Proteger a pasta SYSVOL sem danificar a execução dos GPOs

-1

Desde que comecei a trabalhar com o Windows Server 2008, notei que a pasta SYSVOL C:\Windows\SYSVOL\sysvolé compartilhada e as permissões NTFS para o Authenticated Usersgrupo estão quase no máximo.

insira a descrição da imagem aqui

Embora eu saiba que essa pasta precisa ser compartilhada (e é compartilhada por padrão), tenho que protegê-la de alguma forma dos usuários comuns. Na semana passada, desliguei as permissões compartilhadas e interrompeu a execução do GPO. Ffs demorei um dia inteiro até perceber que, depois que removi o compartilhamento, os GPOs pararam de processar nas estações de trabalho clientes: S.

Então, como conceder as configurações mínimas de permissão nesta pasta para protegê-la dos usuários comuns, mas a execução dos GPOs não é interrompida?

windows-server-2008 group-policy sysvol Espírito
fonte
11
Então, do que você está "protegendo" a pasta sysvol? Com que vetor de ameaça preciso você está preocupado aqui? Pelo que vejo até agora, a maior ameaça são as pessoas alterando as configurações sem entender as implicações. Não brinque com a pasta SYSVOL, a menos que você queira que coisas ruins aconteçam.
Rob Moir
Eu tenho agora ... no entanto eu só não quero que ninguém, exceto os administradores em nossa empresa para ver a pasta SYSVOL ..
Espírito
11
porque? Você não deve armazenar nada confidencial lá. Se você possui, por exemplo, um script de logon que é entregue pelo GPO e inclui um nome de usuário e senha, pode ser possível restringir a exibição dessa pasta de políticas por meio de permissões especiais, mas seriamente não tocaria na própria pasta sysvol.
precisa

Respostas:

3

É óbvio que você está fora do seu elemento aqui (sem intenção de ofender), então minha sugestão é que você deixe o SYSVOL em paz, a menos que você:

A. permissões NTFS modificadas na pasta raiz antes da criação do SYSVOL

B. Moveu o SYSVOL para outro volume

c. Mucked com as permissões NTFS do SYSVOL

Nesse caso, você deve seguir este artigo:

http://technet.microsoft.com/en-us/library/cc816750(v=ws.10).aspx

joeqwerty
fonte
1

Não vejo Todo mundo listado na sua captura de tela lá ... os usuários autenticados estão bem, por padrão, eles precisam ter as permissões de leitura e execução e lista de conteúdo da pasta para poder aplicar o GPO. Até onde eu sei, não há como limitar isso, eles precisam lê-lo ou não podem aplicar GPOs.

John
fonte
Ah, sim ... deve ser Authenticated Users... Vou corect agora ...
Espírito
Então, acho que não há problema em ser assim ... Talvez eu possa protegê-lo ainda mais se eu definir o Hiddenatributo para a pasta SYSVOL?
Espírito
Sim, defini-lo como oculto impedirá que os usuários o vejam, desde que eles não tenham "mostrar arquivos ocultos" ativados.
John