Skip to content

Windows-Update kann Gruppenrichtlinien beeinträchtigen

by Nils Kaczenski on Juni 16th, 2016

Ein aktuelles Windows-Update vom Juni 2016 kann in manchen Umgebungen dazu führen, dass Gruppenrichtlinien über Active Directory nicht mehr richtig abgearbeitet werden.

Der Patch MS16-072 (https://support.microsoft.com/en-us/kb/3163622) ändert die Anwendungslogik von Gruppenrichtlinien erheblich. Bisher wurden Gruppenrichtlinien für die User-Umgebung im Kontext des angemeldeten Benutzers heruntergeladen. Nach dem Patch geschieht der Download im Kontext des Computers.

In den meisten Umgebungen ist das kein Problem. Schwierig wird es aber, wenn für einzelne Gruppenrichtlinien (manuell) die Berechtigungen geändert wurden. In solchen Situationen werden die betreffenden Richtlinien oft nicht mehr angewendet. Hierfür gibt es im Wesentlichen zwei Lösungsansätze: 1. die Gruppe „Domain Computers“ zum Lesen berechtigen oder 2. die Gruppe „Authenticated Users“ zum Lesen berechtigen. Wichtig hierbei: Nur „Lesen“, nicht „Lesen und anwenden“. Ein Skript in dem ersten unten verlinkten Artikel kann dabei helfen.

Es handelt sich dabei nicht um einen Fehler im Update, sondern die Änderung ist „by design“. Es ist also nicht damit zu rechnen, dass der Patch von Microsoft nachträglich verändert wird.

Näheres hierzu:

[New Group Policy Patch MS16-072- GP Processing Behavior – Group Policy Software – SDM Software | Configuration Experts]
https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms16-072-breaks-gp-processing-behavior/

[Windows-GPO-Update KB3159398 macht Probleme | Borns IT- und Windows-Blog]
http://www.borncity.com/blog/2016/06/16/windows-gpo-update-kb3159398-macht-probleme/comment-page-1/

 

From → Microsoft, Sicherheit

Comments are closed.