Gli oggetti Criteri di gruppo non si applicano; motivo: inaccessibile, vuoto o disabilitato; Server 2012 R2 e Windows 10


16

Ho un dominio Windows Server 2012 R2.

Ieri, l'unità di rete di un computer (con Windows 10 Pro) ha smesso di funzionare.

Dopo ulteriori indagini ( gpresult /h) sembra che TUTTI gli oggetti dei criteri di gruppo non riescano con il motivo Inaccessible, Empty, or Disabled.

Ho confermato che esistono ancora tutti gli oggetti Criteri di gruppo e sono abilitati su controller di dominio (ridondanti e locali). Inoltre, ci sono altre 20 macchine sullo stesso dominio e LAN senza alcun problema.

Tuttavia, c'è un altro computer che ho testato che presentava lo stesso problema! Ciò significa che il problema riguarda i server?

gpresult /rsegnala che un client riceve oggetti Criteri di gruppo da DC1 locale e l'altro da DC2. Quindi non è un problema relativo a un controller di dominio specifico.

gpupdate /force riparato nulla (sebbene affermasse che le politiche erano applicate).

Ho provato a eliminare le voci di registro per le politiche locali (seguendo questa guida /superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do ) e riavvio - stesso problema.

Ho trovato questa pagina di supporto da Microsoft ( https://support.microsoft.com/en-us/kb/2976965 ), ma afferma che si applica solo a client Windows 7 o precedenti.

Tutte le mie macchine (sia server che client) eseguono versioni a 64 bit e sono completamente aggiornate. Li ho riavviati tutti per sicurezza.



Grazie. Il tuo commento ha fornito la chiave per la soluzione. Vedi sotto.
Daniel,

Risposte:


19

Controllare il link joeqwerty patch di troppo .

C'è il dettaglio importante:

Problemi noti

MS16-072 modifica il contesto di sicurezza con cui vengono recuperati i criteri del gruppo di utenti. Questa modifica del comportamento in base alla progettazione protegge i computer dei clienti da una vulnerabilità della sicurezza. Prima di installare MS16-072, i criteri del gruppo di utenti sono stati recuperati utilizzando il contesto di sicurezza dell'utente. Dopo l'installazione di MS16-072, i criteri dei gruppi di utenti vengono recuperati utilizzando il contesto di sicurezza delle macchine. Questo problema è applicabile per i seguenti articoli della KB:

  • 3159398 MS16-072: Descrizione dell'aggiornamento della protezione per Criteri di gruppo: 14 giugno 2016
  • 3163017 Aggiornamento cumulativo per Windows 10: 14 giugno 2016
  • 3163018 Aggiornamento cumulativo per Windows 10 versione 1511 e Windows Server 2016 Technical Preview 4: 14 giugno 2016
  • 3163016 Aggiornamento cumulativo per Windows Server 2016 Technical Preview 5: 14 giugno 2016

Sintomi

Tutti i Criteri di gruppo dell'utente, inclusi quelli che sono stati filtrati in base alla sicurezza degli account utente o dei gruppi di sicurezza, o entrambi, potrebbero non essere applicabili ai computer aggiunti al dominio.

Causa

Questo problema può verificarsi se all'oggetto Criteri di gruppo mancano le autorizzazioni di lettura per il gruppo Utenti autenticati o se si utilizza il filtro di sicurezza e mancano le autorizzazioni di lettura per il gruppo di computer di dominio.

Risoluzione

Per risolvere questo problema, utilizzare la Console Gestione criteri di gruppo (GPMC.MSC) e seguire una delle seguenti fasi:

- Aggiungere il gruppo Utenti autenticati con autorizzazioni di lettura sull'oggetto Criteri di gruppo (GPO).
- Se si utilizza il filtro di sicurezza, aggiungere il gruppo Computer di dominio con autorizzazione di lettura.

Vedi questo collegamento Distribuisci MS16-072 che spiega tutto e offre script per riparare gli oggetti Criteri di gruppo interessati. Lo script aggiunge autorizzazioni di lettura agli utenti autenticati a tutti gli oggetti Criteri di gruppo che non dispongono di autorizzazioni per gli utenti autenticati.

# Copyright (C) Microsoft Corporation. All rights reserved.

$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0

if($osver -lt $win7)
{
    Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
    return
}

Try
{
    Import-Module GroupPolicy
}
Catch
{
    Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
    return
}

$arrgpo = New-Object System.Collections.ArrayList

foreach ($loopGPO in Get-GPO -All)
{
    if ($loopGPO.User.Enabled)
    {
        $AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
        If (!$AuthPermissionsExists)
        {
            $arrgpo.Add($loopGPO) | Out-Null
        }
    }
}

if($arrgpo.Count -eq 0)
{
    echo "All Group Policy Objects grant access to 'Authenticated Users'"
    return
}
else
{
    Write-Warning  "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
    foreach ($loopGPO in $arrgpo)
    {
        write-host "'$($loopgpo.DisplayName)'"
    }
}

$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"

$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
    "Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
    "No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)  
$appliedgroup = $null
switch ($result)
{
    0 {$appliedgroup = "Authenticated Users"}
    1 {$appliedgroup = $null}
}
If($appliedgroup)
{
    foreach($loopgpo in $arrgpo)
    {
        write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
        Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
    }
}

Se preferisci impostare l'autorizzazione di lettura per i computer di dominio (come faccio io) piuttosto che per gli utenti autenticati, cambia questa 0 {$appliedgroup = "Authenticated Users"}in quella0 {$appliedgroup = "Domain Computers"}


Sembra che lo segnerò provvisoriamente come risposta. Ho aggiunto "Domain Computers" con accesso in lettura al mio filtro di sicurezza e ora almeno uno dei computer con il problema funziona. Quindi suppongo che una patch si sia applicata automaticamente al server tramite Windows Update e abbia causato questo problema. Ora mi chiedo anche quale sia la differenza tra la scheda Delega per un oggetto Criteri di gruppo e la sezione Filtro di sicurezza ... è tempo di leggere
Daniel,

2
Per aggiungere un po 'di confusione, per me è stato necessario aggiungere il gruppo di sicurezza contenente l'utente E il gruppo che contiene il computer per applicare il criterio. L'aggiunta di uno solo (utente o computer) comporterebbe la mancata applicazione del criterio. Non deve necessariamente essere il gruppo Domain Computers, solo la combinazione di utente e computer deve essere valida nel filtro di sicurezza se il criterio deve essere applicato.
Adwaenyth,

Ciò è stato risolto per la nostra azienda -> Aggiungi il gruppo Utenti autenticati con autorizzazioni di lettura sull'oggetto Criteri di gruppo (GPO). Big thx
Brain Foo Long,

Questa non sembra essere una soluzione reale in quanto non voglio che tutti abbiano applicato l'oggetto Criteri di gruppo applicato, solo persone specifiche del gruppo. Perché MS lo sta ancora distribuendo in Windows Update? Si rompe tutto.
Sephethus,

@Sephethus Utilizzare la scheda deleguation per aggiungere il computer di dominio giusto, l'oggetto Criteri di gruppo funzionerà normalmente. Se il tuo oggetto Criteri di gruppo non ha impostazioni del computer, l'aggiunta del computer di dominio al filtro di sicurezza non applicherà nulla, ma secondo me la scheda di delega è migliore.
yagmoth555
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.