После обновления от Microsoft MS16-072 (KB3163622) перестают применяться пользовательские политики, если у учетной записи компьютера нет прав на чтение данной политики.
Какие симптомы?
- В выводе команды ” gpresult /h GPResult.html” присутствуют странные значения версий SYSVOL у политик в разделе “Примененные объекты групповой политики” (например: ( AD (26), Sysvol (65535))
- В выводе команды ” gpresult /h GPResult.html” некоторые политики попали в раздел “Отклоненные объекты групповой политики” с причиной отказа “Недоступно”, а вместо имени политики, написан их ID.
- Политики, которые настроены на пользователя и у которых в фильтрах безопасности удалена группа “Прошедшие проверку” – отклонены и не работают.
В полной статье разберем что это и как побороть.
В чем суть?
Майкрософт изменила принцип применения политик: когда раньше пользовательские политики загружались в контексте безопасности пользователя, теперь они загружаются в контексте безопасности учетной записи компьютера, соответственно, если у компьютера нет прав на чтение политики, то и применить её он не сможет.
Что делать?
Первое, что необходимо сделать – это изменить права на делегирование самих объектов групповых политик. Проще всего это сделать с помощью “Windows PowerShell Modules” одной командой, выполненной с контроллера домена:
Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName "Компьютеры домена" -PermissionLevel GpoRead
В результате выполнения данной команды на все политики, присутствующие в домене будет прописана группа доступа “Компьютеры домена” с правами на чтение.
Изменение схемы – Group-Policy-Container
Дальше неплохо бы переопределить умолчания, чтобы не делать каждый раз тоже самое для вновь созданных GPO.
Для того, чтобы мы могли править умолчания, ваша учетная запись должна состоять в группе “Администраторы схемы”. Добавляем через оснастку “Active Directory – Пользователи и компьютеры”
Примечание: Все ниже перечисленные действия выполняются на доменном контроллере.
Далее переходим к изменениям в схеме: открываем оснастку “Редактирование ADSI”
Щелкаем ПКМ по “Контекст именования по умолчанию” и выбираем “Параметры…”
После этого выбираем “Схема” в поле “Выберите известный контекст именования” и жмем “Ок”:
Далее находим и открываем объект “CN = Group-Policy-Container”:
И откроем его атрибут defaultSecurityDescriptor и добавим следующее значение в конец: (A;CI;LCRPLORC;;;DC)
Пояснение по строке: Тип доступа: A = Access Allowed Флаг ACE: CI = Container Inherit Разрешения: LC = List Contents RP = Read All Properties LO = List Object RC = Read Permissions Субъект доступа: DC = Domain Computers
Чтобы применить изменения, нужно перезагрузить схему. Если оснастка “Схема Active Directory”отсутствует, зарегистрируйте библиотеку:
regsvr32 schmmgmt.dllОткрываем MMC консоль и открываем оснастку “Схема Active Directory” . Щелкаем ПКМ по “Схема ActiveDirectory” и выберите “Перезагрузить схему”:
Проверяем работу внесенных изменений. Создаем новую групповую политику (GPO), переходим на вкладку “Делегирование”, видим что группа “Компьютеры домена” с правами “Чтение” присутствует.