Защитите папку SYSVOL, не повреждая выполнение объектов групповой политики
С тех пор, как я начал работать с Windows Server 2008, я заметил, что папка SYSVOL C:\Windows\SYSVOL\sysvol является общим и разрешения NTFS для Authenticated Users группа почти максимизирована.
Хотя я знаю, что эта папка должна быть общей (и она по умолчанию доступна), я должен как-то защитить ее от обычных пользователей. На прошлой неделе я отключил общие разрешения, и это прервало выполнение объекта групповой политики. Если мне потребовался целый день, пока я не понял, что после удаления общего доступа объекты групповой политики прекратили обработку на клиентских рабочих станциях:S.
Итак, как задать минимальные параметры разрешений для этой папки, чтобы она была защищена от обычных пользователей, но выполнение объектов групповой политики не прерывалось?
2 ответа
Очевидно, что вы находитесь вне своего элемента здесь (без обид), поэтому я предлагаю вам оставить SYSVOL в покое, если только вы:
A. Измененные разрешения NTFS для корневой папки до создания SYSVOL
B. Перемещен SYSVOL в другой том
с. Взломанный с разрешениями NTFS SYSVOL
В этом случае вы должны следовать этой статье:
http://technet.microsoft.com/en-us/library/cc816750(v=ws.10).aspx
Я не вижу там всех, перечисленных на вашем скриншоте... прошедшие проверку пользователи в порядке, они по умолчанию должны иметь разрешения на чтение и выполнение и перечислять содержимое папки, чтобы иметь возможность применять объект групповой политики. Насколько я знаю, нет способа ограничить это, они должны быть в состоянии прочитать это, или они не смогут применять объекты групповой политики.