Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

支持的 GPO

贡献者
PDF

虽然并非所有组策略对象( GPO )都适用于启用了 CIFS 的 Storage Virtual Machine ( SVM ),但 SVM 可以识别和处理相关的 GPO 集。

SVM 当前支持以下 GPO :

  • 高级审核策略配置设置:

    对象访问:中央访问策略暂存

    指定要为中央访问策略( CAP )暂存审核的事件类型,包括以下设置:

    • 请勿审核

    • 仅审核成功事件

    • 仅审核失败事件

    • 审核成功和失败事件

      备注

      如果设置了三个审核选项中的任何一个(仅审核成功事件,仅审核失败事件,审核成功和失败事件),则 ONTAP 将同时审核成功和失败事件。

      使用设置 Audit Central Access Policy Staging 中的设置 Advanced Audit Policy Configuration/Audit Policies/Object Access GPO。

    备注

    要使用高级审核策略配置 GPO 设置,必须在已启用 CIFS 且要应用这些设置的 SVM 上配置审核。如果未在 SVM 上配置审核,则 GPO 设置将不会应用,并将被丢弃。

  • 注册表设置:

    • 已启用 CIFS 的 SVM 的组策略刷新间隔

      使用设置 Registry GPO。

    • 组策略刷新随机偏移

      使用设置 Registry GPO。

    • BranchCache 的哈希发布

      BranchCache 的哈希发布 GPO 对应于 BranchCache 操作模式。支持以下三种操作模式:

      • 每个共享

      • 所有共享

      • 已禁用 使用设置 Registry GPO。

    • BranchCache 的哈希版本支持

      支持以下三种哈希版本设置:

      • BranchCache 1.7 版

      • BranchCache 1.7 版

      • anchCache版本1和2 使用设置 Registry GPO。

    备注

    要使用 BranchCache GPO 设置,必须在已启用 CIFS 且要应用这些设置的 SVM 上配置 BranchCache 。如果未在 SVM 上配置 BranchCache ,则 GPO 设置将不会应用,并将被丢弃。

  • 安全设置

    • 审核策略和事件日志

      • 审核登录事件

        指定要审核的登录事件的类型,包括以下设置:

        • 请勿审核

        • 仅审核成功事件

        • 审核失败事件

        • 审核成功和失败事件 使用设置 Audit logon events 中的设置 Local Policies/Audit Policy GPO。

        备注

        如果设置了三个审核选项中的任何一个(仅审核成功事件,仅审核失败事件,审核成功和失败事件),则 ONTAP 将同时审核成功和失败事件。

      • 审核对象访问

        指定要审核的对象访问类型,包括以下设置:

        • 请勿审核

        • 仅审核成功事件

        • 审核失败事件

        • 审核成功和失败事件 使用设置 Audit object access 中的设置 Local Policies/Audit Policy GPO。

        备注

        如果设置了三个审核选项中的任何一个(仅审核成功事件,仅审核失败事件,审核成功和失败事件),则 ONTAP 将同时审核成功和失败事件。

      • 日志保留方法

        指定审核日志保留方法,包括以下设置:

        • 如果日志文件大小超过最大日志大小,则覆盖事件日志

        • 不要覆盖事件日志(手动清除日志) 使用设置 Retention method for security log 中的设置 Event Log GPO。

      • 最大日志大小

        指定审核日志的最大大小。

        使用设置 Maximum security log size 中的设置 Event Log GPO。

      备注

      要使用审核策略和事件日志 GPO 设置,必须在已启用 CIFS 且要应用这些设置的 SVM 上配置审核。如果未在 SVM 上配置审核,则 GPO 设置将不会应用,并将被丢弃。

    • 文件系统安全性

      指定通过 GPO 应用文件安全性的文件或目录列表。

      使用设置 File System GPO。

      备注

      配置文件系统安全 GPO 的卷路径必须位于 SVM 中。

    • Kerberos 策略

      • 最大时钟偏差

        指定计算机时钟同步的最大容错(以分钟为单位)。

        使用设置 Maximum tolerance for computer clock synchronization 中的设置 Account Policies/Kerberos Policy GPO。

      • 最长票证期限

        指定用户服务单的最长生命周期(以小时为单位)。

        使用设置 Maximum lifetime for user ticket 中的设置 Account Policies/Kerberos Policy GPO。

      • 最长票证续订期限

        指定用户票证续订的最长生命周期(以天为单位)。

      使用设置 Maximum lifetime for user ticket renewal 中的设置 Account Policies/Kerberos Policy GPO。

    • 用户权限分配(权限)

      • 取得所有权

        指定有权取得任何安全对象所有权的用户和组的列表。

        使用设置 Take ownership of files or other objects 中的设置 Local Policies/User Rights Assignment GPO。

      • 安全权限

        指定可以为文件,文件夹和 Active Directory 对象等单个资源的对象访问指定审核选项的用户和组列表。

        使用设置 Manage auditing and security log 中的设置 Local Policies/User Rights Assignment GPO。

      • 更改通知权限(绕过遍历检查)

        指定可以遍历目录树的用户和组列表,即使用户和组可能对遍历的目录没有权限也是如此。

      用户接收文件和目录更改通知需要相同的权限。使用设置 Bypass traverse checking 中的设置 Local Policies/User Rights Assignment GPO。

    • 注册表值

      • 需要签名设置

        指定是启用还是禁用所需的 SMB 签名。

      使用设置 Microsoft network server: Digitally sign communications (always) 中的设置 Security Options GPO。

    • 限制匿名

      指定匿名用户的限制并包括以下三个 GPO 设置:

      • 不枚举安全帐户管理器( SAM )帐户:

        此安全设置可确定为匿名连接到计算机授予哪些其他权限。此选项显示为 no-enumeration 在ONTAP中(如果已启用)。

        使用设置 Network access: Do not allow anonymous enumeration of SAM accounts 中的设置 Local Policies/Security Options GPO。

      • 不枚举 SAM 帐户和共享

        此安全设置确定是否允许匿名枚举 SAM 帐户和共享。此选项显示为 no-enumeration 在ONTAP中(如果已启用)。

        使用设置 Network access: Do not allow anonymous enumeration of SAM accounts and shares 中的设置 Local Policies/Security Options GPO。

      • 限制对共享和命名管道的匿名访问

        此安全设置限制对共享和管道的匿名访问。此选项显示为 no-access 在ONTAP中(如果已启用)。

        使用设置 Network access: Restrict anonymous access to Named Pipes and Shares 中的设置 Local Policies/Security Options GPO。

        显示有关已定义和已应用组策略的信息时、 Resultant restriction for anonymous user 输出字段提供有关三个限制匿名GPO设置所产生限制的信息。可能产生的限制如下:

    • no-access

      匿名用户被拒绝访问指定的共享和命名管道,并且不能使用 SAM 帐户和共享枚举。如果存在、则会显示此结果限制 Network access: Restrict anonymous access to Named Pipes and Shares 已启用GPO。

    • no-enumeration

      匿名用户有权访问指定的共享和命名管道,但不能使用 SAM 帐户和共享枚举。如果同时满足以下两个条件,则会显示由此产生的限制:

      • Network access: Restrict anonymous access to Named Pipes and Shares 已禁用GPO。

      • Network access: Do not allow anonymous enumeration of SAM accountsNetwork access: Do not allow anonymous enumeration of SAM accounts and shares GPO已启用。

    • no-restriction

      匿名用户具有完全访问权限,可以使用枚举。如果同时满足以下两个条件,则会显示由此产生的限制:

      • Network access: Restrict anonymous access to Named Pipes and Shares 已禁用GPO。

      • 这两个 Network access: Do not allow anonymous enumeration of SAM accountsNetwork access: Do not allow anonymous enumeration of SAM accounts and shares 已禁用GPO。

        • 受限组

          您可以配置受限组以集中管理内置或用户定义的组的成员资格。通过组策略应用受限组时, CIFS 服务器本地组的成员资格会自动设置为与应用的组策略中定义的成员资格列表设置匹配。

    使用设置 Restricted Groups GPO。

  • 中央访问策略设置

    指定中央访问策略的列表。中央访问策略和关联的中央访问策略规则可确定 SVM 上多个文件的访问权限。

相关信息

在 CIFS 服务器上启用或禁用 GPO 支持

使用动态访问控制( DAC )保护文件访问

"SMB 和 NFS 审核和安全跟踪"

修改 CIFS 服务器 Kerberos 安全设置

使用 BranchCache 在分支机构缓存 SMB 共享内容

使用 SMB 签名增强网络安全性

配置绕过遍历检查

配置匿名用户的访问限制