自从我开始使用 Windows Server 2008 以来,我注意到 SYSVOL 文件夹C:\Windows\SYSVOL\sysvol是共享的,并且该组的 NTFS 权限Authenticated Users几乎已达到最大值。
尽管我知道这个文件夹必须共享(默认情况下是共享的),但我必须以某种方式保护它不被日常用户访问。上周我关闭了共享权限,这中断了 GPO 的执行。天啊,我花了一整天才意识到,在我删除共享后,GPO 在客户端工作站上停止了处理 :S。
那么,如何对此文件夹提供最低权限设置,以便保护它免受日常用户的攻击,但又不会中断 GPO 的执行?
答案1
很明显,你在这里不擅长处理这件事(无意冒犯),所以我的建议是,不要管 SYSVOL,除非你:
A. 在创建 SYSVOL 之前修改根文件夹的 NTFS 权限
B. 将 SYSVOL 移动到另一个卷
c. 破坏 SYSVOL 的 NTFS 权限
在这种情况下,您应该遵循这篇文章:
http://technet.microsoft.com/en-us/library/cc816750(v=ws.10).aspx
答案2
我没有在您的屏幕截图中看到“所有人”列表...经过身份验证的用户没问题,默认情况下,他们必须具有读取和执行以及列出文件夹内容的权限才能应用 GPO。据我所知,没有办法限制这一点,他们必须能够读取它,否则他们将无法应用 GPO。