Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

GPOs compatíveis

Colaboradores

Embora nem todos os objetos de Diretiva de Grupo (GPOs) sejam aplicáveis às máquinas virtuais de storage (SVMs) habilitadas para CIFS, os SVMs podem reconhecer e processar o conjunto relevante de GPOs.

Os GPOs a seguir são compatíveis atualmente com SVMs:

  • Definições avançadas de configuração da política de auditoria:

    Acesso a objetos: Preparação da Política de Acesso Central

    Especifica o tipo de eventos a serem auditados para o estadiamento da política de acesso central (CAP), incluindo as seguintes configurações:

    • Não faça auditoria

    • Audite apenas eventos de sucesso

    • Auditar apenas eventos de falha

    • Audite eventos de sucesso e falha

      Observação

      Se qualquer uma das três opções de auditoria estiver definida (auditar apenas eventos de sucesso, auditar apenas eventos de falha, auditar eventos de sucesso e falha), o ONTAP fará a auditoria de eventos de sucesso e falha.

      Defina utilizando a Audit Central Access Policy Staging definição no Advanced Audit Policy Configuration/Audit Policies/Object Access GPO.

    Observação

    Para usar configurações avançadas de GPO de diretiva de auditoria, a auditoria deve ser configurada no SVM habilitado para CIFS ao qual você deseja aplicar essas configurações. Se a auditoria não estiver configurada no SVM, as configurações do GPO não serão aplicadas e serão descartadas.

  • Definições do registo:

    • Intervalo de atualização da política de grupo para SVM habilitado para CIFS

      Defina utilizando o Registry GPO.

    • Atualizar desvio aleatório da política de grupo

      Defina utilizando o Registry GPO.

    • Publicação hash para BranchCache

      A publicação Hash para o GPO BranchCache corresponde ao modo de operação BranchCache. Os três modos de operação suportados a seguir são suportados:

      • Por compartilhamento

      • Todos os compartilhamentos

      • Desativado definido utilizando o Registry GPO.

    • Suporte à versão hash para BranchCache

      As seguintes três configurações de versão hash são suportadas:

      • BranchCache versão 1

      • BranchCache versão 2

      • BranchCache versões 1 e 2 definidas usando o Registry GPO.

    Observação

    Para usar as configurações de GPO do BranchCache, o BranchCache deve ser configurado no SVM habilitado para CIFS ao qual você deseja aplicar essas configurações. Se o BranchCache não estiver configurado no SVM, as configurações do GPO não serão aplicadas e serão descartadas.

  • Definições de segurança

    • Política de auditoria e log de eventos

      • Audite eventos de logon

        Especifica o tipo de eventos de logon a serem auditados, incluindo as seguintes configurações:

        • Não faça auditoria

        • Audite apenas eventos de sucesso

        • Auditoria em eventos de falha

        • Audite eventos de sucesso e falha definidos usando a Audit logon events configuração no Local Policies/Audit Policy GPO.

        Observação

        Se qualquer uma das três opções de auditoria estiver definida (auditar apenas eventos de sucesso, auditar apenas eventos de falha, auditar eventos de sucesso e falha), o ONTAP fará a auditoria de eventos de sucesso e falha.

      • Auditar o acesso a objeto

        Especifica o tipo de acesso a objeto a ser auditado, incluindo as seguintes configurações:

        • Não faça auditoria

        • Audite apenas eventos de sucesso

        • Auditoria em eventos de falha

        • Audite eventos de sucesso e falha definidos usando a Audit object access configuração no Local Policies/Audit Policy GPO.

        Observação

        Se qualquer uma das três opções de auditoria estiver definida (auditar apenas eventos de sucesso, auditar apenas eventos de falha, auditar eventos de sucesso e falha), o ONTAP fará a auditoria de eventos de sucesso e falha.

      • Método de retenção de log

        Especifica o método de retenção do log de auditoria, incluindo as seguintes configurações:

        • Substituir o registo de eventos quando o tamanho do ficheiro de registo exceder o tamanho máximo do registo

        • Não substituir o registo de eventos (limpar registo manualmente) definido utilizando a Retention method for security log definição no Event Log GPO.

      • Tamanho máximo do registo

        Especifica o tamanho máximo do log de auditoria.

        Defina utilizando a Maximum security log size definição no Event Log GPO.

      Observação

      Para usar a diretiva de auditoria e as configurações de GPO de log de eventos, a auditoria deve ser configurada no SVM habilitado para CIFS ao qual você deseja aplicar essas configurações. Se a auditoria não estiver configurada no SVM, as configurações do GPO não serão aplicadas e serão descartadas.

    • Segurança do sistema de arquivos

      Especifica uma lista de arquivos ou diretórios nos quais a segurança de arquivos é aplicada por meio de um GPO.

      Defina utilizando o File System GPO.

      Observação

      O caminho do volume para o qual o GPO de segurança do sistema de arquivos está configurado deve existir na SVM.

    • Política Kerberos

      • Inclinação máxima do relógio

        Especifica a tolerância máxima em minutos para a sincronização do relógio do computador.

        Defina utilizando a Maximum tolerance for computer clock synchronization definição no Account Policies/Kerberos Policy GPO.

      • Idade máxima do bilhete

        Especifica a vida útil máxima em horas para o ticket de usuário.

        Defina utilizando a Maximum lifetime for user ticket definição no Account Policies/Kerberos Policy GPO.

      • Idade máxima de renovação do bilhete

        Especifica o tempo de vida máximo em dias para a renovação do ticket do usuário.

      Defina utilizando a Maximum lifetime for user ticket renewal definição no Account Policies/Kerberos Policy GPO.

    • Atribuição de direitos de utilizador (direitos de privilégio)

      • Assuma a propriedade

        Especifica a lista de usuários e grupos que têm o direito de assumir a propriedade de qualquer objeto que possa ser protegido.

        Defina utilizando a Take ownership of files or other objects definição no Local Policies/User Rights Assignment GPO.

      • Privilégio de segurança

        Especifica a lista de usuários e grupos que podem especificar opções de auditoria para acesso a objetos de recursos individuais, como arquivos, pastas e objetos do ative Directory.

        Defina utilizando a Manage auditing and security log definição no Local Policies/User Rights Assignment GPO.

      • Privilégio Change Notify (verificação de desvio transversal)

        Especifica a lista de usuários e grupos que podem atravessar árvores de diretório, mesmo que os usuários e grupos possam não ter permissões no diretório atravessado.

      O mesmo privilégio é necessário para que os usuários recebam notificações de alterações em arquivos e diretórios. Defina utilizando a Bypass traverse checking definição no Local Policies/User Rights Assignment GPO.

    • Valores do registo

      • Definição de assinatura necessária

        Especifica se a assinatura SMB necessária está ativada ou desativada.

      Defina utilizando a Microsoft network server: Digitally sign communications (always) definição no Security Options GPO.

    • Restringir o anonimato

      Especifica quais são as restrições para usuários anônimos e inclui as seguintes três configurações de GPO:

      • Sem enumeração de contas SAM (Security Account Manager):

        Esta configuração de segurança determina quais permissões adicionais são concedidas para conexões anônimas ao computador. Esta opção é apresentada como no-enumeration no ONTAP se estiver ativada.

        Defina utilizando a Network access: Do not allow anonymous enumeration of SAM accounts definição no Local Policies/Security Options GPO.

      • Nenhuma enumeração de contas e compartilhamentos SAM

        Esta configuração de segurança determina se a enumeração anônima de contas e compartilhamentos SAM é permitida. Esta opção é apresentada como no-enumeration no ONTAP se estiver ativada.

        Defina utilizando a Network access: Do not allow anonymous enumeration of SAM accounts and shares definição no Local Policies/Security Options GPO.

      • Restringir o acesso anônimo a compartilhamentos e pipes nomeados

        Essa configuração de segurança restringe o acesso anônimo a compartilhamentos e pipes. Esta opção é apresentada como no-access no ONTAP se estiver ativada.

        Defina utilizando a Network access: Restrict anonymous access to Named Pipes and Shares definição no Local Policies/Security Options GPO.

        Ao exibir informações sobre políticas de grupo definidas e aplicadas, o Resultant restriction for anonymous user campo de saída fornece informações sobre a restrição resultante das três configurações de GPO anônimo restrito. As possíveis restrições resultantes são as seguintes:

    • no-access

      O usuário anônimo tem acesso negado aos compartilhamentos especificados e pipes nomeados e não pode usar enumeração de contas e compartilhamentos SAM. Esta restrição resultante é vista se o Network access: Restrict anonymous access to Named Pipes and Shares GPO estiver ativado.

    • no-enumeration

      O usuário anônimo tem acesso aos compartilhamentos especificados e pipes nomeados, mas não pode usar enumeração de contas e compartilhamentos SAM. Esta restrição resultante é vista se ambas as seguintes condições forem cumpridas:

      • O Network access: Restrict anonymous access to Named Pipes and Shares GPO está desativado.

      • Network access: Do not allow anonymous enumeration of SAM accounts`O ou os `Network access: Do not allow anonymous enumeration of SAM accounts and shares GPOs estão ativados.

    • no-restriction

      O usuário anônimo tem acesso total e pode usar enumeração. Esta restrição resultante é vista se ambas as seguintes condições forem cumpridas:

      • O Network access: Restrict anonymous access to Named Pipes and Shares GPO está desativado.

      • Network access: Do not allow anonymous enumeration of SAM accounts`Os GPOs e `Network access: Do not allow anonymous enumeration of SAM accounts and shares os GPOs estão desativados.

        • Grupos restritos

          Você pode configurar grupos restritos para gerenciar centralmente a associação de grupos internos ou definidos pelo usuário. Quando você aplica um grupo restrito por meio de uma política de grupo, a associação de um grupo local de servidor CIFS é definida automaticamente para corresponder às configurações da lista de membros definidas na política de grupo aplicada.

    Defina utilizando o Restricted Groups GPO.

  • Definições da política de acesso central

    Especifica uma lista de políticas de acesso central. As políticas de acesso central e as regras de política de acesso central associadas determinam permissões de acesso para vários arquivos no SVM.