我有多个GPO用户体验的东西(例如:用户configuration中的GPP快捷方式)影响一些OU和他们的用户。 目前,每个“项目”(例如:快捷方式,文件)都有一个GPO,其中一个安全筛选器应用于定义安全组的GPO,但是它们的数量正在不断增加。
可以这么说,一些文件和快捷方式本质上是敏感的(不仅仅是内容,还包括path和名称),那么如果我将所有适用的东西合并到一个GPO中,并且使用了用于用户安全性的项目级目标,那么安全和性能方面会产生什么样的影响组呢?
如果文件/文件夹是敏感的,那么他们应该被限制访问文件系统级别上的文件/文件夹/任何东西,而不是仅仅控制谁有快捷方式和谁没有。
这就是说 – 我从来没有遇到过物品等级定位失败的组查找或类似的地方。 我仍然不相信这是我的一套政策…
不仅应该在文件系统上设置权限,而且应该考虑安装Windows服务器的RMS部分并使用权限pipe理来保护文件。
如果path和名称是敏感的,您还应该在共享上启用基于访问的枚举来隐藏文件名