Bents Blog

 

Ein IT Blog mit Themen aus dem Windows Server Umfeld.

Änderung der Abarbeitung von Gruppenrichtlinien nach Patch MS16-072 (KB3163622)

Auf  Grund eines Hinweises eines treuen und netten Lesers, will ich kurz auf ein ziemlich brisantes Problem hinweisen, welches seit dem letzten Microsoft-Patch-Day vom 14. Juni 2016 für einige Domänenadministratoren interessant sein dürfte. Mit dem Patch MS16-072 (KB3163622) hat Microsoft den Prozess der Anwendung von Gruppenrichtlinien massiv verändert.

Problem

Typischerweise hat man bisher bei Gruppenrichtlinien (GPOs), die nicht auf die standardmäßige Gruppe Authentifizierte Benutzer (also Domänen-Benutzer und Domänen-Computer) angewendet werden sollten, diese Gruppe aus der Filterung entfernt und durch eigene Sicherheitsgruppen ersetzt und somit deren Wirkungsbereich eingerenzt bzw. beschränkt.

Standard-Sicherheitsfilterung einer GPO

Dies gilt nur für den Benutzer-abhängigen Teil einer Gruppenrichtlinie. Nach der Installation des oben genannten Patches werden diese Einstellungen nicht mehr angewendet. Microsoft selbst erklärt in seinem KB-Artikel, dass der Patch zur Erhöhung der Sicherheit dient, da nun die Gruppenrichtlinien nicht mehr im Kontext des jeweils angemeldeten Benutzers angewendet werden, sondern im Sicherheitskontext des Computers auf dem sich der betreffende Benutzer anmeldet.

Lösung

Um die Ausführung der betroffenen Richtlinien wieder herzustellen, müssen lediglich folgende Berechtigungen korrigiert werden. Im Bereich der Delegierung muss für die entsprechende Gruppenrichtlinie die Gruppe der Authentifizierten Benutzer (oder Domänen-Computer) mit der zulässigen Berechtigung Lesen hinzugefügt werden. Im Anschluss funktionieren die GPOs wieder wie gewohnt.

GPO-Delegation

Mit dem folgenden PowerShell-Skript GPO-Check.ps1 lässt sich einfach testen, welche der GPOs in einer Domäne von dem Problem betroffen sind. Das Skript sollte im Kontext eines Domänen-Admins ausgeführt werden. Es listet alle existierenden GPOs auf und warnt (durch rote bzw. gelbe Markierungen) bei Änderungsbedarf.

Fazit

Dank des Hinweises von Andreas war das Problem schnell gelöst. Für weitere Einstellungen (wie bspw. die zukünftige automatische Vorlage bei neu erstellten Gruppenrichtlinien) beschreibt Mark Heitbrink in seinem Artikel zum Thema.

Wie bei allen meinen Beiträgen gilt: Bei Tipps, Vorschlägen sowie Fragen oder Kritiken hinterlasst bitte einen Kommentar.

Einen Blog am Leben zu erhalten kostet Zeit und Geld. Da ich auf meiner Seite weder Werbung einbinde, noch andersweitige Zuwendungen erhalte, freue ich mich über jede kleine Spende. Einfach und unkompliziert geht das über PayPalMe. Du unterstützt damit diesen Blog. Vielen Dank.