KB3159398

[Leuchtkondom 17]

Hallo Leute,

 

wollte euch nur "Warnen". Mit Installation dieses Updates werden Netzlaufwerke per GPP nur noch teilweise gemappt (2 von 5 waren in unserer Umgebung vorhanden).

Die war nachstellbar, mit deinstallation des Updates war wieder alles in Ordnung.

 

Es wurden werden Eventlogs noch irgendetwas anderes geschrieben warum die anderen 3 nicht gemappt wurden / nicht gemappt werden konnten.

 

Betroffen war bei uns die gesamte TS Farm (2012 R2)

LG

[NorbertFe 2.027]

Kannst die Warnung aber auch einfach "lösen". ;)

https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms16-072-breaks-gp-processing-behavior/

 

Bye

Norbert

[niesfisch 10]

Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen.

 

https://social.technet.microsoft.com/Forums/en-US/e2ebead9-b30d-4789-a151-5c7783dbbe34/patch-tuesday-kb3159398?forum=winserverGP

[NorbertFe 2.027]

Nicht "wohl", sondern genau das ist die Designänderung.

https://support.microsoft.com/en-us/kb/3163622

MS16-072 changes the security context with which user group policies are retrieved. This by-design behavior change protects customers’ computers from a security vulnerability. Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the machines security context.

Bye

Norbert

[Palomino 0]

Hallo ich hoffe wir bekommen hier eine helfende Antwort.

 

Immer noch das Problem mit dem

KB3159398

Wir haben in den GPO´s -Delegierung- die "Authentifizierte Benutzer" Lesend hinzugefügt.

Trotz allem zünden die Richtlinien an den Clients nicht.

Unter anderem war untersagt, das die User USB Benutzen konnten oder das C: LW ansprechen konnten.

Nach dem KB und der Lösung geht es trotzdem nicht.

gpresult zeigt "Zugriff verweigert" an.

 

Wo liegt das Problem?

 

Schon im Voraus Danke

bearbeitet 12. Juli 2016 von Palomino

[NorbertFe 2.027]

Na nur nicht so ausführlich mit deiner Problembeschreibung. ;) Eventlogeinträge? Seit wann geht's nicht mehr? Wie sehen die Policies an sich aus? Funktionieren andere Policies usw. usf.

 

Bye

Norbert

[Palomino 0]

• Eventlogeinträge sind unkritisch
• Seit wann? seit der Bereitstellung im WSUS im Juni aufgefallen ist es uns aber erst seit knapp 10 Tagen, als User Dinge taten, die sie nicht durften
• Policies gingen vorher Reibungslos; das sind zu viele um sie alle aufzulisten. Bild lässt sich leider nicht einfügen.

  Da steht aber u.A. drinn

  "Alle Wechselmedienklassen: Jeglichen Zugriff verweigern"

  "Diskettenlaufwerke: Ausführungzugriff verweigern"

• gpresult brachte folgendes Ergebnis

Betriebssystem Microsoft ® Windows ® Gruppenrichtlinienergebnis-Tool v2.0

¸ 2016 Microsoft Corporation. All rights reserved.

 

Am 12.07.2016 um 15:34:08 erstellt

 

 

 

RSOP-Daten fr XXX\tln3 auf PCabc: Protokollmodus

--------------------------------------------------

 

Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe

Betriebssystemversion:       10.0.10586

Standortname:                Nicht zutreffend

Roamingprofil:\\xxxx\profiles\tln3.V5

Lokales Profil:              C:\Users\tln3

Langsame Verbindung?         Nein

 

 

BENUTZEREINSTELLUNGEN

----------------------

    CN=tln3,OU=Schulung,DC=xxx,DC=local

    Letzte Gruppenrichtlinienanwendung:   12.07.2016, um 15:31:18

    Gruppenrichtlinieanwendung von:       xxxx.yyyy.local

    Schwellenwert fr langsame Verbindung:500 kbps

    Dom„nenname:                          xxx

    Dom„nentyp:                           Windows 2008 oder h”her

    

    Angewendete Gruppenrichtlinienobjekte

    --------------------------------------

        Nicht zutreffend

 

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.

    ----------------------------------------------------------------------

        Default Domain Policy

            Filterung:  Verweigert (Sicherheit)

 

        Standardbenutzer

            Filterung:  Verweigert (Sicherheit)

 

        Richtlinien der lokalen Gruppe

            Filterung:  Nicht angewendet (Leer)

 

    Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen

    ----------------------------------------------------------

        Dom„nen-Benutzer

        Jeder

        Benutzer

        INTERAKTIV

        KONSOLENANMELDUNG

        Authentifizierte Benutzer

        Diese Organisation

        LOKAL

        Von der Authentifizierungsstelle best„tigte ID

        Teilnehmer

        Standardbenutzer

        Mittlere Verbindlichkeitsstufe

        

    Der Benutzer verfgt ber folgende Berechtigungen

    -------------------------------------------------

 

 

    Richtlinienergebnissatz fr Benutzer

    -------------------------------------

 

        Softwareinstallationen

        ----------------------

            Nicht zutreffend

 

        Anmeldeskripts

        --------------

            Nicht zutreffend

 

        Abmeldeskripts

        --------------

            Nicht zutreffend

 

        Richtlinien ”ffentlicher Schlssel

        ----------------------------------

            Nicht zutreffend

 

        Administrative Vorlagen

        -----------------------

            Nicht zutreffend

 

        Ordnerumleitung

        ---------------

            Nicht zutreffend

 

        Internet Explorer-Browserbenutzerschnittstelle

        ----------------------------------------------

            Nicht zutreffend

 

        Internet Explorer-Verbindung

        ----------------------------

            Nicht zutreffend

 

        Internet Explorer-URLs

        ----------------------

            Nicht zutreffend

 

        Internet Explorer-Sicherheit

        ----------------------------

            Nicht zutreffend

 

        Internet Explorer-Programme

        ---------------------------

            Nicht zutreffend

 

Nachbemerkung:

Wir hatten vorher Sicherheitsfilter. Die haben wir entsprechend den Hinweisen rausgehauen und bei allen GPO´s - Delegierung - Authentifizierte Benutzer - Lesen - hinzugefügt.

 

Ergebnis nichts geht mehr.

 

Hoffe das ist die Antwort? Sonst einfach nochmal sagen/fragen welche Antwort noch benötigt wird. thx

[NorbertFe 2.027]

Und wer darf die Policy dann übernehmen, wenn ihr die "rausgehauen" habt? Irgendwer muß die ja übernehmen sollen/dürfen.

[Sunny61 806]

Lesen heißt ja auch nur, die Auth. Benutzer dürfen sie lesen, nicht übernehmen. Das ist doch ein eigener Haken im Dialog.

Lies doch mal den Artikel ganz genau: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Und hier NUR die Screenshots: http://www.gruppenrichtlinien.de/artikel/statt-loopback-benutzer-richtlinien-auf-eine-gruppe-von-computern-filtern/ GPO lesen und übernehmen sind zwei von einander unabhängige Dinge.

bearbeitet 12. Juli 2016 von Sunny61

[Palomino 0]

Ah ja. So ähnlich dachte ich zwar auch, aber wie das so ist, bevor man richtig Schaden anrichtet und alles neu macht.

Werde es morgen ausprobieren.

Feedback folgt.

[NorbertFe 2.027]

Äh klar...

[Sunny61 806]

Ah ja. So ähnlich dachte ich zwar auch, aber wie das so ist, bevor man richtig Schaden anrichtet und alles neu macht.

Werde es morgen ausprobieren.

Feedback folgt.

Das hat man doch in 2 Minuten in einer Testumgebung getestet. TestOU und so weiter. Sollte man immer parat haben. ;)

[Palomino 0]

Danke für die Hinweise. Sie brachten zwar die Lösung nicht, jedoch half es beim Lokalisieren des Problems.

 

Wir haben es jetzt gelöst. Es lag am historisch gewachsenen "Active Directory Benutzer und Computer".

[NorbertFe 2.027]

Jaja so kann man sich seine Fehlkonfiguration auch "schönreden" ;)