エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

サポートされるGPO

すべてのグループ ポリシー オブジェクト(GPO)をCIFS対応のStorage Virtual Machine(SVM)に適用できるわけではありませんが、SVMでは関連するGPOを認識して処理することができます。

SVMで現在サポートされているGPOは次のとおりです。

  • 高度な監査ポリシー構成の設定:

    オブジェクト アクセス集約型アクセス ポリシーのステージング

    集約型アクセス ポリシー(CAP)のステージングで監査対象となるイベント タイプを次の中から指定します。

    • 監査しない

    • 成功イベントのみ監査

    • 失敗イベントのみ監査

    • 成功イベントと失敗イベントの両方を監査

      3つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、ONTAPは成功イベントと失敗イベントの両方を監査します。

      Advanced Audit Policy Configuration/Audit Policies/Object Access GPO内の Audit Central Access Policy Staging 設定を使用して設定します。

      高度な監査ポリシー構成GPO設定を使用するには、その設定を適用するCIFS対応のSVM上で監査を構成する必要があります。SVMで監査が構成されていない場合、GPO設定は適用されず、破棄されます。

  • レジストリー設定:

    • CIFS対応のSVMのグループ ポリシーの更新間隔

      Registry GPOを使用して設定します。

    • グループ ポリシーの更新間隔のランダム オフセット

      Registry GPOを使用して設定します。

    • BranchCacheのハッシュの発行

      BranchCacheのハッシュの発行GPOは、BranchCacheの動作モードに対応します。次の3つの動作モードがサポートされています。

      • Per-share

      • All-shares

      • Disabled Registry GPOを使用して設定します。

    • BranchCacheのハッシュ バージョン サポート

      次の3つのハッシュ バージョン設定がサポートされています。

      • BranchCacheバージョン1

      • BranchCacheバージョン2

      • BranchCacheバージョン1および2 Registry GPOを使用して設定します。

    BranchCache GPO設定を使用するには、その設定を適用するCIFS対応のSVM上でBranchCacheを構成する必要があります。SVMでBranchCacheが構成されていない場合、GPO設定は適用されず、破棄されます。

  • セキュリティ設定

    • 監査ポリシーおよびイベント ログ

      • ログオン イベントの監査

        監査対象となるログオン イベントのタイプを次の中から指定します。

        • 監査しない

        • 成功イベントのみ監査

        • 失敗イベントの監査

        • 成功イベントと失敗イベントの両方を監査 Local Policies/Audit Policy GPO内の Audit logon events 設定を使用して設定します。

        3つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、ONTAPは成功イベントと失敗イベントの両方を監査します。

      • オブジェクトへのアクセスの監査

        監査対象となるオブジェクト アクセスのタイプを次の中から指定します。

        • 監査しない

        • 成功イベントのみ監査

        • 失敗イベントの監査

        • 成功イベントと失敗イベントの両方を監査 Local Policies/Audit Policy GPO内の Audit object access 設定を使用して設定します。

        3つの監査オプション(成功イベントのみ監査、失敗イベントのみ監査、成功イベントと失敗イベントの両方を監査)のいずれかが設定されている場合、ONTAPは成功イベントと失敗イベントの両方を監査します。

      • ログの保持方法

        監査ログの保持方法を次の中から指定します。

        • ログ ファイルのサイズが最大ログ サイズを超えた場合、イベント ログを上書き

        • イベント ログを上書きしない(手動でログを消去) Event Log GPO内の Retention method for security log 設定を使用して設定します。

      • 最大ログ サイズ

        監査ログの最大サイズを指定します。

        Event Log GPO内の Maximum security log size 設定を使用して設定します。

      監査ポリシーとイベント ログGPO設定を使用するには、その設定を適用するCIFS対応のSVM上で監査を構成する必要があります。SVMで監査が構成されていない場合、GPO設定は適用されず、破棄されます。

    • ファイルシステムのセキュリティ

      GPOでファイル セキュリティを適用するファイルまたはディレクトリーのリストを指定します。

      File System GPOを使用して設定します。

      SVM内にファイルシステム セキュリティGPOを構成するボリューム パスが存在している必要があります。

    • Kerberosポリシー

      • 最大クロック スキュー

        コンピューター クロックの同期の許容最大誤差を分単位で指定します。

        Account Policies/Kerberos Policy GPO内の Maximum tolerance for computer clock synchronization 設定を使用して設定します。

      • チケットの有効期間

        ユーザー チケットの最大有効期間を時間単位で指定します。

        Account Policies/Kerberos Policy GPO内の Maximum lifetime for user ticket 設定を使用して設定します。

      • チケットの更新の有効期間

        ユーザー チケットの更新の最大有効期間を日単位で指定します。

        Account Policies/Kerberos Policy GPO内の Maximum lifetime for user ticket renewal 設定を使用して設定します。

    • ユーザー権限割り当て(特権)

      • 所有権の取得

        セキュリティ保護が可能なオブジェクトの所有権を取得できるユーザーとグループのリストを指定します。

        Local Policies/User Rights Assignment GPO内の Take ownership of files or other objects 設定を使用して設定します。

      • セキュリティ権限

        ファイル、フォルダー、Active Directoryオブジェクトなどの個々のリソースへのオブジェクト アクセスの監査オプションを指定できるユーザーとグループのリストを指定します。

        Local Policies/User Rights Assignment GPO内の Manage auditing and security log 設定を使用して設定します。

      • 変更通知権限(トラバース チェックのバイパス)

        トラバースするディレクトリーに対する権限がなくても、ディレクトリー ツリーをトラバースできるユーザーとグループのリストを指定します。

        ファイルやディレクトリーへの変更通知を受け取るユーザーにも同じ権限が必要です。Local Policies/User Rights Assignment GPO内の Bypass traverse checking 設定を使用して設定します。

    • レジストリー値

      • 署名要求設定

        SMB署名要求を有効にするか無効にするかを指定します。

        Security Options GPO内の Microsoft network server: Digitally sign communications (always) 設定を使用して設定します。

    • 匿名の制限

      匿名ユーザーに対する制限を、次の3つのGPO設定で指定します。

      • Security Account Manager(SAM)アカウントを列挙しない:

        コンピューターへの匿名接続に対して追加で付与される権限を決定します。このオプションが有効な場合、ONTAPでは no-enumeration と表示されます。

        Local Policies/Security Options GPO内の Network access: Do not allow anonymous enumeration of SAM accounts 設定を使用して設定します。

      • SAMアカウントと共有を列挙しない

        匿名によるSAMアカウントと共有の列挙を許可するかを決定します。このオプションが有効な場合、ONTAPでは no-enumeration と表示されます。

        Local Policies/Security Options GPO内の Network access: Do not allow anonymous enumeration of SAM accounts and shares 設定を使用して設定します。

      • 共有と名前付きパイプへの匿名アクセスを制限

        共有とパイプへの匿名アクセスを制限します。このオプションが有効な場合、ONTAPでは no-access と表示されます。

        Local Policies/Security Options GPO内の Network access: Restrict anonymous access to Named Pipes and Shares 設定を使用して設定します。

    定義されて適用されているグループ ポリシーについての情報を表示した場合、Resultant restriction for anonymous user 出力フィールドに上記3つの匿名制限GPO設定によって適用される制限内容が表示されます。表示される可能性がある制限は次のとおりです。

    • no-access

      匿名ユーザーは、指定された共有と名前付きパイプへのアクセスを拒否され、SAMアカウントと共有を列挙できません。この制限は、Network access: Restrict anonymous access to Named Pipes and Shares GPOが有効な場合に表示されます。

    • no-enumeration

      匿名ユーザーは、指定された共有と名前付きパイプにアクセスできますが、SAMアカウントと共有は列挙できません。この制限は、次の両方の条件に該当する場合に表示されます。

      • Network access: Restrict anonymous access to Named Pipes and Shares GPOが無効。

      • Network access: Do not allow anonymous enumeration of SAM accounts GPOまたは Network access: Do not allow anonymous enumeration of SAM accounts and shares GPOが有効。

    • no-restriction

      匿名ユーザーにはフル アクセスが付与され、列挙できます。この制限は、次の両方の条件に該当する場合に表示されます。

      • Network access: Restrict anonymous access to Named Pipes and Shares GPOが無効。

      • Network access: Do not allow anonymous enumeration of SAM accounts GPOと Network access: Do not allow anonymous enumeration of SAM accounts and shares GPOの両方が無効。

        • 制限されたグループ

          制限されたグループを設定して、組み込みグループやユーザー定義グループのメンバーを集中管理することができます。グループ ポリシーを通して制限されたグループを適用する場合、CIFSサーバー ローカル グループのメンバーは、適用されるグループ ポリシーで定義されているメンバー リスト設定に一致するように自動的に設定されます。

          Restricted Groups GPOを使用して設定します。

  • 集約型アクセス ポリシーの設定

    集約型アクセス ポリシーのリストを示します。集約型アクセス ポリシーと関連付けられた集約型アクセス ポリシー ルールによって、SVM上の複数のファイルに対するアクセス権が決定されます。

Top of Page