Gruppenrichtlinie wird nicht (mehr) ausgeführt - in Folge keine E-Mail Signatur

CI-Sign wird bei der Anmeldung nicht ausgeführt - die Gruppenrichtlinie greift nicht (mehr). MS16-072 Patchday bringt massive Änderung im Übernahmeprozess von Gruppenrichtlinien.

Seit kurzem erhalten wir vermehrt Meldungen, dass CI-Sign bei der Anmeldung am System nicht mehr ausgeführt wird. Die Signatur wird folglich nicht aktualisiert. Dieses "Phänomen" tritt immer im Zusammenhang mit Gruppenrichtlinien auf.

Grund hierfür ist das Patch MS16-072 - KB3163622 - Patch KB3159398 - Patchday 14.06.2016

Mit diesem Patch hat Microsoft eine gravierende Änderung am Übernahmeprozess der Richtlinien vollzogen. Vereinfacht gesagt, erfolgte der initiale Lesevorgang der gültigen Richtlinien bisher aus dem Benutzerkontext heraus. Seit dem Patch, findet der Lesevorgang mit dem Computerkonto statt.

Berechtigung. Berechtigung. Berechtigung. Immer diese Berechtigung...

Um Gruppenrichtlinien auf bestimmte Benutzer/Gruppen zu begrenzen, werden die "Authentifizierten Benutzer" häufig aus der Sicherheitsfilterung der Richtlinie entfernt. Das Computerkonto gehört allerdings auch zu "Authentifizierten Benutzer". Hier kommt der Perspektivwechsel also zum tragen. Der Lesevorgang erfolgt nun mit dem Computerkonto, welches durch die Sicherheitsfilterung aber keine Leserechte mehr an dem Objekt hat. Pech gehabt... Die Richtlinie wird ignoriert. Und man fragt sich: was ist da jetzt los... ich hab doch nichts geändert...?! :-)

Gruppenrichtlinien

Akute Abhilfe: Leserechte für Authentifizierte Benutzer erteilen

Fügen Sie den entsprechenden Richtlinien über den Reiter "Delegation" die "Authentifizierten Benutzer" mit Leserechten hinzu. Alternativ können Sie auch die Gruppe "Domänencomputer" verwenden. Wichtig: Das muss zwingend über "Delegation" erfolgen. Nur hierüber haben Sie die Möglichkeit die Berechtigung explizit auf "lesen" zu setzen. Die Richtlinie soll ja weiterhin nur für einen eingeschränkten Personenkreis ausgeführt werden. Mit dem Unterschied, dass die Richtlinie jetzt auch für Computerobjekte sichtbar ist.

Leserechte

Was soll das?

"Well, it's complicated." (Quelle) Sehr schön... :-). Kurzfassung: Es hat sicherheitsrelevante Gründe und soll einen möglichen Man-in-the-middle Angriff zwischen PC und DC verhindern.

Lerne Neues – weitere Infos

Meine Beschreibung ist ganz bewusst einfach gehalten. Es dient der Verständlichkeit und soll in erster Linie eine schnelle Abhilfe ermöglichen. Sofern Sie sich weitergehend informieren möchten, hier finden Sie entsprechenden Lesestoff:

Neuen Kommentar schreiben

Das könnte Sie auch interessieren

Exchange Warteschlange voll aufgrund von "Acknowledgement delay"

In Verbindung mit CI-Mail-Policy und "Acknowledgement delay" (ab Exchange 2010) kann es zu vollen Warteschlangen / Mail-Queues kommen. Mit Exchange 2010 wurde die sog. Shadow-Redundanz eingeführt. Diese verzögert das Löschen einer Nachricht aus den...

Exchange Server 2013 Updates & CI-Mail-Policy

Bei der Installation von Exchange Service Packs und Rollup Fixes kann es zu Problemen mit Drittanbieter Software kommen. Hier erfahren Sie warum und was zu tun ist. Bei der Installation von Service Packs und Rollups (RUs) bzw. Cumulative Updates (CUs) werden Dienste...

Fehlerhafte Darstellung von Listensymbolen seitens Exchange / Outlook / OWA.

In den letzten Tagen erreichen uns vermehrt Anfragen bzgl. Listensymbolen und deren Darstellung nach dem Versand. Im Screenshot wird die gleiche E-Mail einmal mit Outlook, einmal mit OWA dargestellt. Das Problem ist auch ohne Veränderung serverseitig nachvollziehbar und somit...