Eu tenho vários GPOs para o material da Experiência do usuário (por exemplo: Atalhos como GPP na Configuração do usuário) que afeta várias UOs e seus usuários. Atualmente, é um GPO por 'item' (por exemplo: atalho, arquivo) com um Filtro de segurança aplicado ao GPO que define um grupo de segurança, mas há um número crescente deles.
Pode-se dizer que alguns arquivos e atalhos são de natureza sensível (não apenas conteúdo, mas caminhos e nomes). Quais seriam as implicações de segurança e desempenho se eu mesclasse todas as coisas aplicáveis em um único GPO e usasse a segmentação no nível do item no grupo de segurança do usuário?
Se os arquivos / pastas forem sensíveis, eles devem ter acesso restrito no nível do sistema de arquivos no servidor de arquivos, onde os arquivos / pastas / o que estiver hospedado, não apenas controlando quem tem o atalho e quem não tem.
Dito isto, nunca encontrei onde a segmentação por nível de item falhou em pesquisas de grupo ou semelhantes. Eu ainda não confiaria em ser meu único conjunto de políticas ...
As permissões não devem apenas ser definidas no sistema de arquivos, mas você deve considerar a instalação da parte do RMS do Windows Server e a proteção dos arquivos com o gerenciamento de direitos.
Se os caminhos e nomes forem sensíveis, você também deve habilitar a enumeração baseada em acesso nos compartilhamentos para ocultar os nomes dos arquivos