Patch Tuesday – KB3159398 breaks User Group Policy

Am letzten Patchday, den 14.06.2016 sind diverse Security Update veröffentlicht worden. Darunter das Update KB3163622 welches das GPO Security Update KB3159398 enthält. Das Update KB3159398 ändert die Rechte die benötigt werden um User GPOs mit Sicherheitsfilter anzuwenden. Ohne manuelle nacharbeit, werden diese GPOs nicht mehr angewendet! Dies äußert sich typischerweise in nicht vorhandenen Netzlaufwerken, fehlenden Druckern und nicht mehr geltenden Einschränkungen. 

Dieses Verhalten wird von Microsoft in folgenden Artikeln beschrieben:
https://support.microsoft.com/en-us/kb/3163622
https://support.microsoft.com/en-us/kb/3159398
Z
usätzlich gibt es im Technet Forum eine lebhafte Diskussion:
https://social.technet.microsoft.com/Forums/en-US/e2ebead9-b30d-4789-a151-5c7783dbbe34/patch-tuesday-kb3159398?forum=winserverGP
Dort wird immer wieder empfohlen das Sicherheitsupdate einfach zu deinstallieren, das ist aber keine Lösung und ich rate davon auf jeden Fall ab.

Zitat: 
MS16-072 changes the security context with which user group policies are retrieved. This by-design behavior change protects customers’ computers from a security vulnerability. […] After MS16-072 is installed, user group policies are retrieved by using the machines security context.

Betroffene Richtlinien:
Group Policy Objects sind nur nur dann betroffen, wenn sie mit einer Users OU verknüpft sind und die Sicherheitsfilterung sich ausschließlich auf die Benutzerobjekte und nicht auf die Computerobjekte bezieht.

Lösung:

Entweder Lösung 1 oder 2, nicht beiden auf einmal.

  1. Authentifizierte Benutzer mit Lese-Berechtigung dem Group Policy hinzufügen.
    2016-06-17 13_56_37-ASGRD2015 - ASG-RemoteDesktop 2015
  2. Bei der Sicherheitsfilterung die Domänencomputer mit Lese-Berechtigung hinzufügen.

Bei uns hat das allerdings nicht gereicht. Nach dem setzten der Lese-Berechtigung zeigte zwar ein “gpresult -h 1.html” wieder alles richtig an, funktioniert hat aber trotzdem nichts. Wir mussten die User erst aus der Sicherheitsgruppe entfernen, rebooten, User wieder hinzufügen, rebooten und danach waren alle Einstellungen wie vorher. Danke Microsoft! <3

EDIT: Ein seht guter Artikel dazu, der das ganze noch besser beschreibt: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Author: Marco

Gelernter Fachinformatiker für Systemintegration (2010) CCA für XenServer 5.0 (2009) CCA für XenApp 5.0 (2011) CCA für XenApp 6.5 (2013) CCAA für XenApp 6.5 (2013) CCA für XenDesktop 5 (2013) Dell Wyse ThinOS Select Techniker (2011) Igel Authorized Partner (2009-2014) Intensivkurs “Group Policy Administration” Windows 7, 8.x sowie Windows Server 2008-R2 / 2012-R2 bei NT Systems, Dipl.-Ing. T. Pham (2014) Zu Gast auf der E2EVC Virtualization Conference in Berlin (2015) Zu Gast auf der Citrix Technology Exchange in Berlin (2016) Citrix Certified Associate – Networking (CCA – N) (2016) Citrix Certified Professional – Networking (CCP – N) (2017)

One thought on “Patch Tuesday – KB3159398 breaks User Group Policy”

Leave a Reply

Your email address will not be published. Required fields are marked *