22.06.2016

Windows-Update legt Gruppenrichtlinien lahm

Das hilft als Gegenmaßnahme!

Ein Bild, das jeder Administrator ungerne zu Gesicht bekommt: Die Mitarbeiter starten ihre Clients und plötzlich fehlen zugeordnete Netzlaufwerke, Drucker und Einstellungen werden nicht oder falsch übernommen. Der Grund ist schnell gefunden: Die zugrunde liegenden Gruppenrichtlinien werden plötzlich nicht mehr angewendet. Sämtliche Überprüfungen verlaufen im Sande, denn augenscheinlich ist alles in Ordnung und Änderungen an dieser Stelle wurden auch schon seit Längerem nicht mehr vorgenommen.

Der Fehler liegt hier nicht wie so oft im Detail, sondern schlicht am Windows Update MS16-072 vom 14. Juni 2016, welches eigentlich nur eine Sicherheitslücke zwischen Domain Controller und Client schließen soll. Gleichzeitig ändert das Update 3159398 aber auch die Anwendungsmethode von Gruppenrichtlinien (Lesevorgang wird nicht mehr durch das Benutzer-, sondern das Computerobjekt initiiert) und führt damit zu den genannten Problemen, da viele Administratoren beim Anlegen von Security Filters auch die Authenticated Users entfernt haben. Diese flogen damit aber auch aus der Delegation und das Computerobjekt (welches Teil der Authenticated Users ist) hat so keine Leserechte mehr auf dem GPO. Das war bis dato auch kein Problem, nur mit dem neuesten Update und der Änderung an der Berechtigungsgrundlage fährt man damit an die Wand.

Betroffen sind nur Gruppenrichtlinien, die Security Filtering auf AD Security Groups verwenden.

Als Gegenmaßnahme lässt sich Folgendes tun: Fügt man in den entsprechenden Gruppenrichtlinien unter dem Reiter Delegation die Authenticated Users mit einer Read-Permission hinzu (wichtig: diese Einstellung NICHT unter Scope!), sind die Probleme beseitigt und die Gruppenrichtlinien funktionieren wieder wie gehabt.

Dass dies gerade bei sehr vielen Gruppenrichtlinien eine mühselige Aufgabe ist, steht außer Frage. Als Alternative bliebe nur die Deinstallation des Updates 3159398 (manuell oder per WSUS) auf allen betroffenen Servern und Clients.

Hält Microsoft an dieser Vorgehensweise fest, sollte man als Administrator für die Zukunft beachten, beim Security Filtering die Authenticated Users nicht komplett zu entfernen, sondern ihnen lediglich in der Delegation das Recht Übernehmen zu entziehen und die Leserechte beizubehalten.

Für tiefergehende Details kann ich den Blogeintrag von Mark Heitbrink empfehlen, der das Thema weiter aufgreift:

http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Julian Wening
Consultant

Unsere Blogs