Leuchtkondom 17 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Hallo Leute, wollte euch nur "Warnen". Mit Installation dieses Updates werden Netzlaufwerke per GPP nur noch teilweise gemappt (2 von 5 waren in unserer Umgebung vorhanden). Die war nachstellbar, mit deinstallation des Updates war wieder alles in Ordnung. Es wurden werden Eventlogs noch irgendetwas anderes geschrieben warum die anderen 3 nicht gemappt wurden / nicht gemappt werden konnten. Betroffen war bei uns die gesamte TS Farm (2012 R2) LG Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Kannst die Warnung aber auch einfach "lösen". ;) https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms16-072-breaks-gp-processing-behavior/ Bye Norbert Zitieren Link zu diesem Kommentar
niesfisch 10 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen. https://social.technet.microsoft.com/Forums/en-US/e2ebead9-b30d-4789-a151-5c7783dbbe34/patch-tuesday-kb3159398?forum=winserverGP Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Nicht "wohl", sondern genau das ist die Designänderung. https://support.microsoft.com/en-us/kb/3163622 MS16-072 changes the security context with which user group policies are retrieved. This by-design behavior change protects customers’ computers from a security vulnerability. Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the machines security context. Bye Norbert Zitieren Link zu diesem Kommentar
Palomino 0 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 (bearbeitet) Hallo ich hoffe wir bekommen hier eine helfende Antwort. Immer noch das Problem mit dem KB3159398 Wir haben in den GPO´s -Delegierung- die "Authentifizierte Benutzer" Lesend hinzugefügt. Trotz allem zünden die Richtlinien an den Clients nicht. Unter anderem war untersagt, das die User USB Benutzen konnten oder das C: LW ansprechen konnten. Nach dem KB und der Lösung geht es trotzdem nicht. gpresult zeigt "Zugriff verweigert" an. Wo liegt das Problem? Schon im Voraus Danke bearbeitet 12. Juli 2016 von Palomino Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 Na nur nicht so ausführlich mit deiner Problembeschreibung. ;) Eventlogeinträge? Seit wann geht's nicht mehr? Wie sehen die Policies an sich aus? Funktionieren andere Policies usw. usf. Bye Norbert Zitieren Link zu diesem Kommentar
Palomino 0 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 Eventlogeinträge sind unkritisch Seit wann? seit der Bereitstellung im WSUS im Juni aufgefallen ist es uns aber erst seit knapp 10 Tagen, als User Dinge taten, die sie nicht durften Policies gingen vorher Reibungslos; das sind zu viele um sie alle aufzulisten. Bild lässt sich leider nicht einfügen.Da steht aber u.A. drinn "Alle Wechselmedienklassen: Jeglichen Zugriff verweigern" "Diskettenlaufwerke: Ausführungzugriff verweigern" gpresult brachte folgendes Ergebnis Betriebssystem Microsoft ® Windows ® Gruppenrichtlinienergebnis-Tool v2.0 ¸ 2016 Microsoft Corporation. All rights reserved. Am 12.07.2016 um 15:34:08 erstellt RSOP-Daten fr XXX\tln3 auf PCabc: Protokollmodus -------------------------------------------------- Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe Betriebssystemversion: 10.0.10586 Standortname: Nicht zutreffend Roamingprofil:\\xxxx\profiles\tln3.V5 Lokales Profil: C:\Users\tln3 Langsame Verbindung? Nein BENUTZEREINSTELLUNGEN ---------------------- CN=tln3,OU=Schulung,DC=xxx,DC=local Letzte Gruppenrichtlinienanwendung: 12.07.2016, um 15:31:18 Gruppenrichtlinieanwendung von: xxxx.yyyy.local Schwellenwert fr langsame Verbindung:500 kbps Dom„nenname: xxx Dom„nentyp: Windows 2008 oder h”her Angewendete Gruppenrichtlinienobjekte -------------------------------------- Nicht zutreffend Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet. ---------------------------------------------------------------------- Default Domain Policy Filterung: Verweigert (Sicherheit) Standardbenutzer Filterung: Verweigert (Sicherheit) Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen ---------------------------------------------------------- Dom„nen-Benutzer Jeder Benutzer INTERAKTIV KONSOLENANMELDUNG Authentifizierte Benutzer Diese Organisation LOKAL Von der Authentifizierungsstelle best„tigte ID Teilnehmer Standardbenutzer Mittlere Verbindlichkeitsstufe Der Benutzer verfgt ber folgende Berechtigungen ------------------------------------------------- Richtlinienergebnissatz fr Benutzer ------------------------------------- Softwareinstallationen ---------------------- Nicht zutreffend Anmeldeskripts -------------- Nicht zutreffend Abmeldeskripts -------------- Nicht zutreffend Richtlinien ”ffentlicher Schlssel ---------------------------------- Nicht zutreffend Administrative Vorlagen ----------------------- Nicht zutreffend Ordnerumleitung --------------- Nicht zutreffend Internet Explorer-Browserbenutzerschnittstelle ---------------------------------------------- Nicht zutreffend Internet Explorer-Verbindung ---------------------------- Nicht zutreffend Internet Explorer-URLs ---------------------- Nicht zutreffend Internet Explorer-Sicherheit ---------------------------- Nicht zutreffend Internet Explorer-Programme --------------------------- Nicht zutreffend Nachbemerkung: Wir hatten vorher Sicherheitsfilter. Die haben wir entsprechend den Hinweisen rausgehauen und bei allen GPO´s - Delegierung - Authentifizierte Benutzer - Lesen - hinzugefügt. Ergebnis nichts geht mehr. Hoffe das ist die Antwort? Sonst einfach nochmal sagen/fragen welche Antwort noch benötigt wird. thx Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 Und wer darf die Policy dann übernehmen, wenn ihr die "rausgehauen" habt? Irgendwer muß die ja übernehmen sollen/dürfen. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 (bearbeitet) Lesen heißt ja auch nur, die Auth. Benutzer dürfen sie lesen, nicht übernehmen. Das ist doch ein eigener Haken im Dialog. Lies doch mal den Artikel ganz genau: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Und hier NUR die Screenshots: http://www.gruppenrichtlinien.de/artikel/statt-loopback-benutzer-richtlinien-auf-eine-gruppe-von-computern-filtern/ GPO lesen und übernehmen sind zwei von einander unabhängige Dinge. bearbeitet 12. Juli 2016 von Sunny61 Zitieren Link zu diesem Kommentar
Palomino 0 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 Ah ja. So ähnlich dachte ich zwar auch, aber wie das so ist, bevor man richtig Schaden anrichtet und alles neu macht. Werde es morgen ausprobieren. Feedback folgt. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 Äh klar... Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 Ah ja. So ähnlich dachte ich zwar auch, aber wie das so ist, bevor man richtig Schaden anrichtet und alles neu macht. Werde es morgen ausprobieren. Feedback folgt. Das hat man doch in 2 Minuten in einer Testumgebung getestet. TestOU und so weiter. Sollte man immer parat haben. ;) Zitieren Link zu diesem Kommentar
Palomino 0 Geschrieben 14. Juli 2016 Melden Teilen Geschrieben 14. Juli 2016 Danke für die Hinweise. Sie brachten zwar die Lösung nicht, jedoch half es beim Lokalisieren des Problems. Wir haben es jetzt gelöst. Es lag am historisch gewachsenen "Active Directory Benutzer und Computer". Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Juli 2016 Melden Teilen Geschrieben 14. Juli 2016 Jaja so kann man sich seine Fehlkonfiguration auch "schönreden" ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.