Warning! Groepsbeleid wordt niet meer toegepast sinds 14 juni 2016 door security-update

Door RRX op woensdag 22 juni 2016 17:22 - Reacties (16)
CategorieŽn: Software, Windows, Views: 6.184

Ik wil even wat kwijt, misschien heb je er wat aan.

het kan goed zijn dat bepaalde groepsbeleid objecten die je in werking hebt sinds 14 juni 2016 niet meer toegepast worden.

De meeste Windows systeembeheerders die werken met Windows kennen het (hoop ik) wel, groepsbeleidobjecten.

Eťn van de leuke dingen van groepsbeleidobjecten is dat je er voor kan zorgen dat ze alleen van toepassing zijn op bepaalde users en/of groepen.

Stel je dus voor je hebt een groep "studenten" die je qua rechten op de Windows machine helemaal wilt inperken, dan kan je een groepsbeleid aanmaken die je op de groep "studenten" toepast zodat ze alleen nog kunnen doen waarvan jij wilt dat ze dat kunnen. De boel lekker dichtgetimmerd.

Een ander voorbeeld, een bepaalde groep in het bedrijf moet bepaalde schijfletters krijgen, dus pas je een groepsbeleid toe op die groep medewerkers en die krijgen een bepaalde schijfletter toegewezen.

Nu hadden wij van de week een klant waar ineens de schijfletters niet meer tevoorschijn kwamen op een Windows 10 machine. Ook hadden wij dat hier op kantoor bij een bepaalde schijfletter.

Diezelfde middag moest ik bij een klant een groepsbeleid maken die voor een bepaalde groep users van toepassing moest zijn, dus een mooie policy gemaakt en gefilterd op die specifieke groep users, maar wat ik ook probeerde de instellingen werden niet toegepast :( .

Op de server heb je een tool RSoP (Resultant Set of Policy) waarmee je kan nabootsen welke groepsbeleiden op een bepaalde user op een bepaalde computer worden toegepast.

Deze gaf aan dat alles correct stond, echter op de Windows 10 client nog steeds geen resultaat :(.

Dan ga je verder zoeken. Op de client
code:
1
Gpresult /h report.html /f

in de usercontext uitgevoerd. Wat blijkt, volgens het rapport heeft de user schijnbaar geen rechten op het zojuist aangemaakte groepsbeleid.

De rest van de zaken die ik heb geprobeerd laat ik ivm tijdgebrek achterwege en zal tot de conclusie van mijn verhaal komen:

Microsoft Security Bulletin MS16-072

Op 14 juni heeft Microsoft een beveiligingspatch uitgebracht voor Windows zie hier:
https://support.microsoft.com/en-us/kb/3163622

Nadat deze update is geÔnstalleerd worden groepsbeleidobjecten alleen nog maar toegepast wanneer;
A. De Authenticated Users groep leesrechten heeft op de policy (wat standaard zo is, maar er voor zorgt dat de policy op iedereen wordt toegepast.
B. Naast een specifiek gedefinieerde groep (Via security filtering) ook de "Domain Computers" groep leesrechten krijgt op de policy (via Delegation).


Wanneer je dit dus niet doorhebt, veroorzaakt MS16-072 mijn inziens ook weer een security-issue omdat een groepsbeleid waarmee je een bepaalde groep users qua rechten had ingeperkt ineens veel meer rechten kunnen hebben in het netwerk.

Wat vinden jullie daarvan?

De oplossing is dus te vinden onderaan dit artikel;
https://support.microsoft.com/en-us/kb/3163622
To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:
Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
If you are using security filtering, add the Domain Computers group with read permission.
Met credits voor
http://serverfault.com/qu...sabled-server-2012-r2-and

Waar ik de oplossing heb gevonden.

Raymond.

Edit: Titel aangepast gezien het niet alleen Windows 10 betreft