組策略對象停止應用於大多數安全組
我有一個 Server 2008 R2 域,其中包含很多應該應用於各種 OU 和安全組的組策略對象(使用安全過濾)。
我收到使用者的報告,他們缺少某些設置和映射驅動器之類的東西。當我開始調查這個問題時,我發現我們域中的幾乎每個 GPO 都已停止應用。
有一些 GPO(如預設域策略)仍在應用中,看起來它們的共同點是這些策略都應用於“Authenticated Users”內置組。而所有其他 GPO 對各種其他安全組使用安全篩選。
我已經執行了許多 RSOP 測試(計劃和日誌記錄),它們都表明只有應用於“經過身份驗證的使用者”的 GPO 正在執行。其他 GPO 甚至沒有出現在 gpresult 的“未應用的 GPO …”部分下。我檢查了權限、GPO 繼承以及其他一些基本但常見的 GPO 問題,所有這些似乎都很好。我嘗試創建一些全新的 GPO,並將它們應用於全新的安全組,但這些也沒有應用。
我沒有註意到 Active Directory 的任何其他問題,針對這些安全組的其他功能(例如文件權限)的身份驗證似乎都按預期工作。
我完全無法解釋為什麼這些 GPO 突然停止應用,沒有明顯的原因。有誰知道可能發生了什麼,或者如何繼續進行故障排除?
這是 MS16-072 的問題。所有使用者 GPO 必須至少具有 Authenticated Users 的讀取權限。
https://support.microsoft.com/en-us/kb/3163622
MS16-072 更改檢索使用者組策略的安全上下文。這種設計上的行為更改可保護客戶的電腦免受安全漏洞的影響。在安裝 MS16-072 之前,使用使用者的安全上下文檢索使用者組策略。
症狀
所有使用者組策略,包括已對使用者帳戶或安全組或兩者進行安全過濾的使用者組策略,可能無法應用於加入域的電腦。
原因
如果組策略對象缺少 Authenticated Users 組的讀取權限,或者您正在使用安全篩選並且缺少域電腦組的讀取權限,則可能會出現此問題。
解析度
要解決此問題,請使用組策略管理控制台 (GPMC.MSC) 並使用以下步驟之一:
- 添加對組策略對象 (GPO) 具有讀取權限的 Authenticated Users 組。
- 如果您使用安全過濾,請添加具有讀取權限的域電腦組。