У меня есть несколько объектов групповой политики для взаимодействия с пользователем (например: ярлыки как GPP в конфигурации пользователя), которые влияют на ряд подразделений и их пользователей. В настоящее время это один объект групповой политики на «элемент» (например, ярлык, файл) с фильтром безопасности, применяемым к объекту групповой политики, определяющему группу безопасности, но их количество растет.
Можно сказать, что некоторые файлы и ярлыки являются конфиденциальными по своей природе (не только содержимое, но и пути и имена), поэтому каковы были бы последствия для безопасности и производительности, если бы я объединил все применимые вещи в один объект групповой политики и использовал таргетинг на уровне элементов для безопасности пользователя группа вместо этого?
Если файлы / папки являются конфиденциальными, то доступ к ним должен быть ограничен на уровне файловой системы на файловом сервере, где размещены файлы / папки / все, что угодно, а не просто путем контроля того, у кого есть ярлык, а у кого нет.
При этом - я никогда не встречал, чтобы таргетинг на уровень элемента не давал сбоя при поиске группы или подобном. Я все равно не поверил бы, что это мой единственный набор правил ...
Не только должны быть установлены разрешения в файловой системе, но вам следует рассмотреть возможность установки RMS-части сервера Windows и защиты файлов с помощью управления правами.
Если пути и имена являются конфиденциальными, вы также должны включить перечисление на основе доступа для общих ресурсов, чтобы скрыть имена файлов.