますAccount Policies/Kerberos PolicyGPO: -
-
ユーザ権限の割り当て(権限)
-
所有権を取得します
セキュリティ保護が可能なオブジェクトの所有権を持つユーザとグループのリストを指定します。
を使用して設定します
Take ownership of files or other objectsを設定しますLocal Policies/User Rights AssignmentGPO: -
セキュリティ権限
ファイル、フォルダ、 Active Directory オブジェクトなどの個々のリソースへのオブジェクトアクセスの監査オプションを指定できるユーザとグループのリストを指定します。
を使用して設定します
Manage auditing and security logを設定しますLocal Policies/User Rights AssignmentGPO: -
通知権限の変更(トラバースチェックのバイパス)
ユーザとグループがトラバースするディレクトリに対する権限を持っていなくても、ディレクトリツリーをトラバースできるユーザとグループのリストを指定します。
ファイルやディレクトリの変更通知を受け取るユーザにも同じ権限が必要です。を使用して設定します
Bypass traverse checkingを設定しますLocal Policies/User Rights AssignmentGPO: -
-
レジストリ値
-
署名要求設定
SMB 署名要求が有効になっているか無効になっているかを示します。
を使用して設定します
Microsoft network server: Digitally sign communications (always)を設定しますSecurity OptionsGPO: -
-
restrict anonymous (匿名の制限
匿名ユーザの制限内容に次の 3 つの GPO 設定を指定します。
-
Security Account Manager ( SAM )アカウントを列挙しない:
このセキュリティ設定は、コンピュータへの匿名接続に付与される追加の権限を決定します。このオプションはと表示されます
no-enumerationONTAP (有効になっている場合)。を使用して設定します
Network access: Do not allow anonymous enumeration of SAM accountsを設定しますLocal Policies/Security OptionsGPO: -
SAM アカウントと共有は列挙しません
このセキュリティ設定で、匿名による SAM アカウントと共有の列挙を許可するかどうかを決定します。このオプションはと表示されます
no-enumerationONTAP (有効になっている場合)。を使用して設定します
Network access: Do not allow anonymous enumeration of SAM accounts and sharesを設定しますLocal Policies/Security OptionsGPO: -
共有と名前付きパイプへの匿名アクセスを制限します
共有とパイプへの匿名アクセスを制限します。このオプションはと表示されます
no-accessONTAP (有効になっている場合)。を使用して設定します
Network access: Restrict anonymous access to Named Pipes and Sharesを設定しますLocal Policies/Security OptionsGPO:定義済みおよび適用済みのグループポリシーに関する情報を表示する場合は、
Resultant restriction for anonymous userOutputフィールドには、3つのrestrict anonymous GPO設定による制限に関する情報が表示されます。表示される可能性がある制限結果は、次のとおりです。
-
-
no-access匿名ユーザは、指定された共有と名前付きパイプへのアクセスを拒否され、 SAM アカウントと共有を列挙できません。この制限結果は、の場合に表示されます
Network access: Restrict anonymous access to Named Pipes and SharesGPOが有効になっている。 -
no-enumeration匿名ユーザは、指定された共有と名前付きパイプにアクセスできますが、 SAM アカウントと共有は列挙できません。この制限は、次の両方の条件に該当する場合に適用されます。
-
。
Network access: Restrict anonymous access to Named Pipes and SharesGPOが無効になっています。 -
またはをクリックします
Network access: Do not allow anonymous enumeration of SAM accountsまたはNetwork access: Do not allow anonymous enumeration of SAM accounts and sharesGPOが有効になっている。
-
-
no-restriction匿名ユーザにはフルアクセスが付与され、列挙できます。この制限は、次の両方の条件に該当する場合に適用されます。
-
。
Network access: Restrict anonymous access to Named Pipes and SharesGPOが無効になっています。 -
両方とも
Network access: Do not allow anonymous enumeration of SAM accountsおよびNetwork access: Do not allow anonymous enumeration of SAM accounts and sharesGPOが無効になっている。-
制限されたグループ
制限されたグループを設定して、組み込みまたはユーザ定義のグループのメンバーシップを一元管理することができます。グループポリシーを通して制限されたグループを適用する場合、 CIFS サーバローカルグループのメンバーシップは、適用されるグループポリシーで定義されているメンバーリスト設定に一致するように自動的に設定されます。
-
-
を使用して設定します
Restricted GroupsGPO: -
-
集約型アクセスポリシーの設定
集約型アクセスポリシーのリストを指定します。集約型アクセスポリシーと関連付けられた集約型アクセスポリシールールによって、 SVM 上の複数のファイルに対するアクセス権限が決定されます。