Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

支援的GPO

貢獻者
PDF

雖然並非所有的群組原則物件(GPO)都適用於CIFS型儲存虛擬機器(SVM)、但SVM可以辨識及處理相關的GPO集。

SVM目前支援下列GPO:

  • 進階稽核原則組態設定:

    物件存取:集中存取原則接移

    指定要稽核中央存取原則(CAP)接移的事件類型、包括下列設定:

    • 請勿稽核

    • 僅稽核成功事件

    • 僅稽核失敗事件

    • 稽核成功與失敗事件

      註

      如果三個稽核選項中有任何一個已設定(僅稽核成功事件、僅稽核失敗事件、同時稽核成功和失敗事件)ONTAP 、則會同時稽核成功和失敗事件。

      使用設定 Audit Central Access Policy Staging 的設定 Advanced Audit Policy Configuration/Audit Policies/Object Access GPO :

    註

    若要使用進階稽核原則組態GPO設定、您必須在要套用這些設定的CIFS型SVM上設定稽核。如果未在SVM上設定稽核、則不會套用及捨棄GPO設定。

  • 登錄設定:

    • 啟用CIFS的SVM的群組原則重新整理時間間隔

      使用設定 Registry GPO :

    • 群組原則重新整理隨機偏移

      使用設定 Registry GPO :

    • BranchCache的雜湊發佈

      BranchCache GPO的雜湊發佈會對應到BranchCache作業模式。支援下列三種操作模式:

      • 每個共用區

      • All共享區

      • 已停用 使用設定 Registry GPO :

    • 支援BranchCache的雜湊版本

      支援下列三種雜湊版本設定:

      • BranchCache第1版

      • BranchCache 版本 2

      • BranchCache 第 1 版和第 2 版 使用設定 Registry GPO :

    註

    若要使用BranchCache GPO設定、必須在您要套用這些設定的CIFS型SVM上設定BranchCache。如果未在SVM上設定BranchCache、則不會套用GPO設定、也會捨棄。

  • 安全性設定

    • 稽核原則與事件記錄

      • 稽核登入事件

        指定要稽核的登入事件類型、包括下列設定:

        • 請勿稽核

        • 僅稽核成功事件

        • 稽核失敗事件

        • 稽核成功與失敗事件 使用設定 Audit logon events 的設定 Local Policies/Audit Policy GPO :

        註

        如果三個稽核選項中有任何一個已設定(僅稽核成功事件、僅稽核失敗事件、同時稽核成功和失敗事件)ONTAP 、則會同時稽核成功和失敗事件。

      • 稽核物件存取

        指定要稽核的物件存取類型、包括下列設定:

        • 請勿稽核

        • 僅稽核成功事件

        • 稽核失敗事件

        • 稽核成功與失敗事件 使用設定 Audit object access 的設定 Local Policies/Audit Policy GPO :

        註

        如果三個稽核選項中有任何一個已設定(僅稽核成功事件、僅稽核失敗事件、同時稽核成功和失敗事件)ONTAP 、則會同時稽核成功和失敗事件。

      • 記錄保留方法

        指定稽核記錄保留方法、包括下列設定:

        • 當記錄檔大小超過最大記錄檔大小時、請覆寫事件記錄

        • 不要覆寫事件記錄(手動清除記錄) 使用設定 Retention method for security log 的設定 Event Log GPO :

      • 最大記錄大小

        指定稽核記錄的最大大小。

        使用設定 Maximum security log size 的設定 Event Log GPO :

      註

      若要使用稽核原則和事件記錄GPO設定、您必須在要套用這些設定的CIFS型SVM上設定稽核。如果未在SVM上設定稽核、則不會套用及捨棄GPO設定。

    • 檔案系統安全性

      指定透過GPO套用檔案安全性的檔案或目錄清單。

      使用設定 File System GPO :

      註

      設定檔案系統安全性GPO的磁碟區路徑必須存在於SVM中。

    • Kerberos原則

      • 最大時鐘偏移

        指定電腦時鐘同步的最大容許值(以分鐘為單位)。

        使用設定 Maximum tolerance for computer clock synchronization 的設定 Account Policies/Kerberos Policy GPO :

      • 票證最長使用期限

        指定使用者票證的最長壽命(以小時為單位)。

        使用設定 Maximum lifetime for user ticket 的設定 Account Policies/Kerberos Policy GPO :

      • 票證續約期限上限

        指定使用者票證續約的最長壽命(以天為單位)。

      使用設定 Maximum lifetime for user ticket renewal 的設定 Account Policies/Kerberos Policy GPO :

    • 使用者權限指派(權限)

      • 取得擁有權

        指定有權取得任何安全物件所有權的使用者和群組清單。

        使用設定 Take ownership of files or other objects 的設定 Local Policies/User Rights Assignment GPO :

      • 安全性權限

        指定使用者和群組清單、這些使用者和群組可指定個別資源(例如檔案、資料夾和Active Directory物件)物件存取的稽核選項。

        使用設定 Manage auditing and security log 的設定 Local Policies/User Rights Assignment GPO :

      • 變更通知權限(略過周遊檢查)

        指定可遍歷目錄樹狀結構的使用者和群組清單、即使使用者和群組對周遊目錄可能沒有權限。

      使用者必須擁有相同的權限、才能接收檔案和目錄變更通知。使用設定 Bypass traverse checking 的設定 Local Policies/User Rights Assignment GPO :

    • 登錄值

      • 需要簽署設定

        指定是否啟用或停用必要的SMB簽署。

      使用設定 Microsoft network server: Digitally sign communications (always) 的設定 Security Options GPO :

    • 限制匿名

      指定匿名使用者的限制、並包含下列三項GPO設定:

      • 無列舉安全性客戶經理(SAM)帳戶:

        此安全性設定可決定授與哪些其他權限給電腦的匿名連線。此選項會顯示為 no-enumeration 在 ONTAP 中(如果已啓用)。

        使用設定 Network access: Do not allow anonymous enumeration of SAM accounts 的設定 Local Policies/Security Options GPO :

      • 未列舉SAM帳戶和共用

        此安全性設定可決定是否允許SAM帳戶和共用的匿名列舉。此選項會顯示為 no-enumeration 在 ONTAP 中(如果已啓用)。

        使用設定 Network access: Do not allow anonymous enumeration of SAM accounts and shares 的設定 Local Policies/Security Options GPO :

      • 限制匿名存取共用和具名管道

        此安全性設定會限制匿名存取共用和管道。此選項會顯示為 no-access 在 ONTAP 中(如果已啓用)。

        使用設定 Network access: Restrict anonymous access to Named Pipes and Shares 的設定 Local Policies/Security Options GPO :

        顯示已定義和已套用群組原則的相關資訊時、會顯示 Resultant restriction for anonymous user 「輸出」欄位提供三個限制匿名 GPO 設定的結果限制相關資訊。可能的結果限制如下:

    • no-access

      匿名使用者無法存取指定的共用和具名管道、也無法使用SAM帳戶和共用的列舉。如果出現這種情況、就會出現這種限制 Network access: Restrict anonymous access to Named Pipes and Shares 已啟用 GPO 。

    • no-enumeration

      匿名使用者可以存取指定的共用和具名管道、但無法使用SAM帳戶和共用的列舉。如果符合下列兩項條件、就會看到這項限制:

      • Network access: Restrict anonymous access to Named Pipes and Shares GPO 已停用。

      • 或是 Network access: Do not allow anonymous enumeration of SAM accountsNetwork access: Do not allow anonymous enumeration of SAM accounts and shares 已啟用 GPO 。

    • no-restriction

      匿名使用者擁有完整存取權、可以使用列舉功能。如果符合下列兩項條件、就會看到這項限制:

      • Network access: Restrict anonymous access to Named Pipes and Shares GPO 已停用。

      • 兩者皆是 Network access: Do not allow anonymous enumeration of SAM accountsNetwork access: Do not allow anonymous enumeration of SAM accounts and shares GPO 已停用。

        • 受限群組

          您可以設定受限群組、集中管理內建或使用者定義群組的成員資格。透過群組原則套用受限群組時、CIFS伺服器本機群組的成員資格會自動設定為符合套用群組原則中定義的成員資格清單設定。

    使用設定 Restricted Groups GPO :

  • 集中存取原則設定

    指定集中存取原則清單。集中存取原則及相關的集中存取原則規則、決定SVM上多個檔案的存取權限。

相關資訊

在CIFS伺服器上啟用或停用GPO支援

使用動態存取控制(DAC)保護檔案存取

"SMB與NFS稽核與安全性追蹤"

修改CIFS伺服器Kerberos安全性設定

使用BranchCache快取分公司的SMB共用內容

使用SMB簽署來強化網路安全性

設定略過周遊檢查

設定匿名使用者的存取限制