{"id":226760,"date":"2020-01-10T00:15:00","date_gmt":"2020-01-09T23:15:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226760"},"modified":"2020-01-09T20:06:27","modified_gmt":"2020-01-09T19:06:27","slug":"windows-10-v1909-und-ein-mgliches-gpo-problem-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/10\/windows-10-v1909-und-ein-mgliches-gpo-problem-teil-2\/","title":{"rendered":"Windows 10 V1909 und ein mögliches GPO-Problem – Teil 2"},"content":{"rendered":"

[English<\/a>]Im Windows 10 November 2019 Update (Version 1909) scheint es ein Problem mit der Auslieferung von Gruppenrichtlinien zu geben, da diese nicht zuverl\u00e4ssig aktiviert werden k\u00f6nnen. Hatte ich vor einigen Tagen bereits angesprochen. Nun sind mir neue Informationen von einem betroffenen Blog-Leser zugegangen. M\u00f6glicherweise ist der Windows Defender, der \u00fcber die ISO-Installationsmedien f\u00fcr Windows 10 Version 1909 verteilt wird, an den Problemen beteiligt. <\/p>\n

<\/p>\n

Worum geht es?<\/h2>\n

\"\"Blog-Leser Markus K. hatte mich Ende 2019 \u00fcber eine merkw\u00fcrdige Beobachtung im Zusammenhang mit Windows 10 November 2019 Update (Version 1909) und Gruppenrichtlinien informiert. Einige Testsysteme mit dem Windows 10 November 2019 Update (Version 1909) zeigen das merkw\u00fcrdige Verhalten, dass Gruppenrichtlinien nicht immer greifen. <\/p>\n

Markus K. schrieb mir, dass auf Rechnern mit Windows 10 Version 1909 es einfach Zufall sei, ob eine Gruppenrichtlinie greife oder nicht. Weder die Ereignisprotokolle (Eventlog) noch GPSVC Log liefern besonders viel sinnvolles, so seine Aussage. Ich hatte das Ganze am 30. Dezember 2019 im Beitrag Windows 10 V1909 und ein m\u00f6gliches GPO-Problem<\/a> hier im Blog angesprochen. In den Diskussionen zum Beitrag kristallisierte sich heraus, dass andere Leser das Verhalten auch beobachten konnten. <\/p>\n

Neue Informationen zum Problem<\/h2>\n

Die letzten Stunden hat mich Blog-Leser Markus K. \u00fcber weitere Erkenntnisse informiert. In den Kommentaren zu obigem Blog-Beitrag angegebene Tipps (wie Caching oder Richtlinie Configure security policy processing<\/em> setzen) scheinen nichts zu bringen. Dazu schrieb mir Markus: Allen im Blog gegebenen Hinweisen gefolgt, leider ergebnislos. Das Log sieht \u00fcbrigens so aus:<\/em><\/p>\n

\n

GPSVC(4dc.62c) 08:47:18:084 ProcessGPOs(Machine): Processing extension Registrierung
GPSVC(4dc.62c) 08:47:18:084 ReadStatus: Read Extension's Previous status successfully.
GPSVC(4dc.62c) 08:47:18:084 ReadGPOList:++
GPSVC(4dc.62c) 08:47:18:084 CheckGPOs: ReadGPOList count = 0
GPSVC(4dc.62c) 08:47:18:085 CompareGPOLists:  One list is empty
GPSVC(4dc.62c) 08:47:18:085 GPLockPolicySection: Sid = (null), dwTimeout = 30000, dwFlags = 0x40
GPSVC(4dc.62c) 08:47:18:085 bMachine = 1
GPSVC(4dc.62c) 08:47:18:085 Global Sync Lock Called
GPSVC(4dc.62c) 08:47:18:086 Writer Lock got immediately.
GPSVC(4dc.62c) 08:47:18:086 Global Lock taken successfully
GPSVC(4dc.62c) 08:47:18:086 ProcessGPOList:++ Entering for extension Registrierung
GPSVC(4dc.62c) 08:47:18:086 MachinePolicyCallback: Setting status UI to Richtlinie \"Registrierung\" wird \u00fcbernommen…
GPSVC(4dc.62c) 08:47:18:090 LogExtSessionStatus: Successfully logged Extension Session data
GPSVC(4dc.62c) 08:47:18:091 GPLockPolicySection: Sid = (null), dwTimeout = 60000, dwFlags = 0x42
GPSVC(4dc.62c) 08:47:18:091 Registry Sync Lock Called
GPSVC(4dc.62c) 08:47:18:091 Writer Lock got immediately.
GPSVC(4dc.62c) 08:47:18:091 Registry Lock taken successfully
GPSVC(4dc.62c) 08:47:18:094 ResetPolicies: Entering.
GPSVC(4dc.62c) 08:47:18:094 SetPolicyOwnerOnKey: Setting owner on reg key on <Software\\Policies>.
GPSVC(4ec.66c) 08:58:41:299 SetPolicyOwnerOnKey: Setting owner on reg key on <Software\\Policies>.
GPSVC(4ec.66c) 08:58:41:299 SetPolicyOwnerOnKey: Setting owner on reg key on <Software\\Microsoft\\Windows\\CurrentVersion\\Policies>.
GPSVC(4ec.66c) 08:58:41:299 SetPolicyOwnerOnKey: Setting owner on reg key on <System\\CurrentControlSet\\Policies>.
GPSVC(4ec.66c) 08:58:41:300 ParseRegistryFile: Entering with <C:\\ProgramData\\ntuser.pol>.
GPSVC(4ec.66c) 08:58:41:300 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\SystemCertificates\\EFS\\EFSBlob
GPSVC(4ec.66c) 08:58:41:301 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\SystemCertificates\\EFS\\Certificates\\
13A2741223481A329363D0BDCEAA9995FED85A70\\Blob
GPSVC(4ec.66c) 08:58:41:301 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\SystemCertificates\\EFS\\CRLs\\
\u2026.
GPSVC(4dc.62c) 08:47:18:098 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows\\System\\EnableSmartScreen
GPSVC(4dc.62c) 08:47:18:099 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows\\System\\ShellSmartScreenLevel
GPSVC(4dc.62c) 08:47:18:099 RegCleanUpKey:  Failed to delete value <DisableAntiSpyware> with 5.
GPSVC(4dc.62c) 08:47:18:099 DeleteRegistryValue: Failed to delete Software\\Policies\\Microsoft\\Windows Defender\\DisableAntiSpyware
GPSVC(4dc.62c) 08:47:18:099 ParseRegistryFile: Callback function returned false.
\u2026
GPSVC(4dc.62c) 08:47:18:238 ProcessGPOs(Machine): Extension Registrierung ProcessGroupPolicy failed, status 0x80004005.<\/p>\n<\/blockquote>\n

Am Ende des Logs gibt es pl\u00f6tzlich einen Zugriffsfehler 0x80004005. Das ist zumindest eine Spur. <\/p>\n

Der Windows Defender spuckt mit rein<\/h3>\n

In weiteren Tests ging Markus dann der Sache nach und kam auf eine m\u00f6gliche Ursache. Dazu schrieb er in einer Folgemail:<\/p>\n

\n

Starkes Ding! Der Windows Defender (wird bei uns als AV-L\u00f6sung eingesetzt) ist schuld!<\/p>\n

Es gibt bei uns eine GPO mit security filtering mit Computergruppe, in die man einen Rechner geben kann, um den Defender abzudrehen. Installiert man den Rechner mit deaktiviertem Windows Defender, werden alle GPOs angewendet! <\/p>\n

Installiert man selbes Ger\u00e4t erneut mit aktiviertem Defender ist Ende im Gel\u00e4nde! <\/p>\n<\/blockquote>\n

Markus hat den Testrechner mit Windows 10 Version 1909 [und abgedrehtem Defender] wieder in die Computergruppe gegeben und zwei mal neu gestartet. Hier ein neuer Log-Auszug:<\/p>\n

\n

GPSVC(4ec.66c) 08:58:41:281 ProcessGPOs(Machine): —————
GPSVC(4ec.66c) 08:58:41:281 ProcessGPOs(Machine): Processing extension Registrierung
GPSVC(4ec.66c) 08:58:41:282 ReadStatus: Read Extension's Previous status successfully.
GPSVC(4ec.66c) 08:58:41:282 ReadGPOList:++
GPSVC(4ec.66c) 08:58:41:282 CheckGPOs: ReadGPOList count = 0
GPSVC(4ec.66c) 08:58:41:282 CompareGPOLists:  One list is empty
GPSVC(4ec.66c) 08:58:41:283 GPLockPolicySection: Sid = (null), dwTimeout = 30000, dwFlags = 0x40
GPSVC(4ec.66c) 08:58:41:283 bMachine = 1
GPSVC(4ec.66c) 08:58:41:283 Global Sync Lock Called
GPSVC(4ec.66c) 08:58:41:283 Writer Lock got immediately.
GPSVC(4ec.66c) 08:58:41:283 Global Lock taken successfully
GPSVC(4ec.66c) 08:58:41:283 ProcessGPOList:++ Entering for extension Registrierung
GPSVC(4ec.66c) 08:58:41:283 MachinePolicyCallback: Setting status UI to Richtlinie \"Registrierung\" wird \u00fcbernommen…
GPSVC(4ec.66c) 08:58:41:284 GetWbemServices: CoCreateInstance succeeded
GPSVC(4ec.66c) 08:58:41:288 ConnectToNameSpace: ConnectServer returned 0x0
GPSVC(4ec.66c) 08:58:41:297 LogExtSessionStatus: Successfully logged Extension Session data
GPSVC(4ec.66c) 08:58:41:297 GPLockPolicySection: Sid = (null), dwTimeout = 60000, dwFlags = 0x42
GPSVC(4ec.66c) 08:58:41:297 Registry Sync Lock Called
GPSVC(4ec.66c) 08:58:41:297 Writer Lock got immediately.
GPSVC(4ec.66c) 08:58:41:297 Registry Lock taken successfully
GPSVC(4ec.66c) 08:58:41:299 ResetPolicies: Entering.
GPSVC(4ec.66c) 08:58:41:299 SetPolicyOwnerOnKey: Setting owner on reg key on <Software\\Policies>.
GPSVC(4ec.66c) 08:58:41:299 SetPolicyOwnerOnKey: Setting owner on reg key on <Software\\Microsoft\\Windows\\CurrentVersion\\Policies>.
GPSVC(4ec.66c) 08:58:41:299 SetPolicyOwnerOnKey: Setting owner on reg key on <System\\CurrentControlSet\\Policies>.
GPSVC(4ec.66c) 08:58:41:300 ParseRegistryFile: Entering with <C:\\ProgramData\\ntuser.pol>.
GPSVC(4ec.66c) 08:58:41:300 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\SystemCertificates\\EFS\\EFSBlob
GPSVC(4ec.66c) 08:58:41:301 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\SystemCertificates\\EFS\\Certificates\\
13A2741223481A329363D0BDCEAA9995FED85A70\\Blob
GPSVC(4ec.66c) 08:58:41:301 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\SystemCertificates\\EFS\\CRLs\\
GPSVC(4ec.66c) 08:58:41:301 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\SystemCertificates\\EFS\\CTLs\\
GPSVC(4ec.66c) 08:58:41:302 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\MicrosoftEdge\\PhishingFilter\\EnabledV9
GPSVC(4ec.66c) 08:58:41:302 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows\\System\\EnableSmartScreen
GPSVC(4ec.66c) 08:58:41:303 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows\\System\\ShellSmartScreenLevel
GPSVC(4ec.66c) 08:58:41:308 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\DisableAntiSpyware
GPSVC(4ec.66c) 08:58:41:308 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\AllowFastServiceStartup
GPSVC(4ec.66c) 08:58:41:309 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\ServiceKeepAlive
GPSVC(4ec.66c) 08:58:41:309 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\RandomizeScheduleTaskTimes
GPSVC(4ec.66c) 08:58:41:310 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\Exclusions\\Exclusions_Paths
GPSVC(4ec.66c) 08:58:41:310 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\Exclusions\\Paths\\c:\\empirumagent
GPSVC(4ec.66c) 08:58:41:311 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\Quarantine\\PurgeItemsAfterDelay
GPSVC(4ec.66c) 08:58:41:311 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\Real-Time Protection\\DisableOnAccessProtection
GPSVC(4ec.66c) 08:58:41:311 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\Real-Time Protection\\DisableIOAVProtection
GPSVC(4ec.66c) 08:58:41:311 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\Real-Time Protection\\DisableScanOnRealtimeEnable
GPSVC(4ec.66c) 08:58:41:312 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\Real-Time Protection\\DisableBehaviorMonitoring
GPSVC(4ec.66c) 08:58:41:312 DeleteRegistryValue: Deleted Software\\Policies\\Microsoft\\Windows Defender\\Real-Time Protection\\DisableRawWriteNotification
.
GPSVC(4ec.66c) 08:58:42:062 ProcessGPOList: Extension Registrierung was able to log data. RsopStatus = 0x0, dwRet = 0, Clearing the dirty bit<\/p>\n<\/blockquote>\n

Der Fehlercode 0x80004005 kommt im Log nicht mehr vor. Markus schreibt, dass er das Ganze eindeutig reproduzieren kann. Seine erste Mutma\u00dfung war, dass es m\u00f6glicherweise an den Defender-Einstellungen liegen k\u00f6nnte. Bei Tests in den letzten Tagen mit diversen Szenarien gab es aber ein krudes Fehlerbild. <\/p>\n