Microsoft ‘erklärt’ den GPO-Problem-Patch (KB3159398)

Heute noch ein kleiner Nachtrag: Microsoft hat sich bereits am 5. Juni 2016 über die Frage ausgelassen, warum es mit Gruppenrichtlinien nach dem Juni 2016-Patchday bei einigen Systemen Probleme gibt.


Anzeige

Mit dem Juni 2016-Update KB3159398 wurden einige Administratoren "kalt erwischt". Im Artikel Update-Details zum Microsoft Patchday 14. Juni 2016 habe ich über das Sicherheitsupdate für Gruppenrichtlinien (3163622) berichtet, welches im Microsoft Sicherheits-Bulletin MS16-072 adressiert wird. Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows, die eine Erhöhung von Berechtigungen ermöglicht.

Ärger nach Installation von KB3159398

Im Anschluss an die Update-Installation gab es dann auf diversen Systemen mit unter Windows Server 2008 R2 massive Probleme. Es können z.B. folgende Fehler auftreten:

  • Desktop-Symbole für Verknüpfungen werden nicht mehr sauber angezeigt.
  • Laufwerke A:, B:, C: und D: sind vor dem Benutzer versteckt – das Drive-Mapping funktioniert nicht mehr (siehe auch).
  • Diverse Gruppenrichtlinien (z.B. Drucker GPOs, siehe) funktionieren nicht mehr.

Ich hatte die Thematik im Blog-Beitrag Windows-GPO-Update KB3159398 macht Probleme intensiver behandelt. Allerdings betreibe ich hier in meiner kleinen Büroumgebung keine Windows Server-Infrastruktur, bin also im Thema Gruppenrichtlinien nicht so drin (benutze diese nur auf diversen Clients zur Steuerung diverser Funktionen). Bereits in den Kommentaren zu nachfolgenden Blog-Beiträgen kamen die Hinweise, dass es an den Administratoren der Server läge, wenn es Probleme gäbe.

Erklärungen über Erklärungen

Im Blog-Beitrag Windows-GPO-Update KB3159398 macht Probleme hatte ich bereits darauf hingewiesen, dass Microsoft den Knowledge Base-Artikel KB3163622 (MS16-072: Security update for Group Policy: June 14, 2016) nachträglich erweitert hatte.


Anzeige

Und es gab von MVP Mark Heitbrink Erklärungen bzw. Hinweise, warum der Patch bei einigen Systemen zu den oben erwähnten Fehlern führte. Mark hat mich den Artikel New Group Policy Patch MS16-072– "Breaks" GP Processing Behavior hingewiesen und später selbst den deutschsprachigen Beitrag Sicherheitsfilterung neu erfunden – MS16-072 – Patchday 14.06.2016 veröffentlicht.

Damit sollte für Administratoren klar sein, warum das so ist und wie man sich behilft. Unter dem Strich trat das Problem auf, weil Microsoft etwas in der Wirkung von Gruppenrichtlinien geändert hat (Details in den oben verlinkten Artikeln von Mark Heitbrink). In den Kommentaren hier im Blog kam auch latent der Hinweis zwischen den Zeilen, dass da eigentlich nur Administratoren betroffen seien, die sich mit der Materie nicht auskennen. Bei meinen Recherchen habe ich aber den Eindruck gewonnen, dass es eine Menge Leute getroffen hat (meine Blog-Beiträge in deutsch und englisch wurden gut abgerufen – und es gab Hinweise in Foren, dass Microsoft mal einen "good practice"-Ansatz beschrieben hat, der nun genau diese Probleme hervorruft.

Lange Rede kurzer Sinn: Wer von dem Patch als Administrator betroffen war, muss nicht in Sack und Asche gehen, er war nicht alleine. Jedenfalls hat Microsoft sich bemüßigt gefühlt, am 5. Juni 2016 den Blog-Beitrag Who broke my user GPOs? im Technet zu publizieren.

What did I miss.

We released new security patches for all currently supported Operating Systems. Among those patches was this one: MS 16-072, which is also referenced as KB 3163622. OS Specific articles are released as 3159398, 3163017, 3163018, and 3163016.

KB 3159398 – Vista, 2008, 7, 2008 R2, 2012, 8.1, 2012 R2
KB 3163017 – Windows 10 TH1
KB 3163018 – Windows 10 TH2 and Server 2016 TP4
KB 3163016 – Server 2016 TP5

After applying the appropriate patch to your systems, User group policies are retrieved from SYSVOL differently than before. Prior to the update, domain joined computers used the user's security context to make the connection and retrieve the policies. After the update is applied, domain joined computers will now retrieve all policies using the computer security context. The users that get the policy is still controlled by the policy scope just like before. The only change is the computer is getting the policy for the user.

Soviel zur Erklärung. Im Technet Artikel wird dann gezeigt, wie man das das Problem behebt oder gänzlich umgeht. Vielleicht hilft es euch weiter, falls ihr als Admin in diesem Bereich unterwegs seid und die obigen Artikel noch nicht kanntet. Wäre alles an mir vorbei gegangen, wenn nicht ZDNet.com das in einem Artikel kurz aufgegriffen hätte.

Ähnliche Artikel:
Windows-GPO-Update KB3159398 macht Probleme
Juni 2016-Patchday-Probleme mit KB3164033 und KB3164035?
Update-Details zum Microsoft Patchday 14. Juni 2016


Anzeige

Dieser Beitrag wurde unter Problemlösung, Windows, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Microsoft ‘erklärt’ den GPO-Problem-Patch (KB3159398)

  1. Michael Bormann sagt:

    Mark hat den Blog gestern schon verlinkt gehabt bei FB,
    von MS kam der Hinweis und Bypass dann etwas spät denkt man an die Good Praxis die die bisher vertreten hatten und die auch so umgesetzt wurde in einigen Umgebungen.

    Aber nun ist ja alles wieder gut, das PS-Script macht es wie gedacht, warum nicht gleich so stellt sich die Frage. ;-)

    grüseles….

  2. Ich bin zwar schon seit 6 Wochen Krankgeschrieben, hab trotzdem eben mal geschaut, aber weder bei meinem Windows Server 2008 R2 noch bei den drei anderen die betreue gibts irgendwelche Probleme.
    Nun gut mein Server ist wohl eher ein File, Datenbank und Druck Server eigentlich hat der nicht so besonders viel zu tun, ist ja auch nur ein Mini Server ;)

    • Thomas Bauer sagt:

      Ich betreibe zuhause ein Synology NAS, was ja einen kleinen Linux Server darstellt. Der hat ordentlich zu tun. Im Grunde speichere ich alle meine Daten darauf. Wichtig war mir die Linux Firewall. Die habe ich so konfiguriert das ich alle ausländischen IPs sperre und nur deutsche zulasse. Damit habe ich 99% aller Angriffe im Keim erstickt. Ausserdem sperre ich die IP nach 5 erfolglosen Versuchen. Anfangs war das NAS eine Spielerei, heute ist das ein wichtiger Teil meines Heim Netzwerks.

    • Das Wichtigste an einem Router ist halt das die Software auch gewartet wird von daher hab ich solche Sachen eigentlich lieber von einander getrennt.
      Aber an sich wäre die Idee nicht so schlecht einen NAS inkl eines DSL Router sich selbst zu basteln, wichtig ist halt eine Ordentliche Festplatten Verwaltung und Kühlung, denn eine Externe Festplatte an der Fritzbox läuft ja Tag & Nacht und das kann nur eine Notlösung sein.

  3. Thomas Bauer sagt:

    Eigentlich bin ich am Überlegen mir selber einen Server zu bauen. Ich hätte gerne einen Router im Server integriert. Wozu soll ich 2 Geräte aufstellen? Die FritzBox hat NAS Funktionalitäten wenn gleich das auch schrottig läuft. Das Synology NAS hat leider keine Router Funktion. Im Server soll dann aber auch gleich der Virenscanner und die Firewall alle Geräte schützen ohne das ich zusätzliche Software auf Endgeräten benötige. Wir alle wissen das Endgeräte ohne Scanner wesentlich besser laufen und für mich wäre das ein Ziel das auszulagern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.