Controllare il link joeqwerty patch di troppo .
C'è il dettaglio importante:
Problemi noti
MS16-072 modifica il contesto di sicurezza con cui vengono recuperati i criteri del gruppo di utenti. Questa modifica del comportamento in base alla progettazione protegge i computer dei clienti da una vulnerabilità della sicurezza. Prima di installare MS16-072, i criteri del gruppo di utenti sono stati recuperati utilizzando il contesto di sicurezza dell'utente. Dopo l'installazione di MS16-072, i criteri dei gruppi di utenti vengono recuperati utilizzando il contesto di sicurezza delle macchine. Questo problema è applicabile per i seguenti articoli della KB:
- 3159398 MS16-072: Descrizione dell'aggiornamento della protezione per Criteri di gruppo: 14 giugno 2016
- 3163017 Aggiornamento cumulativo per Windows 10: 14 giugno 2016
- 3163018 Aggiornamento cumulativo per Windows 10 versione 1511 e Windows Server 2016 Technical Preview 4: 14 giugno 2016
- 3163016 Aggiornamento cumulativo per Windows Server 2016 Technical Preview 5: 14 giugno 2016
Sintomi
Tutti i Criteri di gruppo dell'utente, inclusi quelli che sono stati filtrati in base alla sicurezza degli account utente o dei gruppi di sicurezza, o entrambi, potrebbero non essere applicabili ai computer aggiunti al dominio.
Causa
Questo problema può verificarsi se all'oggetto Criteri di gruppo mancano le autorizzazioni di lettura per il gruppo Utenti autenticati o se si utilizza il filtro di sicurezza e mancano le autorizzazioni di lettura per il gruppo di computer di dominio.
Risoluzione
Per risolvere questo problema, utilizzare la Console Gestione criteri di gruppo (GPMC.MSC) e seguire una delle seguenti fasi:
- Aggiungere il gruppo Utenti autenticati con autorizzazioni di lettura sull'oggetto Criteri di gruppo (GPO).
- Se si utilizza il filtro di sicurezza, aggiungere il gruppo Computer di dominio con autorizzazione di lettura.
Vedi questo collegamento Distribuisci MS16-072 che spiega tutto e offre script per riparare gli oggetti Criteri di gruppo interessati. Lo script aggiunge autorizzazioni di lettura agli utenti autenticati a tutti gli oggetti Criteri di gruppo che non dispongono di autorizzazioni per gli utenti autenticati.
# Copyright (C) Microsoft Corporation. All rights reserved.
$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0
if($osver -lt $win7)
{
Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
return
}
Try
{
Import-Module GroupPolicy
}
Catch
{
Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
return
}
$arrgpo = New-Object System.Collections.ArrayList
foreach ($loopGPO in Get-GPO -All)
{
if ($loopGPO.User.Enabled)
{
$AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
If (!$AuthPermissionsExists)
{
$arrgpo.Add($loopGPO) | Out-Null
}
}
}
if($arrgpo.Count -eq 0)
{
echo "All Group Policy Objects grant access to 'Authenticated Users'"
return
}
else
{
Write-Warning "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
foreach ($loopGPO in $arrgpo)
{
write-host "'$($loopgpo.DisplayName)'"
}
}
$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"
$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
"Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
"No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)
$appliedgroup = $null
switch ($result)
{
0 {$appliedgroup = "Authenticated Users"}
1 {$appliedgroup = $null}
}
If($appliedgroup)
{
foreach($loopgpo in $arrgpo)
{
write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
}
}
Se preferisci impostare l'autorizzazione di lettura per i computer di dominio (come faccio io) piuttosto che per gli utenti autenticati, cambia questa 0 {$appliedgroup = "Authenticated Users"}
in quella0 {$appliedgroup = "Domain Computers"}