Gruppenrichtlinienobjekte werden nicht angewendet. Grund: Nicht zugänglich, leer oder deaktiviert; Server 2012 R2 und Windows 10


16

Ich habe eine Windows Server 2012 R2-Domäne.

Gestern funktionierte das Netzwerklaufwerk eines Computers (unter Windows 10 Pro) nicht mehr.

Nach weiteren Untersuchungen ( gpresult /h) scheinen ALLE Gruppenrichtlinienobjekte mit dem Grund fehlzuschlagen Inaccessible, Empty, or Disabled.

Ich habe bestätigt, dass alle Gruppenrichtlinienobjekte noch vorhanden und auf (redundanten und lokalen) Domänencontrollern aktiviert sind. Darüber hinaus gibt es 20 andere Computer in derselben Domäne und demselben LAN, die absolut problemlos sind.

Es gibt jedoch einen anderen Computer, den ich getestet habe und der das gleiche Problem aufweist! Heißt das, das Problem liegt bei den Servern?

gpresult /rmeldet, dass ein Client Gruppenrichtlinienobjekte von lokalem DC1 und der andere von DC2 erhält. Es ist also kein Problem in Bezug auf einen bestimmten DC.

gpupdate /force Behoben nichts (obwohl behauptet wurde, dass Richtlinien angewendet wurden).

Ich habe versucht, die Registrierungseinträge für lokale Richtlinien zu löschen (siehe /superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do ) und Neustart - das gleiche Problem.

Ich habe diese Support-Seite von Microsoft ( https://support.microsoft.com/en-us/kb/2976965 ) gefunden, sie gilt jedoch nur für Windows 7 oder frühere Clients.

Alle meine Computer (sowohl Server als auch Client) sind 64-Bit-Versionen und werden vollständig aktualisiert. Ich habe sie alle neu gestartet, nur um sicherzugehen.



Vielen Dank. Ihr Kommentar lieferte den Hinweis auf die Lösung. Siehe unten.
Daniel

Antworten:


19

Überprüfen Sie die joeqwerty Link Patch zu .

Es gibt das wichtige Detail:

Bekannte Probleme

MS16-072 ändert den Sicherheitskontext, mit dem Benutzergruppenrichtlinien abgerufen werden. Diese konstruktionsbedingte Verhaltensänderung schützt die Computer der Kunden vor einer Sicherheitslücke. Vor der Installation von MS16-072 wurden Benutzergruppenrichtlinien mithilfe des Sicherheitskontexts des Benutzers abgerufen. Nach der Installation von MS16-072 werden Benutzergruppenrichtlinien im Sicherheitskontext des Computers abgerufen. Dieses Problem betrifft die folgenden KB-Artikel:

  • 3159398 MS16-072: Beschreibung des Sicherheitsupdates für Gruppenrichtlinien vom 14. Juni 2016
  • 3163017 Kumulatives Update für Windows 10: 14. Juni 2016
  • 3163018 Kumulatives Update für Windows 10 Version 1511 und Windows Server 2016 Technische Vorschau 4: 14. Juni 2016
  • 3163016 Kumulatives Update für Windows Server 2016 Technische Vorschau 5: 14. Juni 2016

Symptome

Alle Benutzergruppenrichtlinien, einschließlich derer, die für Benutzerkonten oder Sicherheitsgruppen oder beides sicherheitsgefiltert wurden, können möglicherweise nicht auf Computer angewendet werden, die einer Domäne angehören.

Ursache

Dieses Problem kann auftreten, wenn dem Gruppenrichtlinienobjekt die Leseberechtigungen für die Gruppe der authentifizierten Benutzer fehlen oder wenn Sie die Sicherheitsfilterung verwenden und Leseberechtigungen für die Gruppe der Domänencomputer fehlen.

Auflösung

Verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC.MSC) und führen Sie einen der folgenden Schritte aus, um dieses Problem zu beheben:

- Fügen Sie die Gruppe Authentifizierte Benutzer mit Leseberechtigungen für das Gruppenrichtlinienobjekt (Group Policy Object, GPO) hinzu.
- Wenn Sie die Sicherheitsfilterung verwenden, fügen Sie die Gruppe Domänencomputer mit Leseberechtigung hinzu.

Siehe diesen Link Bereitstellen von MS16-072, der alles erklärt und Skript zum Reparieren der betroffenen Gruppenrichtlinienobjekte bietet. Das Skript fügt allen Gruppenrichtlinienobjekten, die keine Berechtigung für authentifizierte Benutzer haben, Leseberechtigungen für authentifizierte Benutzer hinzu.

# Copyright (C) Microsoft Corporation. All rights reserved.

$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0

if($osver -lt $win7)
{
    Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
    return
}

Try
{
    Import-Module GroupPolicy
}
Catch
{
    Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
    return
}

$arrgpo = New-Object System.Collections.ArrayList

foreach ($loopGPO in Get-GPO -All)
{
    if ($loopGPO.User.Enabled)
    {
        $AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
        If (!$AuthPermissionsExists)
        {
            $arrgpo.Add($loopGPO) | Out-Null
        }
    }
}

if($arrgpo.Count -eq 0)
{
    echo "All Group Policy Objects grant access to 'Authenticated Users'"
    return
}
else
{
    Write-Warning  "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
    foreach ($loopGPO in $arrgpo)
    {
        write-host "'$($loopgpo.DisplayName)'"
    }
}

$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"

$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
    "Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
    "No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)  
$appliedgroup = $null
switch ($result)
{
    0 {$appliedgroup = "Authenticated Users"}
    1 {$appliedgroup = $null}
}
If($appliedgroup)
{
    foreach($loopgpo in $arrgpo)
    {
        write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
        Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
    }
}

Wenn Sie lieber die Leseberechtigung für Domänencomputer festlegen (wie ich) als für authentifizierte Benutzer, ändern Sie dies einfach 0 {$appliedgroup = "Authenticated Users"}in0 {$appliedgroup = "Domain Computers"}


Sieht so aus, als würde ich dies vorläufig als Antwort markieren. Ich habe "Domänencomputer" mit Lesezugriff auf meine Sicherheitsfilterung hinzugefügt, und jetzt funktioniert mindestens einer der Computer mit dem Problem. Daher gehe ich davon aus, dass sich ein Patch automatisch über Windows Update auf den Server übertragen hat und dieses Problem verursacht hat. Jetzt frage ich mich auch, was der Unterschied zwischen der Registerkarte "Delegierung" für ein Gruppenrichtlinienobjekt und dem Abschnitt "Sicherheitsfilter" ist ... Zeit zum Nachlesen
Daniel,

2
Um die Verwirrung ein wenig zu verstärken, war es für mich erforderlich, die Sicherheitsgruppe mit dem Benutzer UND die Gruppe mit dem Computer hinzuzufügen, damit die Richtlinie angewendet werden kann. Wenn Sie nur einen Benutzer oder Computer hinzufügen, wird die Richtlinie nicht angewendet. Es muss sich nicht unbedingt um die Gruppe Domänencomputer handeln, sondern es muss lediglich die Kombination aus Benutzer und Computer in der Sicherheitsfilterung gültig sein, wenn die Richtlinie angewendet werden soll.
Adwaenyth

Das hat es für unser Unternehmen behoben -> Fügen Sie die Gruppe Authentifizierte Benutzer mit Leseberechtigungen für das Gruppenrichtlinienobjekt (Group Policy Object, GPO) hinzu. Big thx
Brain Foo Long

Das scheint keine wirkliche Lösung zu sein, da ich nicht möchte, dass alle dieses Gruppenrichtlinienobjekt anwenden, sondern nur bestimmte Personen in der Gruppe. Warum stellt MS dies immer noch in Windows Update bereit? Es bricht alles.
Sephethus

@Sephethus Verwenden Sie die Registerkarte "Delegierung", um das Domänencomputerrecht hinzuzufügen. Das Gruppenrichtlinienobjekt funktioniert auf diese Weise wie gewohnt. Wenn für Ihr Gruppenrichtlinienobjekt keine Computereinstellungen festgelegt wurden, wird beim Hinzufügen des Domänencomputers zum Sicherheitsfilter auch nichts angewendet, aber die Registerkarte "Delegierung" ist meiner Meinung nach besser.
yagmoth555 - GoFundMe Monica
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.