Patch Tuesday – KB3159398 breaks User Group Policy

Am letzten Patchday, den 14.06.2016 sind diverse Security Update veröffentlicht worden. Darunter das Update KB3163622 welches das GPO Security Update KB3159398 enthält. Das Update KB3159398 ändert die Rechte die benötigt werden um User GPOs mit Sicherheitsfilter anzuwenden. Ohne manuelle nacharbeit, werden diese GPOs nicht mehr angewendet! Dies äußert sich typischerweise in nicht vorhandenen Netzlaufwerken, fehlenden Druckern und nicht mehr geltenden Einschränkungen. 

Dieses Verhalten wird von Microsoft in folgenden Artikeln beschrieben:
https://support.microsoft.com/en-us/kb/3163622
https://support.microsoft.com/en-us/kb/3159398
Z
usätzlich gibt es im Technet Forum eine lebhafte Diskussion:
https://social.technet.microsoft.com/Forums/en-US/e2ebead9-b30d-4789-a151-5c7783dbbe34/patch-tuesday-kb3159398?forum=winserverGP
Dort wird immer wieder empfohlen das Sicherheitsupdate einfach zu deinstallieren, das ist aber keine Lösung und ich rate davon auf jeden Fall ab.

Zitat: 
MS16-072 changes the security context with which user group policies are retrieved. This by-design behavior change protects customers’ computers from a security vulnerability. […] After MS16-072 is installed, user group policies are retrieved by using the machines security context.

Betroffene Richtlinien:
Group Policy Objects sind nur nur dann betroffen, wenn sie mit einer Users OU verknüpft sind und die Sicherheitsfilterung sich ausschließlich auf die Benutzerobjekte und nicht auf die Computerobjekte bezieht.

Lösung:

Entweder Lösung 1 oder 2, nicht beiden auf einmal.

  1. Authentifizierte Benutzer mit Lese-Berechtigung dem Group Policy hinzufügen.
    2016-06-17 13_56_37-ASGRD2015 - ASG-RemoteDesktop 2015
  2. Bei der Sicherheitsfilterung die Domänencomputer mit Lese-Berechtigung hinzufügen.

Bei uns hat das allerdings nicht gereicht. Nach dem setzten der Lese-Berechtigung zeigte zwar ein “gpresult -h 1.html” wieder alles richtig an, funktioniert hat aber trotzdem nichts. Wir mussten die User erst aus der Sicherheitsgruppe entfernen, rebooten, User wieder hinzufügen, rebooten und danach waren alle Einstellungen wie vorher. Danke Microsoft! <3

EDIT: Ein seht guter Artikel dazu, der das ganze noch besser beschreibt: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Author: Marco

Marco is an IT-System administrator and IT-Consultant with 10+ years experience. He is specialized in the delivery of virtual Apps and Desktops with Citrix solutions. In 2017 he has been awarded Citrix Technology Advocate by Citrix for his community work (#CTA). His second core area is availability & performance monitoring with Zabbix, a leading open-source solution. His employer is the German IT-Company ANAXCO which is developing a Transport Management Software (TMS) based on Microsoft Dynamics AX. More about Marco

One thought on “Patch Tuesday – KB3159398 breaks User Group Policy”

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.