サポートされるONTAP SMB GPOの詳細
変更を提案
PDF
すべてのグループポリシーオブジェクト(GPO)をCIFS対応のStorage Virtual Machine(SVM)に適用できるわけではありませんが、SVMでは関連するGPOを認識して処理することができます。
SVMで現在サポートされているGPOは次のとおりです。
-
監査ポリシーの詳細設定:
オブジェクトへのアクセス:集約型アクセスポリシーのステージング
次の設定を含む、集約型アクセスポリシー(CAP)のステージングで監査対象となるイベントのタイプを指定します。
-
監査しないでください
-
成功イベントのみ監査
-
失敗イベントのみ監査
-
成功イベントと失敗イベントの両方を監査します
3つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、ONTAPは成功イベントと失敗イベントの両方を監査します。
GPOの設定
Advanced Audit Policy Configuration/Audit Policies/Object Access`を使用して設定します `Audit Central Access Policy Staging。
高度な監査ポリシー構成GPO設定を使用するには、その設定を適用するCIFS対応のSVM上で監査を構成する必要があります。SVMで監査が構成されていない場合、GPO設定は適用されず、破棄されます。
-
-
レジストリ設定:
-
CIFS 対応の SVM のグループポリシーの更新間隔
GPOを使用して設定し `Registry`ます。
-
グループポリシーの更新間隔のランダムオフセット
GPOを使用して設定し `Registry`ます。
-
BranchCache のハッシュの発行
BranchCacheのハッシュの発行GPOは、BranchCacheの動作モードに対応しています。次の3つの動作モードがサポートされています。
-
共有ごと
-
all-shares
-
Disabled GPOを使用して設定します
Registry。
-
-
BranchCache のハッシュバージョンサポート
次の3つのハッシュバージョン設定がサポートされています。
-
BranchCache バージョン 1.7
-
BranchCache バージョン 1.7
-
BranchCacheバージョン1および2 GPOを使用して設定されます
Registry。
-
BranchCache GPO設定を使用するには、その設定を適用するCIFS対応のSVMでBranchCacheを構成する必要があります。SVMでBranchCacheが構成されていない場合、GPO設定は適用されず、破棄されます。
-
-
セキュリティ設定
-
監査ポリシーとイベントログ
-
ログオンイベントを監査します
次の設定を含む監査対象のログオンイベントのタイプを指定します。
-
監査しないでください
-
成功イベントのみ監査
-
障害イベントの監査
-
GPOの設定を
Local Policies/Audit Policy`使用して、設定された成功イベントと失敗イベントの両方を監査します `Audit logon events。
3つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、ONTAPは成功イベントと失敗イベントの両方を監査します。
-
-
オブジェクトへのアクセスを監査する
次の設定を含む、監査対象のオブジェクトアクセスのタイプを指定します。
-
監査しないでください
-
成功イベントのみ監査
-
障害イベントの監査
-
GPOの設定を
Local Policies/Audit Policy`使用して、設定された成功イベントと失敗イベントの両方を監査します `Audit object access。
3つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、ONTAPは成功イベントと失敗イベントの両方を監査します。
-
-
ログの保持方法
次の設定を含む監査ログの保持方法を指定します。
-
ログファイルのサイズが最大ログサイズを超えたら、イベントログを上書きします
-
GPOの設定を
Event Log`使用して設定されたイベントログを上書きしないでください(ログを手動でクリア) `Retention method for security log。
-
-
最大ログサイズ
監査ログの最大サイズを指定します。
GPOの設定
Event Log`を使用して設定します `Maximum security log size。
監査ポリシーとイベントログGPO設定を使用するには、その設定を適用するCIFS対応のSVM上で監査を構成する必要があります。SVMで監査が構成されていない場合、GPO設定は適用されず、破棄されます。
-
-
ファイルシステムのセキュリティ
GPOを介してファイルセキュリティが適用されるファイルまたはディレクトリのリストを指定します。
GPOを使用して設定し `File System`ます。
SVM内にファイルシステムセキュリティGPOを設定するボリュームパスが存在している必要があります。
-
Kerberos ポリシー
-
最大クロックスキュー
コンピュータクロック同期の最大許容値を分単位で指定します。
GPOの設定
Account Policies/Kerberos Policy`を使用して設定します `Maximum tolerance for computer clock synchronization。 -
チケットの有効期間
ユーザチケットの最大有効期間を時間単位で指定します。
GPOの設定
Account Policies/Kerberos Policy`を使用して設定します `Maximum lifetime for user ticket。 -
チケットの更新の有効期間
ユーザチケット更新の最大有効期間を日数で指定します。
GPOの設定
Account Policies/Kerberos Policy`を使用して設定します `Maximum lifetime for user ticket renewal。 -
-
ユーザ権限の割り当て(権限)
-
所有権の取得
セキュリティ保護可能なオブジェクトの所有権を取得する権限を持つユーザおよびグループのリストを指定します。
GPOの設定
Local Policies/User Rights Assignment`を使用して設定します `Take ownership of files or other objects。 -
セキュリティ権限
ファイル、フォルダ、Active Directoryオブジェクトなど、個 々 のリソースのオブジェクトアクセスの監査オプションを指定できるユーザとグループのリストを指定します。
GPOの設定
Local Policies/User Rights Assignment`を使用して設定します `Manage auditing and security log。 -
通知権限の変更(トラバースチェックのバイパス)
ユーザとグループにトラバースするディレクトリに対する権限がない場合でも、ディレクトリツリーをトラバースできるユーザとグループのリストを指定します。
ユーザがファイルおよびディレクトリの変更通知を受信するには、同じ権限が必要です。GPOの設定
Local Policies/User Rights Assignment`を使用して設定します `Bypass traverse checking。 -
-
レジストリ値
-
署名要求設定
SMB署名要求が有効になっているか無効になっているかを示します。
GPOの設定
Security Options`を使用して設定します `Microsoft network server: Digitally sign communications (always)。 -
-
restrict anonymous (匿名の制限
匿名ユーザに対する制限を指定します。次の3つのGPO設定が含まれます。
-
Security Account Manager ( SAM )アカウントを列挙しない:
このセキュリティ設定は、コンピュータへの匿名接続に対して許可される追加の権限を決定します。このオプションが有効になっている場合は、ONTAPでと表示され `no-enumeration`ます。
GPOの設定
Local Policies/Security Options`を使用して設定します `Network access: Do not allow anonymous enumeration of SAM accounts。 -
SAM アカウントと共有は列挙しません
このセキュリティ設定では、SAMアカウントと共有の匿名列挙を許可するかどうかを指定します。このオプションが有効になっている場合は、ONTAPでと表示され `no-enumeration`ます。
GPOの設定
Local Policies/Security Options`を使用して設定します `Network access: Do not allow anonymous enumeration of SAM accounts and shares。 -
共有と名前付きパイプへの匿名アクセスを制限します
共有とパイプへの匿名アクセスを制限します。このオプションが有効になっている場合は、ONTAPでと表示され `no-access`ます。
GPOの設定
Local Policies/Security Options`を使用して設定します `Network access: Restrict anonymous access to Named Pipes and Shares。定義済みおよび適用済みのグループポリシーに関する情報を表示する場合、出力フィールドには、3つのrestrict anonymous GPO設定による制限に関する情報が表示 `Resultant restriction for anonymous user`されます。考えられる制限は次のとおりです。
-
-
no-access匿名ユーザは、指定された共有と名前付きパイプへのアクセスを拒否され、SAMアカウントと共有を列挙できません。この制限は、GPOが有効になっている場合に発生し `Network access: Restrict anonymous access to Named Pipes and Shares`ます。
-
no-enumeration匿名ユーザは、指定された共有と名前付きパイプにアクセスできますが、SAMアカウントと共有を列挙することはできません。この制限は、次の両方の条件が満たされている場合に発生します。
-
`Network access: Restrict anonymous access to Named Pipes and Shares`GPOが無効になっています。
-
`Network access: Do not allow anonymous enumeration of SAM accounts`または `Network access: Do not allow anonymous enumeration of SAM accounts and shares`GPOが有効になっている。
-
-
no-restriction匿名ユーザにはフルアクセスが付与され、列挙を使用できます。この制限は、次の両方の条件が満たされている場合に発生します。
-
`Network access: Restrict anonymous access to Named Pipes and Shares`GPOが無効になっています。
-
GPOと `Network access: Do not allow anonymous enumeration of SAM accounts and shares`GPOの両方 `Network access: Do not allow anonymous enumeration of SAM accounts`が無効になっている。
-
制限されたグループ
制限されたグループを設定して、組み込みグループまたはユーザ定義グループのメンバーシップを一元管理できます。グループポリシーを使用して制限されたグループを適用すると、CIFSサーバローカルグループのメンバーシップは、適用されたグループポリシーで定義されているメンバーシップリストの設定に一致するように自動的に設定されます。
-
-
GPOを使用して設定し `Restricted Groups`ます。
-
-
集約型アクセスポリシーの設定
集約型アクセスポリシーのリストを指定します。集約型アクセスポリシーと関連付けられた集約型アクセスポリシールールによって、SVM上の複数のファイルに対するアクセス権限が決定されます。