Gestern veröffentlichte Microsoft Security Update MS16-072. Heute mehren sich die Probleme bei der Gruppenrichtlinienanwendung. Genauere Überprüfung des Problems ergab, dass unter bestimmten Umständen bei den Gruppenrichtlinien nicht mehr der Benutzer-Teil angewendet wird unter Windows 7, 8, 8.1 10, 2008, 2008 R2, 2012 und 2012 R2.
Was war passiert?
Microsoft änderte mit dem Security Update den Sicherheitskontext mit dem Benutzergruppenrichtlinien abgerufen werden was vor Sicherheitsproblemen schützen soll. Bevor MS16-072 installiert ist, wurden Benutzergruppenrichtlinien im Sicherheitskontext des Benutzers. Nach MS16-072 installiert ist, werden die Richtlinien unter Verwendung der Maschinen-Sicherheitskontext abgerufen.
Problematisch ist die, wenn die Gruppenrichtlinienobjekte die Leseberechtigungen für die authentifizierte Benutzer Gruppe fehlt oder wenn die Sicherheitsfilterung verwendet wird und Leseberechtigungen für die Domänen-Computer-Gruppe fehlen.
Was kann getan werden?
Um dieses Problem zu beheben die Group Policy Management Console (gpmc.msc) verwenden und folgen einen der folgenden Schritte durchführen:
- Die Gruppe Authentifizierte-Benutzer mit Leseberechtigungen der betroffenen Gruppenrichtlinienobjekte (GPO) hinzufügen.
- Bei Sicherheitsfilterung die Gruppe Domänen-Computer mit Leseberechtigung den betroffenen Gruppenrichtlinienobjekten hinzufügen.
Da dies bei einer Vielzahl von GPO`s aufwendig sein kann dies auch auch per Powershell erfolgen.
Kommentar schreiben