サポートされているONTAP SMB GPOについて学ぶ
変更を提案
PDF
すべてのグループ ポリシー オブジェクト(GPO)をCIFS対応のStorage Virtual Machine(SVM)に適用できるわけではありませんが、SVMでは関連するGPOを認識して処理することができます。
SVMで現在サポートされているGPOは次のとおりです。
-
高度な監査ポリシー構成の設定:
オブジェクト アクセス:集中アクセス ポリシーのステージング
集約型アクセス ポリシー(CAP)のステージングで監査対象となるイベント タイプを次の中から指定します。
-
監査しない
-
成功イベントのみを監査する
-
失敗イベントのみを監査する
-
成功イベントと失敗イベントの両方を監査する
3つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、ONTAPは成功イベントと失敗イベントの両方を監査します。
`Advanced Audit Policy Configuration/Audit Policies/Object Access` GPO の `Audit Central Access Policy Staging`設定を使用して設定します。
高度な監査ポリシー構成GPO設定を使用するには、その設定を適用するCIFS対応のSVM上で監査を構成する必要があります。SVMで監査が構成されていない場合、GPO設定は適用されず、破棄されます。
-
-
レジストリ設定:
-
CIFS対応SVMのグループポリシー更新間隔
`Registry` GPO を使用して設定します。
-
グループ ポリシー更新のランダム オフセット
`Registry` GPO を使用して設定します。
-
BranchCacheのハッシュ公開
BranchCacheのハッシュの発行GPOは、BranchCacheの動作モードに対応します。次の3つの動作モードがサポートされています。
-
1株当たり
-
全株式
-
RegistryGPO を使用して無効に設定します。
-
-
BranchCacheのハッシュバージョンのサポート
次の3つのハッシュ バージョン設定がサポートされています。
-
BranchCache バージョン1
-
BranchCache バージョン2
-
BranchCacheバージョン1および2 `Registry`GPOを使用して設定します。
-
BranchCache GPO設定を使用するには、その設定を適用するCIFS対応のSVM上でBranchCacheを構成する必要があります。SVMでBranchCacheが構成されていない場合、GPO設定は適用されず、破棄されます。
-
-
セキュリティ設定
-
監査ポリシーとイベント ログ
-
ログオン イベントの監査
監査対象となるログオン イベントのタイプを次の中から指定します。
-
監査しない
-
成功イベントのみを監査する
-
障害イベントの監査
-
成功イベントと失敗イベントの両方を監査します。
Local Policies/Audit PolicyGPO の `Audit logon events`設定を使用して設定します。
3つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、ONTAPは成功イベントと失敗イベントの両方を監査します。
-
-
オブジェクト アクセスの監査
監査対象となるオブジェクト アクセスのタイプを次の中から指定します。
-
監査しない
-
成功イベントのみを監査する
-
障害イベントの監査
-
成功イベントと失敗イベントの両方を監査します。
Local Policies/Audit PolicyGPO の `Audit object access`設定を使用して設定します。
3つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、ONTAPは成功イベントと失敗イベントの両方を監査します。
-
-
ログ保持方法
監査ログの保持方法を次の中から指定します。
-
ログ ファイルのサイズが最大ログ サイズを超えた場合にイベント ログを上書きする
-
イベント ログを上書きしない(ログを手動でクリアする)
Event LogGPO 内の `Retention method for security log`設定を使用して設定します。
-
-
最大ログ サイズ
監査ログの最大サイズを指定します。
`Event Log` GPO の `Maximum security log size`設定を使用して設定します。
監査ポリシーとイベント ログGPO設定を使用するには、その設定を適用するCIFS対応のSVM上で監査を構成する必要があります。SVMで監査が構成されていない場合、GPO設定は適用されず、破棄されます。
-
-
ファイルシステムのセキュリティ
GPOでファイル セキュリティを適用するファイルまたはディレクトリのリストを指定します。
`File System` GPO を使用して設定します。
SVM内にファイルシステム セキュリティGPOを構成するボリューム パスが存在している必要があります。
-
Kerberosポリシー
-
最大クロック スキュー
コンピュータ クロックの同期の許容最大誤差を分単位で指定します。
`Account Policies/Kerberos Policy` GPO の `Maximum tolerance for computer clock synchronization`設定を使用して設定します。
-
チケットの最大有効期間
ユーザ チケットの最大有効期間を時間単位で指定します。
`Account Policies/Kerberos Policy` GPO の `Maximum lifetime for user ticket`設定を使用して設定します。
-
チケットの最大更新期間
ユーザ チケットの更新の最大有効期間を日単位で指定します。
`Account Policies/Kerberos Policy` GPO の `Maximum lifetime for user ticket renewal`設定を使用して設定します。
-
-
ユーザー権限の割り当て(特権)
-
所有権の取得
セキュリティ保護が可能なオブジェクトの所有権を取得できるユーザとグループのリストを指定します。
`Local Policies/User Rights Assignment` GPO の `Take ownership of files or other objects`設定を使用して設定します。
-
セキュリティ権限
ファイル、フォルダ、Active Directoryオブジェクトなどの個々のリソースへのオブジェクト アクセスの監査オプションを指定できるユーザとグループのリストを指定します。
`Local Policies/User Rights Assignment` GPO の `Manage auditing and security log`設定を使用して設定します。
-
通知権限の変更(トラバース チェックのバイパス)
トラバースするディレクトリに対する権限がなくても、ディレクトリ ツリーをトラバースできるユーザとグループのリストを指定します。
ファイルやディレクトリの変更に関する通知をユーザーが受け取る場合にも、同じ権限が必要です。
Local Policies/User Rights AssignmentGPOの `Bypass traverse checking`設定を使用して設定します。 -
-
レジストリ値
-
署名必須設定
SMB署名要求を有効にするか無効にするかを指定します。
`Security Options` GPO の `Microsoft network server: Digitally sign communications (always)`設定を使用して設定します。
-
-
匿名アクセスを制限する
匿名ユーザに対する制限を、次の3つのGPO設定で指定します。
-
セキュリティ アカウント マネージャー (SAM) アカウントの列挙がありません:
このセキュリティ設定は、コンピュータへの匿名接続に対して付与される追加の権限を決定します。このオプションは、有効になっている場合、ONTAPでは `no-enumeration`と表示されます。
`Local Policies/Security Options` GPO の `Network access: Do not allow anonymous enumeration of SAM accounts`設定を使用して設定します。
-
SAM アカウントと共有の列挙なし
このセキュリティ設定は、SAMアカウントと共有の匿名列挙を許可するかどうかを決定します。このオプションは、有効になっている場合、ONTAPでは `no-enumeration`として表示されます。
`Local Policies/Security Options` GPO の `Network access: Do not allow anonymous enumeration of SAM accounts and shares`設定を使用して設定します。
-
共有と名前付きパイプへの匿名アクセスを制限する
このセキュリティ設定は、共有およびパイプへの匿名アクセスを制限します。このオプションは、有効になっている場合、ONTAPでは `no-access`と表示されます。
`Local Policies/Security Options` GPO の `Network access: Restrict anonymous access to Named Pipes and Shares`設定を使用して設定します。
定義済みおよび適用済みのグループ ポリシーに関する情報を表示する際、 `Resultant restriction for anonymous user`出力フィールドには、匿名を制限する3つのGPO設定の結果的な制限に関する情報が表示されます。結果として生じる可能性のある制限は次のとおりです:
-
-
no-access匿名ユーザーは指定された共有および名前付きパイプへのアクセスを拒否され、SAMアカウントと共有の列挙も使用できません。この制限は、 `Network access: Restrict anonymous access to Named Pipes and Shares`GPOが有効になっている場合に表示されます。
-
no-enumeration匿名ユーザは、指定された共有と名前付きパイプにアクセスできますが、SAMアカウントと共有は列挙できません。この制限は、次の両方の条件に該当する場合に表示されます。
-
`Network access: Restrict anonymous access to Named Pipes and Shares`GPO は無効になっています。
-
`Network access: Do not allow anonymous enumeration of SAM accounts`または `Network access: Do not allow anonymous enumeration of SAM accounts and shares`GPO のいずれかが有効になっています。
-
-
no-restriction匿名ユーザにはフル アクセスが付与され、列挙できます。この制限は、次の両方の条件に該当する場合に表示されます。
-
`Network access: Restrict anonymous access to Named Pipes and Shares`GPO は無効になっています。
-
`Network access: Do not allow anonymous enumeration of SAM accounts`と `Network access: Do not allow anonymous enumeration of SAM accounts and shares`の両方のGPOが無効になっています。
-
制限付きグループ
制限されたグループを設定して、組込みグループやユーザ定義グループのメンバーを集中管理することができます。グループ ポリシーを通して制限されたグループを適用する場合、CIFSサーバ ローカル グループのメンバーは、適用されるグループ ポリシーで定義されているメンバー リスト設定に一致するように自動的に設定されます。
`Restricted Groups` GPO を使用して設定します。
-
-
-
-
集約型アクセス ポリシーの設定
集約型アクセス ポリシーのリストを示します。集約型アクセス ポリシーと関連付けられた集約型アクセス ポリシー ルールによって、SVM上の複数のファイルに対するアクセス権が決定されます。