按照此文档设置文件夹重定向:https://technet.microsoft.com/en-us/library/jj649078(v=ws.11).aspx
在下面步骤 3:为文件夹重定向创建 GPO它让我将“文件夹重定向用户”组添加到 GPO 的范围,但也让我删除并重新添加“经过身份验证的用户”组。
那么,既然我在该 GPO 的范围内有“经过身份验证的用户”组,这是否意味着它将影响其应用到的 OU 下的所有用户,而不仅仅是“文件夹重定向用户”组的成员?当您删除并重新添加“经过身份验证的用户”组时,您授予该组的权限是否可以防止这种情况发生?
答案1
So since I have the "Authenticated Users" group in the scope of this GPO does that mean it will hit ALL users under the OU it is applied to and not just members of the "Folder Redirection Users" group? Do the permissions it has you grant the "Authenticated Users" group when you delete and add it back prevent this from happening?
这是组策略安全更新的结果,详细信息请参见步骤 3 末尾列出的链接。这样,GPO 才能被相应的实体读取。GPO 将仅应用于安全过滤器中组中的用户。
答案2
您的困惑来自于阅读和应用策略之间的差异。根据该文档,只有“文件夹重定向用户”设置为应用策略,但任何用户都可以看到内容。
答案3
不。
单击“委派”选项卡,单击“添加”,键入“经过身份验证的用户”,单击“确定”,然后再次单击“确定”以接受默认的“读取”权限。
此步骤是必要的,因为MS16-072。
正如文章所解释的那样,只有读权限将应用于 GPO 对象,而不是 NTFS 文件夹。这意味着任何经过身份验证的用户都可以看到组策略。要应用该策略,您必须明确添加申请允许。
之所以存在这种情况,是因为上述安全变化,许多 GPO 现在只适用于用户和计算机对象都至少具有读权限。详细信息请参阅链接的安全公告。