SBS 2011: GPO Anpassungen nach MS16-072 |
Veröffentlicht von MOS-Computer GbR am 23.07.2016 |
Nach dem Patchday vom 14. Juni 2016 rauschte es schon in diversen Foren: Plötzlich funktionierten etliche Gruppenrichtlinien nicht mehr so, wie sie sollten.
Microsoft hat mit dem Sicherheitsbulletin MS16-072 (Sicherheitsupdate für Gruppenrichtlinien (3163622)) die Funktionsweise geändert.
Auch der SBS 2011 ist von diesem Problem betroffen, da hier nun einige vorgegebene Standard-Gruppenrichtlinien nicht mehr funktionieren.
Im Windows SBS Blog hat Microsoft nun den Artikel " Windows SBS 2011, Windows SBS 2008 and impact of MS16-072" veröffentlicht, der explizit noch mal auf diesen Umstand und die Folgen eingeht. Ausserdem wird aufgeführt, wie man das Problem beheben kann.
Beachten Sie bitte, dass Sie die beiden dort aufgeführten Scripte für einen deutschen SBS 2011 erst anpassen werden müssen, da es hier keine "Domain Computers" sondern "Domänencomputer" gibt. Wir stellen Ihnen die angepassten Scripte etwas weiter unten zur Verfügung.
Hier eine kurze Zusammenfassung der Vorgehensweise:
- Kopieren Sie den Code aus dem ersten Script in eine Datei, die Sie "checkgporead.ps1" nennen
- Kopieren Sie den Code aus dem zweiten Script in eine Datei, die Sie "fixgpoper.ps1" nennen
- Öffnen Sie eine Powershell mit Admin-Rechten
- Führen Sie "checkgporead.ps1" aus
- Erhalten Sie "rote Zeilen" (vergleiche Beitrag von Microsoft), sind Ihre std. GPOs betroffen
- Führen Sie in diesem Fall "fixgpoper.ps1" aus (vergleiche Beitrag von Microsoft)
- Prüfen Sie danach erneut mit "checkgporead.ps1", ob die vorherigen Zeilen nun gelb erscheinen (vergleiche Beitrag von Microsoft)
- Fertig
checkgporead.ps1
#Load GPO module
Import-Module GroupPolicy#Get all GPOs in current domain
$GPOs = Get-GPO -All#Check we have GPOs
if ($GPOs) {#Loop through GPOs
foreach ($GPO in $GPOs) {#Nullify $AuthUser & $DomComp
$AuthUser = $null
$DomComp = $null#See if we have an Auth Users perm
$AuthUser = Get-GPPermissions -Guid $GPO.Id -TargetName “Authenticated Users” -TargetType Group -ErrorAction SilentlyContinue#See if we have the ‘Domain Computers perm
$DomComp = Get-GPPermissions -Guid $GPO.Id -TargetName “Domänencomputer” -TargetType Group -ErrorAction SilentlyContinue#Alert if we don’t have an ‘Authenticated Users’ permission
if (-not $AuthUser) {#Now check for ‘Domain Computers’ permission
if (-not $DomComp) {Write-Host “WARNING: $($GPO.DisplayName) ($($GPO.Id)) does not have an ‘Authenticated Users’ permission or ‘Domain Computers’ permission – please investigate” -ForegroundColor Red
} #end of if (-not $DomComp)
else {#COMMENT OUT THE BELOW LINE TO REDUCE OUTPUT!
Write-Host “INFORMATION: $($GPO.DisplayName) ($($GPO.Id)) does not have an ‘Authenticated Users’ permission but does have a ‘Domain Computers’ permission” -ForegroundColor Yellow
} #end of else (-not $DomComp)
} #end of if (-not $AuthUser)
elseif (($AuthUser.Permission -ne “GpoApply”) -and ($AuthUser.Permission -ne “GpoRead”)) {#COMMENT OUT THE BELOW LINE TO REDUCE OUTPUT!
Write-Host “INFORMATION: $($GPO.DisplayName) ($($GPO.Id)) has an ‘Authenticated Users’ permission that isn’t ‘GpoApply’ or ‘GpoRead’” -ForegroundColor Yellow} #end of elseif (($AuthUser.Permission -ne “GpoApply”) -or ($AuthUser.Permission -ne “GpoRead”))
else {#COMMENT OUT THE BELOW LINE TO REDUCE OUTPUT!
Write-Output “INFORMATION: $($GPO.DisplayName) ($($GPO.Id)) has an ‘Authenticated Users’ permission”
} #end of else (-not $AuthUser)
} #end of foreach ($GPO in $GPOs)
} #end of if ($GPOs)
fixgpoper.ps1
Import-Module GroupPolicy
Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName “Domänencomputer” -PermissionLevel GpoRead
Das könnte Sie vielleicht auch interessieren:
- SBS 2011: SHA-2-Signierung für Updates ab 2019
- SBS 2011: Windows Defender Update geht nicht
- SBS 2011: Connector für Windows 10 - Update
- SBS 2011: WSUS Wartung #2 - Cleanup Abbruch
- SBS 2011: CertLog verkleinern
- SBS 2011: WSUS und Windows 10
- SBS 2011: Connector für Windows 10
- SBS 2011: WinRM und Event-ID 10154
- SBS 2011: WSUS Wartung
- SBS 2011: Speicher für Exchange & SQL begrenzen
- SBS 2011: Support Lösungen
- SBS 2011: WSUS Cleanup bricht ab
- SBS 2011: Rechner aus Arbeitsgruppe in WSUS einbinden
- SBS 2011 und Arbeitsgruppe
- SBS 2011: Berichte anpassen
- SBS 2011: DHCP und Subnetzmaske
- SBS 2011 und Zertifikate
- SBS 2011 und Sharepoint 2010
- SBS 2011 und Datenträgerbereinigung
Zurück