我有多个用于用户体验的 GPO(例如:用户配置中的 GPP 快捷方式),这会影响许多 OU 及其用户。目前每个“项目”(例如:快捷方式、文件)都有一个 GPO,并且将安全筛选器应用于定义安全组的 GPO,但数量正在增加。
可以说,某些文件和快捷方式本质上是敏感的(不仅仅是内容,还有路径和名称),那么如果我将所有适用的内容合并到单个 GPO 中,并在用户安全组上使用项目级定位,安全性和性能会有什么影响?
答案1
如果文件/文件夹是敏感的,那么应该在托管文件/文件夹/任何内容的文件服务器上的文件系统级别限制对它们的访问,而不仅仅是控制谁有快捷方式,谁没有。
话虽如此,我从未遇到过项目级别定位在组查找或类似操作中失败的情况。我仍然不相信这是我的单一策略集……
答案2
不仅应该在文件系统上设置权限,还应该考虑安装 Windows 服务器的 RMS 部分并使用权限管理保护文件。
如果路径和名称敏感,您还应该启用基于访问的共享枚举以隐藏文件名