Правильно установить разрешения для копии файлов групповой политики Windows?
Я установил групповую политику AD для копирования некоторых файлов ярлыков .LNK из общего сетевого ресурса на отдельные рабочие столы пользователей с настройкой групповой политики на уровне пользователя. Ошибки 0x80070005 создавались каждой копией, как видно в gpresult. Я провел исследование и предоставил аутентифицированным пользователям доступ только для чтения ко всей сетевой папке. Это заставило копию работать. Но оставлять это таким образом недопустимо, общий ресурс не должен быть доступен для чтения всем аутентифицированным пользователям. К чему я могу предоставить доступ только для чтения, чтобы это работало, но с правильной безопасностью? Я полагаю, что доменные компьютеры так же плохи?
Но оставлять это таким образом недопустимо, общий ресурс не должен быть доступен для чтения всем аутентифицированным пользователям.
Пользовательские политики более или менее выполняются в контексте пользователя с разрешениями пользователя. Пользователь должен уметь читать файлы, чтобы скопировать их. Поэтому я не верю, что то, о чем вы спрашиваете, возможно.
Может быть, вам стоит создать еще один общий ресурс, где можно будет хранить эти ярлыки? Или поместить их в sysvol / netlogon?
Или, если эти ярлыки добавляются только небольшому подмножеству пользователей, предоставить права на чтение для этого подмножества в общем ресурсе / файлах?
У вас должны быть некоторые аутентификации / ограничения для URL-адресов назначения .lnk или общих ресурсов. Таким образом, наличие доступа на чтение к общему ресурсу, содержащему только эти файлы .lnk, не имеет значения. Если общий ресурс содержит что-то еще, вы можете создать еще один общий ресурс.
Другой вариант - создать новую группу безопасности для всех пользователей, к которым применяется эта политика, и предоставить этой группе доступ только для чтения. Основная проблема с этим в больших средах заключается в том, что теперь вам нужно поддерживать как OU, так и группу безопасности.