Jump to content

Benutzerrichtlinien funktionieren nur noch mit "Authentifizierte BN"

Shemeneto

Von Shemeneto
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Shemeneto Rising Star

Shemeneto   11

Geschrieben
Geschrieben

Hallo,

 

folgendes Problem. Wir haben mehrere GPO´s die per "Sicherheitsfilterung" bestimmten Benutzergruppen zugewiesen sind (Die Standardgruppe "Authentifizierte BN" wurde entfernt". Dies funktionierte bisher auch reibungslos.

Seit kurzem funktionieren diese Richtlinien nicht mehr mit den zugewiesenen Gruppen sondern nur noch mit der Gruppe "Authentifizierte Benutzer".

Hat MS da irgendwas geändert?

 

Gruß,

Markus

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.969

Geschrieben
Geschrieben

Moin,

 

Ein alter Hut.

 

na, so alt ist der Hut nun auch wieder nicht, nur weil wir diese Antwort schon ein paarmal gegeben haben ... der Hut ist vielleicht eine nicht ganz neuwertige Kappe, aber alt, nein, das ist er nicht. ;)

 

Die Änderung, die Microsoft vorgenommen hat, ist schon fundamental, und daran gemessen, ist praktisch nichts geschehen, um das bekannt zu machen. Man hätte etwa mit dem Update ein Checkup-Tool mitliefern können, das Admins auf den Änderungsbedarf an konkreten GPOs aufmerksam macht. Hat man aber nicht.

 

Gruß, Nils

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.097

Geschrieben
Geschrieben

Da ist aber immer noch ein Unterschied. Wenns Dokumente und Tools gibt, bin im Zweifel ich "Schuld", weil ich mich nicht drum gekümmert hab. In dem Fall hat MS aber einfach tiefgreifende Änderungen vorgenommen, ohne Infos in die Welt zu schicken. Der KB Artikel und weiterführende Informationen kamen erst deutlich später. Und das ist dann nicht mehr "meine Schuld", weil ich gar keine Chance hatte mich vorab zu informieren.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.969

Geschrieben
Geschrieben

Moin,

 

Machen aber nur wenige...

 

... weil in einer kleineren Umgebung schlicht die Ressourcen dazu fehlen.

 

Und selbst wenn: Um die Fehler, die aus dem hier diskutierten Update entstehen, überhaupt zu bemerken, ist eine sehr umfangreiche Testumgebung nötig, in der dann sehr umfangreich getestet wird. In der Qualität treffe ich das i.d.R. nicht mal in Enterprise-Unternehmen an.

 

Gruß, Nils

Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben

Seit kurzem ...

 

Hallo Markus,

Der Patch erschien vor über 2 Monaten und offenbar wurden jetzt erst deine Systeme gepatcht. Wenn ihr nur wertlose, uninteressante Daten in der Domäne hostet, dann ist diese Verzögerung nicht OK, aber noch tolerierbar. Falls es aber bedeutende Werte gibt, sind mindestens 2 Monate Patch-Verzögerung gegenüber diesen Werten verantwortungslos.

 

Blub

Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben

Aktuell, zumindest monatlich, gepachte Umgebungen sind genauso essentiell, wie beispielsweise sichere Passwörter.

Wenn 2 Monate+x normal sein sollten, dann ist das ein Prozessproblem in dieser IT, kein technisches oder Kapazitätsproblem mehr.

Irgendwann kann man sich Security auch komplett sparen, wovon ich niemanden abhalten kann oder will. Aber auf Gefahren aufmerksam machen, das will ich schon,

 

Blub

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.969

Geschrieben
Geschrieben

Moin,

 

unbenommen.

 

Es spricht allerdings auch einiges dafür, Patches eben nicht flächendeckend "sofort" einzuspielen, sondern durchaus mehrere Wochen zu warten. Die letzten Jahre haben gezeigt, dass die Qualität der Updates leider nicht immer ausreicht, um sich auf ein reibungsloses Verfahren zu verlassen. Das Risiko, durch schnelles Patchen erst recht Probleme zu erzeugen, ist leider real.

 

Daher empfehle ich ebenfalls dringend, grundsätzlich "schnell" zu patchen, besonders bei zentralen und/oder sicherheitskritischen Systemen. Eine Wartezeit von mehreren Wochen kann ich aber eben aufgrund der Stabilitätsrisiken nicht als "unverantwortlich" bezeichnen.

 

Gruß, Nils

PS. abgesehen davon, ist es eine unbelegte Vermutung, dass der TO mehr als zwei Monate nicht gepatcht habe, nur weil er sich erst gestern hier gemeldet hat.

Link zu diesem Kommentar
Shemeneto Rising Star

Shemeneto   11

Geschrieben
  • Autor
Geschrieben

Hallo,

 

erstmal danke für die Antworten. Das habe ich mir schon so gedacht...

 

Zur anschließenden Diskussion:

Kann sein das es hier den ein oder anderen Admin gibt, der die notwendige Zeit hat, alle Updates, Software usw. ausgiebig und zeitnah zu testen um sie dann sofort bereitzustellen.

Leider gibt es aber auch Admins, die diese Zeit eben nicht immer zur Verfügung haben und es deshalb auch vorkommt, dass Updates eben später bereitgestellt werden. ;-)

 

Gruß,

Markus

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...