配置中心访问策略以保护 CIFS 服务器上的数据

使用中心访问策略来保护 CIFS 服务器上的数据访问，您必须采取几个步骤，包括在 CIFS 服务器上启用动态访问控制（DAC），在 Active Directory 中配置中心访问策略，通过 GPO 将中心访问策略应用于 Active Directory 容器，以及在 CIFS 服务器上启用 GPO。

开始之前

Active Directory 必须配置为使用中心访问策略。
必须在 Active Directory 域控制器上具有足够的访问权限，以便创建中心访问策略，以及创建并应用 GPO 至包含 CIFS 服务器的容器。
必须拥有存储虚拟机（SVM）的足够管理访问权限，才能执行必要的命令。

关于本任务

中心访问策略将在 Active Directory 上指定并应用于组策略对象（GPO）。可咨询 Microsoft TechNet 库，以获得有关配置中心访问策略和 GPO 的说明。

Microsoft TechNet 库

如果未通过 vserver cifs options modify 命令启用动态访问控制，需在 SVM 上启用。
示例
vserver cifs options modify -vserver vs1 -is-dac-enabled true
如果未通过 vserver cifs group-policy modify 命令启用组策略对象（GPO），需在 CIFS 服务器上启用。
示例
vserver cifs group-policy modify -vserver vs1 -status enabled
在 Active Directory 上创建中心访问规则和中心访问策略。
创建组策略对象（GPO）以在 Active Directory 上部署中心访问策略。
将 GPO 应用于 CIFS 服务器计算机帐户所在的容器。
使用 vserver cifs group-policy update 命令手动更新应用于 CIFS 服务器的 GPO。
示例
vserver cifs group-policy update -vserver vs1

使用 vserver cifs group-policy show-applied 命令验证 GPO 中心访问策略是否已应用于 CIFS 服务器的资源。

示例

以下示例显示默认域策略有两个应用于 CIFS 服务器的中心访问策略：

vserver cifs group-policy show-applied

Vserver: vs1
-----------------------------
    GPO Name: Default Domain Policy
       Level: Domain
      Status: enabled
  Advanced Audit Settings:
      Object Access:
          Central Access Policy Staging: failure
  Registry Settings:
      Refresh Time Interval: 22
      Refresh Random Offset: 8
      Hash Publication Mode for BranchCache: per-share
      Hash Version Support for BranchCache: all-versions
  Security Settings:
      Event Audit and Event Log:
          Audit Logon Events: none
          Audit Object Access: success
          Log Retention Method: overwrite-as-needed
          Max Log Size: 16384
      File Security:
          /vol1/home
          /vol1/dir1
      Kerberos:
          Max Clock Skew: 5
          Max Ticket Age: 10
          Max Renew Age:  7
      Privilege Rights:
          Take Ownership: usr1, usr2
          Security Privilege: usr1, usr2
          Change Notify: usr1, usr2
      Registry Values:
          Signing Required: false
      Restrict Anonymous:
          No enumeration of SAM accounts: true
          No enumeration of SAM accounts and shares: false
          Restrict anonymous access to shares and named pipes: true
          Combined restriction for anonymous user: no-access
      Restricted Groups:
          gpr1
          gpr2
  Central Access Policy Settings:
      Policies: cap1
                cap2

    GPO Name: Resultant Set of Policy
       Level: RSOP
  Advanced Audit Settings:
      Object Access:
          Central Access Policy Staging: failure
  Registry Settings:
      Refresh Time Interval: 22
      Refresh Random Offset: 8
      Hash Publication Mode for BranchCache: per-share
      Hash Version Support for BranchCache: all-versions
  Security Settings:
      Event Audit and Event Log:
          Audit Logon Events: none
          Audit Object Access: success
          Log Retention Method: overwrite-as-needed
          Max Log Size: 16384
      File Security:
          /vol1/home
          /vol1/dir1
      Kerberos:
          Max Clock Skew: 5
          Max Ticket Age: 10
          Max Renew Age:  7
      Privilege Rights:
          Take Ownership: usr1, usr2
          Security Privilege: usr1, usr2
          Change Notify: usr1, usr2
      Registry Values:
          Signing Required: false
      Restrict Anonymous:
          No enumeration of SAM accounts: true
          No enumeration of SAM accounts and shares: false
          Restrict anonymous access to shares and named pipes: true
          Combined restriction for anonymous user: no-access
      Restricted Groups:
          gpr1
          gpr2
  Central Access Policy Settings:
      Policies: cap1
                cap2
2 entries were displayed.

提供反馈