Language:
CSE は、GPO 適用中にドメインマシン上で非常に高い特権を使用して実行されることが多いコンポーネントです。そのため、GPO に含まれているすべてのクライアント側拡張機能 (CSE) が健全で、信頼できるパーティから認定されていることを確認することが不可欠です。
また、何かを適用する前に、ドメインコンピューターが取得したすべてのGPOファイルが安全な場所にあったことを確認することも不可欠です。
危険と見なされる不明な CSE は、削除するか、リスクを受け入れる場合はホワイトリストに追加する必要があります。 GpcFileSysPath 属性は、SYSVOL 共有などの安全な場所を指している必要があります。
GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!
Sending GPOs Down the Wrong Track-Redirecting the GPT
グループポリシーオブジェクトに関するMicrosoftのオープン仕様
クライアント側拡張機能に関するMicrosoftのオープン仕様