본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

지원되는 GPO

12/06/2022 기여자

PDF

모든 GPO(그룹 정책 개체)가 CIFS 지원 SVM(스토리지 가상 머신)에 적용되는 것은 아니지만 SVM은 관련 GPO 세트를 인식하고 처리할 수 있습니다.

현재 SVM에서 지원되는 GPO는 다음과 같습니다.

고급 감사 정책 구성 설정:

객체 액세스: 중앙 액세스 정책 스테이징

다음 설정을 포함하여 중앙 액세스 정책(CAP) 스테이징에 대해 감사할 이벤트 유형을 지정합니다.

감사 금지
성공 이벤트만 감사합니다
오류 이벤트만 감사합니다

성공 및 실패 이벤트를 모두 감사합니다

세 가지 감사 옵션 중 하나를 설정하면(성공 이벤트만 감사, 실패 이벤트만 감사, 성공 및 실패 이벤트 모두 감사) ONTAP는 성공 및 실패 이벤트를 모두 감사합니다.

Advanced Audit Policy Configuration/Audit Policies/Object Access GPO에서 Audit Central Access Policy Staging 설정을 이용하여 설정한다.

고급 감사 정책 구성 GPO 설정을 사용하려면 이 설정을 적용할 CIFS 지원 SVM에 대해 감사를 구성해야 합니다. SVM에서 감사를 구성하지 않으면 GPO 설정이 적용되지 않고 삭제됩니다.

레지스트리 설정:

CIFS 지원 SVM에 대한 그룹 정책 업데이트 간격

레지스트리 GPO를 사용하여 설정합니다.
그룹 정책 무작위 오프셋을 새로 고칩니다

레지스트리 GPO를 사용하여 설정합니다.
BranchCache에 대한 해시 게시

BranchCache GPO의 해시 게시는 BranchCache 운영 모드에 해당합니다. 지원되는 세 가지 작동 모드가 지원됩니다.
- 공유당
- 전체 공유
- '레지스트리' GPO를 사용하여 설정을 비활성화했습니다.
BranchCache에 대한 해시 버전 지원

다음 세 가지 해시 버전 설정이 지원됩니다.
- BranchCache 버전 1
- BranchCache 버전 2
- BranchCache 버전 1 및 2는 레지스트리 GPO를 사용하여 설정합니다.

BranchCache GPO 설정을 사용하려면 이러한 설정을 적용할 CIFS 지원 SVM에 BranchCache를 구성해야 합니다. SVM에 BranchCache가 구성되어 있지 않으면 GPO 설정이 적용되지 않고 삭제됩니다.

보안 설정

감사 정책 및 이벤트 로그

로그온 이벤트를 감사합니다

다음 설정을 포함하여 감사할 로그온 이벤트의 유형을 지정합니다.

감사 금지
성공 이벤트만 감사합니다
장애 이벤트 감사
Local Policies/Audit Policy GPO에서 Audit logon events 설정을 이용하여 성공 및 실패 이벤트를 모두 Audit한다.

개체 액세스를 감사합니다

다음 설정을 포함하여 감사할 개체 액세스 유형을 지정합니다.

감사 금지
성공 이벤트만 감사합니다
장애 이벤트 감사
Local Policies/Audit Policy GPO의 Audit object access 설정을 이용하여 성공 이벤트와 실패 이벤트를 모두 Audit한다.

로그 보존 방법입니다

다음 설정을 포함하여 감사 로그 보존 방법을 지정합니다.
- 로그 파일의 크기가 최대 로그 크기를 초과할 경우 이벤트 로그를 덮어씁니다
- 이벤트 로그 GPO의 보안 로그 보관 방법 설정을 사용하여 이벤트 로그(수동으로 로그 지우기) 집합을 덮어쓰지 마십시오.
최대 로그 크기입니다

감사 로그의 최대 크기를 지정합니다.

이벤트 로그 GPO에서 최대 보안 로그 크기 설정을 사용하여 설정합니다.

감사 정책 및 이벤트 로그 GPO 설정을 사용하려면 이 설정을 적용할 CIFS 지원 SVM에 감사를 구성해야 합니다. SVM에서 감사를 구성하지 않으면 GPO 설정이 적용되지 않고 삭제됩니다.

파일 시스템 보안

GPO를 통해 파일 보안을 적용할 파일 또는 디렉터리 목록을 지정합니다.

파일 시스템 GPO를 사용하여 설정합니다.

파일 시스템 보안 GPO를 구성하는 볼륨 경로가 SVM 내에 있어야 합니다.
Kerberos 정책
- 최대 클럭 불균형
  
  컴퓨터 시계 동기화에 대한 최대 허용 시간(분)을 지정합니다.
  
  계정 정책/Kerberos 정책 GPO에서 컴퓨터 시계 동기화에 대한 최대 허용 한도를 사용하여 설정합니다.
- 최대 항공권 사용 기간
  
  사용자 티켓의 최대 수명(시간)을 지정합니다.
  
  계정 정책/Kerberos 정책 GPO에서 사용자 티켓의 최대 수명 설정을 사용하여 설정합니다.
- 최대 티켓 갱신 기간
  
  사용자 티켓 갱신에 대한 최대 수명(일)을 지정합니다.
계정 정책/Kerberos 정책 GPO에서 사용자 티켓 갱신을 위한 최대 수명 설정을 사용하여 설정합니다.
사용자 권한 할당(권한 권한)
- 소유권 가져오기
  
  보안 개체의 소유권을 가져올 권한이 있는 사용자 및 그룹 목록을 지정합니다.
  
  Local Policies/User Rights Assignment GPO에서 파일 또는 기타 개체의 소유권 가져오기 설정을 사용하여 설정합니다.
- 보안 권한
  
  파일, 폴더 및 Active Directory 개체와 같은 개별 리소스의 개체 액세스에 대한 감사 옵션을 지정할 수 있는 사용자 및 그룹 목록을 지정합니다.
  
  Local Policies/User Rights Assignment GPO에서 MManage auditing and security log 설정을 이용하여 설정한다.
- 알림 권한 변경(통과 확인 무시)
  
  사용자 및 그룹에 통과 디렉터리에 대한 권한이 없더라도 디렉터리 트리를 통과할 수 있는 사용자 및 그룹 목록을 지정합니다.
사용자가 파일 및 디렉토리의 변경 알림을 수신하는 경우에도 동일한 권한이 필요합니다. Local Policies/User Rights Assignment GPO에서 통과 확인 무시 설정을 사용하여 설정합니다.
레지스트리 값
- 서명 필요 설정
  
  필요한 SMB 서명을 설정 또는 해제할지 여부를 지정합니다.
보안 옵션 GPO의 'Microsoft 네트워크 서버: 디지털 서명 통신(항상)' 설정을 사용하여 설정합니다.
익명 제한

익명 사용자의 제한 사항을 지정하고 다음 세 가지 GPO 설정을 포함합니다.
- SAM(보안 계정 관리자) 계정의 열거 없음:
  
  이 보안 설정은 컴퓨터에 대한 익명 연결에 대해 부여되는 추가 권한을 결정합니다. 이 옵션이 활성화된 경우 ONTAP에서 "no-enumeration"으로 표시됩니다.
  
  Local Policies/Security Options GPO에서 Network access: do not allow anonymous enumeration of SAM accounts(SAM 계정의 익명 열거 허용 안 함) 설정을 사용하여 설정합니다.
- SAM 계정 및 공유의 열거 없음
  
  이 보안 설정은 SAM 계정과 공유의 익명 열거가 허용되는지 여부를 결정합니다. 이 옵션이 활성화된 경우 ONTAP에서 "no-enumeration"으로 표시됩니다.
  
  Local Policies/Security Options GPO에서 Network access: do not allow anonymous enumeration of SAM accounts and 공유 설정을 이용하여 설정한다.
- 공유 및 명명된 파이프에 대한 익명 액세스를 제한합니다
  
  이 보안 설정은 공유 및 파이프에 대한 익명 액세스를 제한합니다. 이 옵션이 활성화된 경우 ONTAP에서 이 옵션이 "no-access"로 표시됩니다.
  
  Local Policies/Security Options GPO에서 Network access: restrict anonymous access to named pipes and Shares 설정을 이용하여 설정한다.
  
  정의된 그룹 정책과 적용된 그룹 정책에 대한 정보를 표시할 때 "익명 사용자에 대한 결과 제한" 출력 필드는 세 가지 익명 GPO 제한 설정의 결과 제한에 대한 정보를 제공합니다. 가능한 결과 제한은 다음과 같습니다.
"접근 불가"

익명 사용자는 지정된 공유 및 명명된 파이프에 대한 액세스가 거부되며 SAM 계정과 공유의 열거를 사용할 수 없습니다. 네트워크 액세스: 명명된 파이프 및 공유에 대한 익명 액세스 제한 GPO가 설정된 경우 이러한 제한이 나타납니다.
번호 매기기

익명 사용자는 지정된 공유 및 명명된 파이프에 액세스할 수 있지만 SAM 계정과 공유의 열거를 사용할 수는 없습니다. 이 결과 제한은 다음 두 조건이 모두 충족되는 경우에 나타납니다.
- 네트워크 액세스 : 명명된 파이프와 공유에 대한 익명 액세스 제한 GPO가 비활성화됩니다.
- Network access: do not allow anonymous enumeration of SAM accounts(SAM 계정의 익명 열거 허용 안 함) 또는 Network access: do not allow anonymous enumeration of SAM accounts and 공유 GPO(SAM 계정과 공유의 익명 열거 허용 안 함) 중 하나가 활성화됩니다.
무제한입니다

익명 사용자는 모든 액세스 권한이 있으며 열거형을 사용할 수 있습니다. 이 결과 제한은 다음 두 조건이 모두 충족되는 경우에 나타납니다.
- 네트워크 액세스 : 명명된 파이프와 공유에 대한 익명 액세스 제한 GPO가 비활성화됩니다.
- Network access: do not allow anonymous enumeration of SAM accounts(SAM 계정의 익명 열거 허용 안 함) 및 Network access: do not allow anonymous enumeration of SAM accounts and ses(SAM 계정과 공유의 익명 열거 허용 안 함) GPO가 모두 비활성화됩니다.
  - 제한된 그룹
    
    제한된 그룹을 구성하여 기본 제공 그룹 또는 사용자 정의 그룹의 구성원을 중앙에서 관리할 수 있습니다. 그룹 정책을 통해 제한된 그룹을 적용하면 CIFS 서버 로컬 그룹의 구성원은 적용된 그룹 정책에 정의된 멤버 자격 목록 설정과 일치하도록 자동으로 설정됩니다.

제한 그룹 GPO를 사용하여 설정합니다.

중앙 액세스 정책 설정

중앙 액세스 정책 목록을 지정합니다. 중앙 액세스 정책과 관련 중앙 액세스 정책 규칙에 따라 SVM의 여러 파일에 대한 액세스 권한이 결정됩니다.

지원되는 GPO

Creating your file...