Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Saiba mais sobre os GPOs SMB compatíveis do ONTAP

Colaboradores netapp-aaron-holt netapp-aherbin netapp-thomi
PDFs

Embora nem todos os objetos de Diretiva de Grupo (GPOs) sejam aplicáveis às máquinas virtuais de storage (SVMs) habilitadas para CIFS, os SVMs podem reconhecer e processar o conjunto relevante de GPOs.

Os GPOs a seguir são compatíveis atualmente com SVMs:

  • Definições avançadas de configuração da política de auditoria:

    Acesso a objetos: Preparação da Política de Acesso Central

    Especifica o tipo de eventos a serem auditados para o estadiamento da política de acesso central (CAP), incluindo as seguintes configurações:

    • Não faça auditoria

    • Audite apenas eventos de sucesso

    • Auditar apenas eventos de falha

    • Audite eventos de sucesso e falha

      Observação

      Se qualquer uma das três opções de auditoria estiver definida (auditar apenas eventos de sucesso, auditar apenas eventos de falha, auditar eventos de sucesso e falha), o ONTAP fará a auditoria de eventos de sucesso e falha.

      Defina utilizando a Audit Central Access Policy Staging definição no Advanced Audit Policy Configuration/Audit Policies/Object Access GPO.

    Observação

    Para usar configurações avançadas de GPO de diretiva de auditoria, a auditoria deve ser configurada no SVM habilitado para CIFS ao qual você deseja aplicar essas configurações. Se a auditoria não estiver configurada no SVM, as configurações do GPO não serão aplicadas e serão descartadas.

  • Definições do registo:

    • Intervalo de atualização da política de grupo para SVM habilitado para CIFS

      Defina utilizando o Registry GPO.

    • Atualizar desvio aleatório da política de grupo

      Defina utilizando o Registry GPO.

    • Publicação hash para BranchCache

      A publicação Hash para o GPO BranchCache corresponde ao modo de operação BranchCache. Os três modos de operação suportados a seguir são suportados:

      • Por compartilhamento

      • Todos os compartilhamentos

      • Desativado definido utilizando o Registry GPO.

    • Suporte à versão hash para BranchCache

      As seguintes três configurações de versão hash são suportadas:

      • BranchCache versão 1

      • BranchCache versão 2

      • BranchCache versões 1 e 2 definidas usando o Registry GPO.

    Observação

    Para usar as configurações de GPO do BranchCache, o BranchCache deve ser configurado no SVM habilitado para CIFS ao qual você deseja aplicar essas configurações. Se o BranchCache não estiver configurado no SVM, as configurações do GPO não serão aplicadas e serão descartadas.

  • Definições de segurança

    • Política de auditoria e log de eventos

      • Audite eventos de logon

        Especifica o tipo de eventos de logon a serem auditados, incluindo as seguintes configurações:

        • Não faça auditoria

        • Audite apenas eventos de sucesso

        • Auditoria em eventos de falha

        • Audite eventos de sucesso e falha definidos usando a Audit logon events configuração no Local Policies/Audit Policy GPO.

        Observação

        Se qualquer uma das três opções de auditoria estiver definida (auditar apenas eventos de sucesso, auditar apenas eventos de falha, auditar eventos de sucesso e falha), o ONTAP fará a auditoria de eventos de sucesso e falha.

      • Auditar o acesso a objeto

        Especifica o tipo de acesso a objeto a ser auditado, incluindo as seguintes configurações:

        • Não faça auditoria

        • Audite apenas eventos de sucesso

        • Auditoria em eventos de falha

        • Audite eventos de sucesso e falha definidos usando a Audit object access configuração no Local Policies/Audit Policy GPO.

        Observação

        Se qualquer uma das três opções de auditoria estiver definida (auditar apenas eventos de sucesso, auditar apenas eventos de falha, auditar eventos de sucesso e falha), o ONTAP fará a auditoria de eventos de sucesso e falha.

      • Método de retenção de log

        Especifica o método de retenção do log de auditoria, incluindo as seguintes configurações:

        • Substituir o registo de eventos quando o tamanho do ficheiro de registo exceder o tamanho máximo do registo

        • Não substituir o registo de eventos (limpar registo manualmente) definido utilizando a Retention method for security log definição no Event Log GPO.

      • Tamanho máximo do registo

        Especifica o tamanho máximo do log de auditoria.

        Defina utilizando a Maximum security log size definição no Event Log GPO.

      Observação

      Para usar a diretiva de auditoria e as configurações de GPO de log de eventos, a auditoria deve ser configurada no SVM habilitado para CIFS ao qual você deseja aplicar essas configurações. Se a auditoria não estiver configurada no SVM, as configurações do GPO não serão aplicadas e serão descartadas.

    • Segurança do sistema de arquivos

      Especifica uma lista de arquivos ou diretórios nos quais a segurança de arquivos é aplicada por meio de um GPO.

      Defina utilizando o File System GPO.

      Observação

      O caminho do volume para o qual o GPO de segurança do sistema de arquivos está configurado deve existir na SVM.

    • Política Kerberos

      • Inclinação máxima do relógio

        Especifica a tolerância máxima em minutos para a sincronização do relógio do computador.

        Defina utilizando a Maximum tolerance for computer clock synchronization definição no Account Policies/Kerberos Policy GPO.

      • Idade máxima do bilhete

        Especifica a vida útil máxima em horas para o ticket de usuário.

        Defina utilizando a Maximum lifetime for user ticket definição no Account Policies/Kerberos Policy GPO.

      • Idade máxima de renovação do bilhete

        Especifica o tempo de vida máximo em dias para a renovação do ticket do usuário.

      Defina utilizando a Maximum lifetime for user ticket renewal definição no Account Policies/Kerberos Policy GPO.

    • Atribuição de direitos de utilizador (direitos de privilégio)

      • Assuma a propriedade

        Especifica a lista de usuários e grupos que têm o direito de assumir a propriedade de qualquer objeto que possa ser protegido.

        Defina utilizando a Take ownership of files or other objects definição no Local Policies/User Rights Assignment GPO.

      • Privilégio de segurança

        Especifica a lista de usuários e grupos que podem especificar opções de auditoria para acesso a objetos de recursos individuais, como arquivos, pastas e objetos do ative Directory.

        Defina utilizando a Manage auditing and security log definição no Local Policies/User Rights Assignment GPO.

      • Privilégio Change Notify (verificação de desvio transversal)

        Especifica a lista de usuários e grupos que podem atravessar árvores de diretório, mesmo que os usuários e grupos possam não ter permissões no diretório atravessado.

      O mesmo privilégio é necessário para que os usuários recebam notificações de alterações em arquivos e diretórios. Defina utilizando a Bypass traverse checking definição no Local Policies/User Rights Assignment GPO.

    • Valores do registo

      • Definição de assinatura necessária

        Especifica se a assinatura SMB necessária está ativada ou desativada.

      Defina utilizando a Microsoft network server: Digitally sign communications (always) definição no Security Options GPO.

    • Restringir o anonimato

      Especifica quais são as restrições para usuários anônimos e inclui as seguintes três configurações de GPO:

      • Sem enumeração de contas SAM (Security Account Manager):

        Esta configuração de segurança determina quais permissões adicionais são concedidas para conexões anônimas ao computador. Esta opção é apresentada como no-enumeration no ONTAP se estiver ativada.

        Defina utilizando a Network access: Do not allow anonymous enumeration of SAM accounts definição no Local Policies/Security Options GPO.

      • Nenhuma enumeração de contas e compartilhamentos SAM

        Esta configuração de segurança determina se a enumeração anônima de contas e compartilhamentos SAM é permitida. Esta opção é apresentada como no-enumeration no ONTAP se estiver ativada.

        Defina utilizando a Network access: Do not allow anonymous enumeration of SAM accounts and shares definição no Local Policies/Security Options GPO.

      • Restringir o acesso anônimo a compartilhamentos e pipes nomeados

        Essa configuração de segurança restringe o acesso anônimo a compartilhamentos e pipes. Esta opção é apresentada como no-access no ONTAP se estiver ativada.

        Defina utilizando a Network access: Restrict anonymous access to Named Pipes and Shares definição no Local Policies/Security Options GPO.

        Ao exibir informações sobre políticas de grupo definidas e aplicadas, o Resultant restriction for anonymous user campo de saída fornece informações sobre a restrição resultante das três configurações de GPO anônimo restrito. As possíveis restrições resultantes são as seguintes:

    • no-access

      O usuário anônimo tem acesso negado aos compartilhamentos especificados e pipes nomeados e não pode usar enumeração de contas e compartilhamentos SAM. Esta restrição resultante é vista se o Network access: Restrict anonymous access to Named Pipes and Shares GPO estiver ativado.

    • no-enumeration

      O usuário anônimo tem acesso aos compartilhamentos especificados e pipes nomeados, mas não pode usar enumeração de contas e compartilhamentos SAM. Esta restrição resultante é vista se ambas as seguintes condições forem cumpridas:

      • O Network access: Restrict anonymous access to Named Pipes and Shares GPO está desativado.

      • Network access: Do not allow anonymous enumeration of SAM accounts`O ou os `Network access: Do not allow anonymous enumeration of SAM accounts and shares GPOs estão ativados.

    • no-restriction

      O usuário anônimo tem acesso total e pode usar enumeração. Esta restrição resultante é vista se ambas as seguintes condições forem cumpridas:

      • O Network access: Restrict anonymous access to Named Pipes and Shares GPO está desativado.

      • Network access: Do not allow anonymous enumeration of SAM accounts`Os GPOs e `Network access: Do not allow anonymous enumeration of SAM accounts and shares os GPOs estão desativados.

        • Grupos restritos

          Você pode configurar grupos restritos para gerenciar centralmente a associação de grupos internos ou definidos pelo usuário. Quando você aplica um grupo restrito por meio de uma política de grupo, a associação de um grupo local de servidor CIFS é definida automaticamente para corresponder às configurações da lista de membros definidas na política de grupo aplicada.

    Defina utilizando o Restricted Groups GPO.

  • Definições da política de acesso central

    Especifica uma lista de políticas de acesso central. As políticas de acesso central e as regras de política de acesso central associadas determinam permissões de acesso para vários arquivos no SVM.

Informações relacionadas