CIFS 서버의 데이터를 보호하기 위해 중앙 액세스 정책을 구성합니다
변경 제안
PDF
CIFS 서버에서 DAC(Dynamic Access Control) 활성화, Active Directory에서 중앙 액세스 정책 구성, GPO를 사용하여 Active Directory 컨테이너에 중앙 액세스 정책 적용 등 중앙 액세스 정책을 사용하여 CIFS 서버의 데이터에 안전하게 액세스하기 위해 수행해야 하는 몇 가지 단계가 있습니다. 그리고 CIFS 서버에서 GPO를 사용하도록 설정합니다.
-
중앙 액세스 정책을 사용하도록 Active Directory를 구성해야 합니다.
-
중앙 액세스 정책을 만들고 CIFS 서버가 포함된 컨테이너에 GPO를 만들고 적용하려면 Active Directory 도메인 컨트롤러에 대한 충분한 액세스 권한이 있어야 합니다.
-
필요한 명령을 실행하려면 SVM(스토리지 가상 머신)에 대한 충분한 관리 액세스 권한이 있어야 합니다.
중앙 액세스 정책은 Active Directory의 GPO(그룹 정책 개체)에 정의되고 적용됩니다. 중앙 액세스 정책 및 GPO 구성에 대한 지침은 Microsoft TechNet 라이브러리를 참조하십시오.
-
"vserver cifs options modify" 명령을 사용하여 아직 활성화되지 않은 SVM에서 동적 액세스 제어를 활성화하십시오.
'vserver cifs options modify -vserver vs1-is-dac-enabled true'
-
"vserver cifs group-policy modify" 명령을 사용하여 CIFS 서버가 아직 설정되지 않은 경우 CIFS 서버에서 GPO(그룹 정책 개체)를 사용하도록 설정합니다.
'vserver cifs group-policy modify - vserver vs1-status enabled'
-
Active Directory에 중앙 액세스 규칙 및 중앙 액세스 정책을 생성합니다.
-
GPO(그룹 정책 개체)를 만들어 Active Directory에 중앙 액세스 정책을 배포합니다.
-
CIFS 서버 컴퓨터 계정이 있는 컨테이너에 GPO를 적용합니다.
-
'vserver cifs group-policy update' 명령을 사용하여 CIFS 서버에 적용된 GPO를 수동으로 업데이트합니다.
'vserver cifs group-policy update-vserver vs1'을 선택합니다
-
"vserver cifs group-policy show-applied" 명령을 사용하여 GPO 중앙 액세스 정책이 CIFS 서버의 리소스에 적용되는지 확인합니다.
다음 예에서는 기본 도메인 정책에 CIFS 서버에 적용되는 두 가지 중앙 액세스 정책이 있음을 보여 줍니다.
'vserver cifs group-policy show-applied'
Vserver: vs1 ----------------------------- GPO Name: Default Domain Policy Level: Domain Status: enabled Advanced Audit Settings: Object Access: Central Access Policy Staging: failure Registry Settings: Refresh Time Interval: 22 Refresh Random Offset: 8 Hash Publication Mode for BranchCache: per-share Hash Version Support for BranchCache: all-versions Security Settings: Event Audit and Event Log: Audit Logon Events: none Audit Object Access: success Log Retention Method: overwrite-as-needed Max Log Size: 16384 File Security: /vol1/home /vol1/dir1 Kerberos: Max Clock Skew: 5 Max Ticket Age: 10 Max Renew Age: 7 Privilege Rights: Take Ownership: usr1, usr2 Security Privilege: usr1, usr2 Change Notify: usr1, usr2 Registry Values: Signing Required: false Restrict Anonymous: No enumeration of SAM accounts: true No enumeration of SAM accounts and shares: false Restrict anonymous access to shares and named pipes: true Combined restriction for anonymous user: no-access Restricted Groups: gpr1 gpr2 Central Access Policy Settings: Policies: cap1 cap2 GPO Name: Resultant Set of Policy Level: RSOP Advanced Audit Settings: Object Access: Central Access Policy Staging: failure Registry Settings: Refresh Time Interval: 22 Refresh Random Offset: 8 Hash Publication Mode for BranchCache: per-share Hash Version Support for BranchCache: all-versions Security Settings: Event Audit and Event Log: Audit Logon Events: none Audit Object Access: success Log Retention Method: overwrite-as-needed Max Log Size: 16384 File Security: /vol1/home /vol1/dir1 Kerberos: Max Clock Skew: 5 Max Ticket Age: 10 Max Renew Age: 7 Privilege Rights: Take Ownership: usr1, usr2 Security Privilege: usr1, usr2 Change Notify: usr1, usr2 Registry Values: Signing Required: false Restrict Anonymous: No enumeration of SAM accounts: true No enumeration of SAM accounts and shares: false Restrict anonymous access to shares and named pipes: true Combined restriction for anonymous user: no-access Restricted Groups: gpr1 gpr2 Central Access Policy Settings: Policies: cap1 cap2 2 entries were displayed.