Обновление kb3163622 и поведение групповых политик

Microsoft выпустил очередную пачку исправлений, среди них было исправление 3163622. Это исправление, по задумке мыслителей из MS должно защитить компьютеры в домене от атак типа “man in the middle (MiTM)” при скачивании групповых политик с контроллеров домена. На деле же исправление в корне поменяло поведение рабочих станций при обработке групповых политик. Как положено, ни кого не предупредили.

Проблема затрагивает:

  • Windows Vista Service Pack 2
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 R2 Service Pack 1
  • Windows 7 Service Pack 1
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 10
  • Windows 10 Version 1511

Проблема в том, что после установки данного исправления, групповые политики обрабатываются не так как прежде. Если у вас есть групповые политики для ПОЛЬЗОВАТЕЛЕЙ, у которых в фильтре безопасности отсутствует группа “Прошедшие проверку” (Authenticated Users), то эти политики теперь не обрабатываются.

Работает:ms-3163622-1

Не работает:

ms-3163622-2

Как было раньше:

ВСЕ групповые политики обрабатывались если ПОЛЬЗОВАТЕЛЬ имел право на чтение/применение политики, даже если компьютер не имел прав на чтение/применение на ту же самую политику.

 

Как работает теперь:

Групповые политики не обрабатываются, если компьютер не имеет прав на чтение политики.

Почему:

До установки исправления, пользовательские GPO обрабатывались с использованием контекста безопасности пользователя.

После установки обновления, пользовательские GPO обрабатываются с использованием контекста безопасности КОМПЬЮТЕРА.

Что делать:

Нужно разрешить доменным компьютерам ЧИТАТЬ групповые политики.

Можно просто разрешить группе “Domain Computers” чтение и применение групповых политик, но тогда не удивляйтесь возникающим проблемам, если игнорировали рекомендации Microsoft о том что при написании различных GPO нужно разделять те, что применяются на компьютер и те, что применяются на пользователя.

Правильный метод:

Используем закладку “Делегирование” и разрешаем “Чтение (Read)”, но не “Применение (Apply group policy)” политики.

ms-3163622-3

Исправляем схему Active Directory, чтобы не повторять эти действия:

  1. Запускаем ADSI Edit
  2. Подключаемся к схеме: ms-3163622-4ms-3163622-5
  3. Находим объект “CN = Group-Policy-Container” ms-3163622-6
  4. Находим в свойствах объекта “defaultSecurityDescriptor” и добавляем в конец: (A;CI;LCRPLORC;;;DC) ms-3163622-7
  5. Ждем обновления схемы на контроллерах домена.

Источники:

www.gpanswers.com

technet.microsoft.com

 

Comments

comments