Добрый день.
В этой папке хранится само содержимое объектов групповой политики, и реплицируется между всеми контроллерами в вашем домене.По best pratices конечно будет разумно ограничить чтение политик для прошедших проверку пользователей- такие разрешения выставлены
по умолчанию.
Приведу пример: вы настраиваете политики безопасности для группы серверов ( или DC). Читать и применять их должны контроллеры домена,System для репликации и Domain Admins для редактирования. А секретарь Маша их читать не должна, иначе, как вы справедливо заметили,
она абсолютно спокойно изучит содержимое доступных ей объектов политики, сделает выводы о ваших настройках, защите и о компетенции в целом.
Так что составьте список ГПО, по критерию - применяется для этих объектов, а вот остальным не нужно их читать, и все.
