Im Juni veröffentlichte Microsoft das Sicherheits-Update MS 16-072 / KB3163622. Es meldeten sich dann darauf diverse Admins bei mir, das es Probleme bei der Ausführung von GPOs gibt. Der Fehler liegt an fehlenden Zugriffsrechten, wenn Admins die Standardeinstellungen geändert haben. Microsoft hat nun detailliertere Informationen zum Patch geliefert.
Betroffen sind die GPOs mit Sicherheitsfilterung auf bestimmte User / Gruppen oder Objekte. Wenn man bei diesen das Leserecht für Authentifzierte Benutzer entfernt hat werden die GPOs nicht mehr anbgewendet.
Leserecht für Authentifizierte Benutzer
Die Abhilfe ist ganz einfach, es muss der User Authentifizierte Benutzer für alle GPOs mit dem Leserecht hinzugefügt werden. ( Nur lesen, nicht übernehmen!)
Wir rufen dazu den Reiter Deligierung –> Erweitert auf und passen es an dieser Stelle an.
Wem bei vielen GPOs ist das manuelle Umstellen der Sicherheitseinstellungen zu aufwändig ist kann die Änderungen auch mit einem PowerShell-Script, das in der TechNet Gallery zu finden ist, durchführen.
Für die Zunkunft
Sobald auf User / Gruppe / Objekte gefiltert wird, löschen wir nicht mehr die Authentifizierte Benutzer sondern entfernen hier nur das „Gruppenrichtlinie übernehmen“.