[English]Das Sicherheitsupdate KB4577015 vom 8. September 2020 verursacht einen wsecedit.dll-Fehler in GPO-MMC bei Windows Server 2016. Dadurch wird der Gruppenrichtlinieneditor unbrauchbar. Es gibt aber einen temporären Workaround, um den Absturz zu verhindern und Microsoft hat den Bug inzwischen eingestanden.
Anzeige
Der Fehler in GPO-MMC
Ich hatte es im Blog-Beitrag Windows Server 2016: Update KB4577015 verursacht GPO-MMC wsecedit.dll-Fehler bereits detaillierter angesprochen. Administratoren, die das Sicherheitsupdate KB4577015 vom 8. September 2020 auf Windows Server 2016 installieren, bekommen ein Problem. Der Gruppenrichtlinieneditor (gpedit.msc) wirft bei Änderungen der Sicherheitsoptionen einen wsecedit.dll-Fehler beim Laden eines MMC-Snap-Ins. Der Fehler tritt auf, wenn man versucht, in den Gruppenrichtlinien folgenden Pfad zu durchlaufen:
Computerkonfiguration > Windows-Einstellung > Sicherheitseinstellungen > lokale Richtlinie > Sicherheitsoptionen
Es erscheint eine gpedit.msc-Fehlermeldung, dass ein MMC-Snap-In nicht geladen werden kann, weil ein wsecedit.dll-Fehler aufgetreten sei.
Anzeige
Der Hinweis, den Gruppenrichtlinieneditor neu zu starten oder den Fehler in der Sitzung zu ignorieren, hilft nicht. Die Funktionen zum Anpassen der Sicherheitsoptionen lassen sich nicht mehr verwenden. In Microsofts Q&A gibt es den Post GPMC error for "Security Options" after Updates 2020-09 in Windows Server 2016 Domain Controllers, wo mehrere Nutzer den Fehler bestätigen. Dort hatte ich ebenfalls einen Kommentar zum Problem hinterlassen.
Microsoft bestätigt den Fehler
Den Kollegen von Bleeping Computer ist aufgefallen, dass Microsoft diesen Bug auf der Statusseite für Windows 10 Version 2016 und Windows Server 2016 bestätigt hat. Dort heißt es:
Unable to access Security Options section in Group Policy Management Console
Accessing the Security Options data view in the Group Policy Management Editor (gpedit.msc) or Local Security Policy Editor (secpol.msc) might fail with the error "MMC has detected an error in a snap-in. It is recommended that you shut down and restart MMC" or "MMC cannot initialize the snap-in". This occurs from the MMC window, when the console tree is expanded in the following sequence: select Computer Configuration, then Policies, then Windows Settings, then Security Settings, then Local Policies, then Security Options.
The resulting error dialog provides options to continue using the Management Console to view other nodes normally. Note: This issue does not affect the application of the Security Options or any other Group Policy Objects (GPOs) to devices in your environment.
Affected platforms:
- Client: Windows 10 Enterprise LTSC 2016; Windows 10, version 1607
- Server: Windows Server 2016
Workaround: To mitigate this issue, you can install Remote Administrative tools on a device running Windows 10, version 1709 or later. This will allow you to run Group Policy Management Console and edit GPOs on the affected server.
Next steps: We are working on a resolution and will provide an update in an upcoming release.
Das ist die Fehlerbeschreibung, die ich oben gepostet habe. Microsoft arbeitet an der Fehlerbeseitigung und will beim nächsten Update-Release eine Korrektur ausrollen. Als Workaround wird die Verwendung der Remote Administrator-Tools auf einem anderen Rechner mit Windows 10 Version 1709 oder höher empfohlen. Ich hatte einen alternativen Weg in Form eines temporären Registrierungseingriffs vorgeschlagen (siehe Windows Server 2016: Workaround für GPO-MMC wsecedit.dll-Fehler). Der Workaround funktioniert und wurde vor einer Woche von einem Nutzer (wie auch die Microsoft-Lösung) in der Microsofts Q&A im Post GPMC error for "Security Options" after Updates 2020-09 in Windows Server 2016 Domain Controllers vorgeschlagen.
Ähnliche Artikel:
Windows Server 2016: Update KB4577015 verursacht GPO-MMC wsecedit.dll-Fehler
Windows Server 2016: Workaround für GPO-MMC wsecedit.dll-Fehler
Gruppenrichtlinien-Problem DE/EN bei Active Directory Domain-Server
Windows 10: Update KB4571756 löst Fehler im Gruppenrichtlinieneditor aus
gpedit.msc meldet $(String.RequirePrivateStoreOnly)
gpsearch: Suche in Windows 10 V1803 Gruppenrichtlinien
Anzeige
Würden Sie sich den Patch dann einfach sparen diesen Monat? Oder wie verfahren Sie hier?
Ich betreibe keinen Windows Server 2016 – aber KB4577015 ist ein Sicherheitsupdate, welches auch einige Sachen fixt und den WSUS für ein Update-Scan per https vorbereitet. Also den KB-Artikel studieren und ggf. entscheiden, ob man bis zum nächsten Patchday zittert oder die angegebenen Workarounds für den gpedit.msc verwendet.
Da der Workaround funktioniert und dadurch auch nur eine bestimmte Einstellung in der gpmc nicht verfügbar ist, sollte jeder, der diese Einstellung nicht permanent anpassen will, das Update durchführen. Wenn besagte Einstellung bereits konfiguriert ist, wird diese auch weiterhin angewendet.