我设置了 AD 组策略,使用用户级组策略设置将一些 .LNK 快捷方式文件从网络共享复制到用户的个人桌面。每次复制都会产生错误 0x80070005,如 gpresult 中所示。我进行了研究,并向经过身份验证的用户授予了整个网络共享的只读访问权限。这使得复制成功。但不能这样,共享不应该被所有经过身份验证的用户读取。我应该将只读访问权限授予什么,这样才能正常工作,但安全性又正确?我想域计算机也一样糟糕?
答案1
但这样是不可接受的,该共享不应该被所有经过身份验证的用户读取。
用户策略或多或少在具有用户权限的用户上下文中运行。用户必须能够读取文件才能复制它们。所以我认为你的要求是不可能的。
也许您应该创建另一个共享来存储这些快捷方式?或者将它们放在 sysvol/netlogon 上?
或者,如果这些快捷方式仅被添加到一小部分用户,那么是否授予该子集对共享/文件的读取权限?
答案2
您应该对 .lnk 目标 URL 或共享进行一些身份验证/限制。这样,仅对包含这些 .lnk 文件的共享拥有读取权限就无关紧要了。如果共享包含其他内容,您可以创建另一个共享。
另一个选项是为所有应用此策略的用户创建一个新的安全组,并授予该组只读访问权限。在大型环境中,这样做的主要问题是现在您需要同时维护 OU 和安全组。