跳到主要内容

支持的 GPO

虽然不是所有的组策略对象(GPO)均适用于支持 CIFS 的存储虚拟机(SVM),但 SVM 可识别并处理相关 GPO 设置。

以下 GPO 目前在 SVM 上受支持:

  • 高级审核策略配置设置:

    对象访问:中心访问策略暂存

    指定需审核的中心访问策略(CAP)暂存事件类型,包括以下设置:

    • 不审核

    • 仅审核成功事件

    • 仅审核失败事件

    • 审核成功和失败事件

    如果设置了三个审核选项中的任何一个(仅审核成功事件、仅审核失败事件、审核成功和失败事件),则 ONTAP 将同时审核成功和失败事件。

    通过使用 Advanced Audit Policy Configuration/Audit Policies/Object Access GPO 中的 Audit Central Access Policy Staging 设置来完成设置。

    要使用高级审核策略配置的 GPO 设置,必须在要应用这些设置的支持 CIFS 的 SVM 上对审核进行配置。如果未在 SVM 上配置审核,则 GPO 设置将不会应用,并且将被丢弃。

  • 注册表设置:

    • 支持 CIFS 的 SVM 的组策略刷新时间间隔

      通过使用 Registry GPO 进行设置。

    • 组策略刷新随机偏移

      通过使用 Registry GPO 进行设置。

    • BranchCache 哈希出版物

      BranchCache 哈希出版物 GPO 对应于 BranchCache 运行模式。支持以下三种支持的运行模式:

      • 每个共享

      • 所有共享

      • 已禁用

      通过使用 Registry GPO 进行设置。

    • BranchCache 的哈希版本支持

      支持以下三种哈希版本设置:

      • BranchCache 版本 1

      • BranchCache 版本 2

      • BranchCache 版本 1 和 2

    通过使用 Registry GPO 进行设置。

    要使用 BranchCache 的 GPO 设置,必须在要应用这些设置的支持 CIFS 的 SVM 上对 BranchCache 进行配置。如果未在 SVM 上配置 BranchCache,则 GPO 设置将不会应用,并且将被丢弃。

  • 安全设置

    • 审核策略和事件日志

      • 审核登录事件

        指定要审核的登录事件类型,包括以下设置:

        • 不审核

        • 仅审核成功事件

        • 审核失败事件

        • 审核成功和失败事件

        通过使用 Local Policies/Audit Policy GPO 中的 Audit logon events 设置来完成设置。

        如果设置了三个审核选项中的任何一个(仅审核成功事件、仅审核失败事件、审核成功和失败事件),则 ONTAP 将同时审核成功和失败事件。

      • 审核对象访问

        指定要审核的对象访问类型,包括以下设置:

        • 不审核

        • 仅审核成功事件

        • 审核失败事件

        • 审核成功和失败事件

        通过使用 Local Policies/Audit Policy GPO 中的 Audit object access 设置来完成设置。

        如果设置了三个审核选项中的任何一个(仅审核成功事件、仅审核失败事件、审核成功和失败事件),则 ONTAP 将同时审核成功和失败事件。

      • 日志保留方法

        指定审核日志保留方法,包括以下设置:

        • 日志文件的大小超过日志最大大小时,将覆盖事件日志

        • 不覆盖事件日志(手动清除日志)

        通过使用 Event Log GPO 中的 Retention method for security log 设置来完成设置。

      • 日志最大大小

        指定审核日志的最大大小。

        通过使用 Event Log GPO 中的 Maximum security log size 设置来完成设置。

      要使用审核策略和事件日志的 GPO 设置,必须在要应用这些设置的支持 CIFS 的 SVM 上对审核进行配置。如果未在 SVM 上配置审核,则 GPO 设置将不会应用,并且将被丢弃。

    • 文件系统安全性

      指定文件安全性通过 GPO 应用到的文件或目录列表。

      通过使用 File System GPO 进行设置。

      配置文件系统安全性 GPO 的卷路径必须存在于 SVM 中。

    • Kerberos 策略

      • 最大时钟偏差

        指定计算机时钟同步的最大容差,以分钟为单位。

        通过使用 Account Policies/Kerberos Policy GPO 中的 Maximum tolerance for computer clock synchronization 设置来完成设置。

      • 凭单最大寿命

        指定用户凭单的最大生存期,以小时为单位。

        通过使用 Account Policies/Kerberos Policy GPO 中的 Maximum lifetime for user ticket 设置来完成设置。

      • 凭单最大续订时间

        指定用户凭单续订的最大生存期,以天为单位。

        通过使用 Account Policies/Kerberos Policy GPO 中的 Maximum lifetime for user ticket renewal 设置来完成设置。

    • 用户权限分配(特权)

      • 获得所有权

        指定有权获得任何可保护对象所有权的用户和组列表。

        通过使用 Local Policies/User Rights Assignment GPO 中的 Take ownership of files or other objects 设置来完成设置。

      • 安全权限

        指定可为单个资源(例如文件、文件夹和 Active Directory 对象)的对象访问指定审核选项的用户和组列表。

        通过使用 Local Policies/User Rights Assignment GPO 中的 Manage auditing and security log 设置来完成设置。

      • 更改通知权限(绕过遍历检查)

        指定即使在该用户和组可能对遍历目录没有权限的情况下仍能遍历目录树的用户和组列表。

        接收文件和目录更改通知的用户需要相同权限。通过使用 Local Policies/User Rights Assignment GPO 中的 Bypass traverse checking 设置来完成设置。

    • 注册表值

      • 需要签名的设置

        指定启用或禁用需要 SMB 签名。

        通过使用 Security Options GPO 中的 Microsoft network server: Digitally sign communications (always) 设置来完成设置。

    • 限制匿名

      指定对匿名用户的限制,包括以下三个 GPO 设置:

      • Security Account Manager(SAM)帐户没有枚举:

        此安全设置决定向匿名连接授予的对该计算机的其他权限。此选项如果处于已启用状态,则在 ONTAP 中显示为 no-enumeration

        通过使用 Local Policies/Security Options GPO 中的 Network access: Do not allow anonymous enumeration of SAM accounts 设置来完成设置。

      • SAM 帐户和共享没有枚举

        此安全设置决定是否允许 SAM 帐户和共享的匿名枚举。此选项如果处于已启用状态,则在 ONTAP 中显示为 no-enumeration

        通过使用 Local Policies/Security Options GPO 中的 Network access: Do not allow anonymous enumeration of SAM accounts and shares 设置来完成设置。

      • 限制对共享和命名管道的匿名访问

        此安全设置限制对共享和管道的匿名访问。此选项如果处于已启用状态,则在 ONTAP 中显示为 no-access

        通过使用 Local Policies/Security Options GPO 中的 Network access: Restrict anonymous access to Named Pipes and Shares 设置来完成设置。

      显示关于已定义和已应用的组策略信息时,Resultant restriction for anonymous user 输出字段会提供生成的三种用于限制匿名 GPO 设置的限制相关信息。可能产生的限制如下:

      • no-access

        拒绝匿名用户访问指定共享和命名管道,并且其无法使用 SAM 帐户和共享的枚举。如果启用 Network access: Restrict anonymous access to Named Pipes and Shares GPO,则将显示此产生的限制。

      • no-enumeration

        匿名用户可访问指定共享和命名管道,但无法使用 SAM 帐户和共享的枚举。同时满足以下条件时,将显示此产生的限制:

        • Network access: Restrict anonymous access to Named Pipes and Shares GPO 已禁用。

        • Network access: Do not allow anonymous enumeration of SAM accounts Network access: Do not allow anonymous enumeration of SAM accounts and shares GPO 已启用。

      • no-restriction

        匿名用户拥有完整访问权限,并可使用枚举。同时满足以下条件时,将显示此产生的限制:

        • Network access: Restrict anonymous access to Named Pipes and Shares GPO 已禁用。

        • Network access: Do not allow anonymous enumeration of SAM accountsNetwork access: Do not allow anonymous enumeration of SAM accounts and shares GPO 均已禁用。

    • 受限的组

      可配置受限的组,以集中管理内置组成员资格或用户定义的组成员资格。通过组策略应用受限的组时,将自动设置 CIFS 服务器本地组的成员资格,以匹配应用的组策略中定义的成员资格列表设置。

      通过使用 Restricted Groups GPO 进行设置。

  • 中心访问策略设置

    指定中心访问策略列表。中心访问策略和关联的中心访问策略规则决定对 SVM 上多个文件的访问权限。