GPOs compatíveis
Embora nem todos os objetos de Diretiva de Grupo (GPOs) sejam aplicáveis às máquinas virtuais de storage (SVMs) habilitadas para CIFS, os SVMs podem reconhecer e processar o conjunto relevante de GPOs.
Os GPOs a seguir são compatíveis atualmente com SVMs:
-
Definições avançadas de configuração da política de auditoria:
Acesso a objetos: Preparação da Política de Acesso Central
Especifica o tipo de eventos a serem auditados para o estadiamento da política de acesso central (CAP), incluindo as seguintes configurações:
-
Não faça auditoria
-
Audite apenas eventos de sucesso
-
Auditar apenas eventos de falha
-
Audite eventos de sucesso e falha
Se qualquer uma das três opções de auditoria estiver definida (auditar apenas eventos de sucesso, auditar apenas eventos de falha, auditar eventos de sucesso e falha), o ONTAP fará a auditoria de eventos de sucesso e falha.
Defina utilizando a
Audit Central Access Policy Staging
definição noAdvanced Audit Policy Configuration/Audit Policies/Object Access
GPO.
Para usar configurações avançadas de GPO de diretiva de auditoria, a auditoria deve ser configurada no SVM habilitado para CIFS ao qual você deseja aplicar essas configurações. Se a auditoria não estiver configurada no SVM, as configurações do GPO não serão aplicadas e serão descartadas.
-
-
Definições do registo:
-
Intervalo de atualização da política de grupo para SVM habilitado para CIFS
Defina utilizando o
Registry
GPO. -
Atualizar desvio aleatório da política de grupo
Defina utilizando o
Registry
GPO. -
Publicação hash para BranchCache
A publicação Hash para o GPO BranchCache corresponde ao modo de operação BranchCache. Os três modos de operação suportados a seguir são suportados:
-
Por compartilhamento
-
Todos os compartilhamentos
-
Desativado definido utilizando o
Registry
GPO.
-
-
Suporte à versão hash para BranchCache
As seguintes três configurações de versão hash são suportadas:
-
BranchCache versão 1
-
BranchCache versão 2
-
BranchCache versões 1 e 2 definidas usando o
Registry
GPO.
-
Para usar as configurações de GPO do BranchCache, o BranchCache deve ser configurado no SVM habilitado para CIFS ao qual você deseja aplicar essas configurações. Se o BranchCache não estiver configurado no SVM, as configurações do GPO não serão aplicadas e serão descartadas.
-
-
Definições de segurança
-
Política de auditoria e log de eventos
-
Audite eventos de logon
Especifica o tipo de eventos de logon a serem auditados, incluindo as seguintes configurações:
-
Não faça auditoria
-
Audite apenas eventos de sucesso
-
Auditoria em eventos de falha
-
Audite eventos de sucesso e falha definidos usando a
Audit logon events
configuração noLocal Policies/Audit Policy
GPO.
Se qualquer uma das três opções de auditoria estiver definida (auditar apenas eventos de sucesso, auditar apenas eventos de falha, auditar eventos de sucesso e falha), o ONTAP fará a auditoria de eventos de sucesso e falha.
-
-
Auditar o acesso a objeto
Especifica o tipo de acesso a objeto a ser auditado, incluindo as seguintes configurações:
-
Não faça auditoria
-
Audite apenas eventos de sucesso
-
Auditoria em eventos de falha
-
Audite eventos de sucesso e falha definidos usando a
Audit object access
configuração noLocal Policies/Audit Policy
GPO.
Se qualquer uma das três opções de auditoria estiver definida (auditar apenas eventos de sucesso, auditar apenas eventos de falha, auditar eventos de sucesso e falha), o ONTAP fará a auditoria de eventos de sucesso e falha.
-
-
Método de retenção de log
Especifica o método de retenção do log de auditoria, incluindo as seguintes configurações:
-
Substituir o registo de eventos quando o tamanho do ficheiro de registo exceder o tamanho máximo do registo
-
Não substituir o registo de eventos (limpar registo manualmente) definido utilizando a
Retention method for security log
definição noEvent Log
GPO.
-
-
Tamanho máximo do registo
Especifica o tamanho máximo do log de auditoria.
Defina utilizando a
Maximum security log size
definição noEvent Log
GPO.
Para usar a diretiva de auditoria e as configurações de GPO de log de eventos, a auditoria deve ser configurada no SVM habilitado para CIFS ao qual você deseja aplicar essas configurações. Se a auditoria não estiver configurada no SVM, as configurações do GPO não serão aplicadas e serão descartadas.
-
-
Segurança do sistema de arquivos
Especifica uma lista de arquivos ou diretórios nos quais a segurança de arquivos é aplicada por meio de um GPO.
Defina utilizando o
File System
GPO.O caminho do volume para o qual o GPO de segurança do sistema de arquivos está configurado deve existir na SVM.
-
Política Kerberos
-
Inclinação máxima do relógio
Especifica a tolerância máxima em minutos para a sincronização do relógio do computador.
Defina utilizando a
Maximum tolerance for computer clock synchronization
definição noAccount Policies/Kerberos Policy
GPO. -
Idade máxima do bilhete
Especifica a vida útil máxima em horas para o ticket de usuário.
Defina utilizando a
Maximum lifetime for user ticket
definição noAccount Policies/Kerberos Policy
GPO. -
Idade máxima de renovação do bilhete
Especifica o tempo de vida máximo em dias para a renovação do ticket do usuário.
Defina utilizando a
Maximum lifetime for user ticket renewal
definição noAccount Policies/Kerberos Policy
GPO. -
-
Atribuição de direitos de utilizador (direitos de privilégio)
-
Assuma a propriedade
Especifica a lista de usuários e grupos que têm o direito de assumir a propriedade de qualquer objeto que possa ser protegido.
Defina utilizando a
Take ownership of files or other objects
definição noLocal Policies/User Rights Assignment
GPO. -
Privilégio de segurança
Especifica a lista de usuários e grupos que podem especificar opções de auditoria para acesso a objetos de recursos individuais, como arquivos, pastas e objetos do ative Directory.
Defina utilizando a
Manage auditing and security log
definição noLocal Policies/User Rights Assignment
GPO. -
Privilégio Change Notify (verificação de desvio transversal)
Especifica a lista de usuários e grupos que podem atravessar árvores de diretório, mesmo que os usuários e grupos possam não ter permissões no diretório atravessado.
O mesmo privilégio é necessário para que os usuários recebam notificações de alterações em arquivos e diretórios. Defina utilizando a
Bypass traverse checking
definição noLocal Policies/User Rights Assignment
GPO. -
-
Valores do registo
-
Definição de assinatura necessária
Especifica se a assinatura SMB necessária está ativada ou desativada.
Defina utilizando a
Microsoft network server: Digitally sign communications (always)
definição noSecurity Options
GPO. -
-
Restringir o anonimato
Especifica quais são as restrições para usuários anônimos e inclui as seguintes três configurações de GPO:
-
Sem enumeração de contas SAM (Security Account Manager):
Esta configuração de segurança determina quais permissões adicionais são concedidas para conexões anônimas ao computador. Esta opção é apresentada como
no-enumeration
no ONTAP se estiver ativada.Defina utilizando a
Network access: Do not allow anonymous enumeration of SAM accounts
definição noLocal Policies/Security Options
GPO. -
Nenhuma enumeração de contas e compartilhamentos SAM
Esta configuração de segurança determina se a enumeração anônima de contas e compartilhamentos SAM é permitida. Esta opção é apresentada como
no-enumeration
no ONTAP se estiver ativada.Defina utilizando a
Network access: Do not allow anonymous enumeration of SAM accounts and shares
definição noLocal Policies/Security Options
GPO. -
Restringir o acesso anônimo a compartilhamentos e pipes nomeados
Essa configuração de segurança restringe o acesso anônimo a compartilhamentos e pipes. Esta opção é apresentada como
no-access
no ONTAP se estiver ativada.Defina utilizando a
Network access: Restrict anonymous access to Named Pipes and Shares
definição noLocal Policies/Security Options
GPO.Ao exibir informações sobre políticas de grupo definidas e aplicadas, o
Resultant restriction for anonymous user
campo de saída fornece informações sobre a restrição resultante das três configurações de GPO anônimo restrito. As possíveis restrições resultantes são as seguintes:
-
-
no-access
O usuário anônimo tem acesso negado aos compartilhamentos especificados e pipes nomeados e não pode usar enumeração de contas e compartilhamentos SAM. Esta restrição resultante é vista se o
Network access: Restrict anonymous access to Named Pipes and Shares
GPO estiver ativado. -
no-enumeration
O usuário anônimo tem acesso aos compartilhamentos especificados e pipes nomeados, mas não pode usar enumeração de contas e compartilhamentos SAM. Esta restrição resultante é vista se ambas as seguintes condições forem cumpridas:
-
O
Network access: Restrict anonymous access to Named Pipes and Shares
GPO está desativado. -
Network access: Do not allow anonymous enumeration of SAM accounts`O ou os `Network access: Do not allow anonymous enumeration of SAM accounts and shares
GPOs estão ativados.
-
-
no-restriction
O usuário anônimo tem acesso total e pode usar enumeração. Esta restrição resultante é vista se ambas as seguintes condições forem cumpridas:
-
O
Network access: Restrict anonymous access to Named Pipes and Shares
GPO está desativado. -
Network access: Do not allow anonymous enumeration of SAM accounts`Os GPOs e `Network access: Do not allow anonymous enumeration of SAM accounts and shares
os GPOs estão desativados.-
Grupos restritos
Você pode configurar grupos restritos para gerenciar centralmente a associação de grupos internos ou definidos pelo usuário. Quando você aplica um grupo restrito por meio de uma política de grupo, a associação de um grupo local de servidor CIFS é definida automaticamente para corresponder às configurações da lista de membros definidas na política de grupo aplicada.
-
-
Defina utilizando o
Restricted Groups
GPO. -
-
Definições da política de acesso central
Especifica uma lista de políticas de acesso central. As políticas de acesso central e as regras de política de acesso central associadas determinam permissões de acesso para vários arquivos no SVM.