Gruppenrichtlinie wird nicht (mehr) ausgeführt - in Folge keine E-Mail Signatur

CI-Sign wird bei der Anmeldung nicht ausgeführt - die Gruppenrichtlinie greift nicht (mehr). MS16-072 Patchday bringt massive Änderung im Übernahmeprozess von Gruppenrichtlinien.

Seit kurzem erhalten wir vermehrt Meldungen, dass CI-Sign bei der Anmeldung am System nicht mehr ausgeführt wird. Die Signatur wird folglich nicht aktualisiert. Dieses "Phänomen" tritt immer im Zusammenhang mit Gruppenrichtlinien auf.

Grund hierfür ist das Patch MS16-072 - KB3163622 - Patch KB3159398 - Patchday 14.06.2016

Mit diesem Patch hat Microsoft eine gravierende Änderung am Übernahmeprozess der Richtlinien vollzogen. Vereinfacht gesagt, erfolgte der initiale Lesevorgang der gültigen Richtlinien bisher aus dem Benutzerkontext heraus. Seit dem Patch, findet der Lesevorgang mit dem Computerkonto statt.

Berechtigung. Berechtigung. Berechtigung. Immer diese Berechtigung...

Um Gruppenrichtlinien auf bestimmte Benutzer/Gruppen zu begrenzen, werden die "Authentifizierten Benutzer" häufig aus der Sicherheitsfilterung der Richtlinie entfernt. Das Computerkonto gehört allerdings auch zu "Authentifizierten Benutzer". Hier kommt der Perspektivwechsel also zum tragen. Der Lesevorgang erfolgt nun mit dem Computerkonto, welches durch die Sicherheitsfilterung aber keine Leserechte mehr an dem Objekt hat. Pech gehabt... Die Richtlinie wird ignoriert. Und man fragt sich: was ist da jetzt los... ich hab doch nichts geändert...?! :-)

Gruppenrichtlinien

Akute Abhilfe: Leserechte für Authentifizierte Benutzer erteilen

Fügen Sie den entsprechenden Richtlinien über den Reiter "Delegation" die "Authentifizierten Benutzer" mit Leserechten hinzu. Alternativ können Sie auch die Gruppe "Domänencomputer" verwenden. Wichtig: Das muss zwingend über "Delegation" erfolgen. Nur hierüber haben Sie die Möglichkeit die Berechtigung explizit auf "lesen" zu setzen. Die Richtlinie soll ja weiterhin nur für einen eingeschränkten Personenkreis ausgeführt werden. Mit dem Unterschied, dass die Richtlinie jetzt auch für Computerobjekte sichtbar ist.

Leserechte

Was soll das?

"Well, it's complicated." (Quelle) Sehr schön... :-). Kurzfassung: Es hat sicherheitsrelevante Gründe und soll einen möglichen Man-in-the-middle Angriff zwischen PC und DC verhindern.

Lerne Neues – weitere Infos

Meine Beschreibung ist ganz bewusst einfach gehalten. Es dient der Verständlichkeit und soll in erster Linie eine schnelle Abhilfe ermöglichen. Sofern Sie sich weitergehend informieren möchten, hier finden Sie entsprechenden Lesestoff:

Neuen Kommentar schreiben

Das könnte Sie auch interessieren

Exchange Server 2013 Updates & CI-Mail-Policy

Bei der Installation von Exchange Service Packs und Rollup Fixes kann es zu Problemen mit Drittanbieter Software kommen. Hier erfahren Sie warum und was zu tun ist. Bei der Installation von Service Packs und Rollups (RUs) bzw. Cumulative Updates (CUs) werden Dienste...

Aufbewahrungsdauer gelöschter Elemente und deren Wiederherstellung in Exchange konfigurieren

Über die Exchange Funktion "Wiederherstellung einzelner Elemente" kann in Verbindung mit der Aufbewahrungsdauer verhindert werden, dass Anwender E-Mails / Elemente dauerhaft löschen. Damit ist unter anderem eine lückenlose E-Mail Archivierung, auch ohne Journal-Postfach, möglich...

System.Exception: Fehler beim Erstellen des Webproxys, der im Konfigurationsabschnitt system.net/defaultproxy angegeben ist.

Der Fehler tritt in Verbindung mit Windows Version: 1803 auf und hat primär nichts mit einem Problem in unserer Software zu tun als vielmehr die Systemanforderung SMB seitens Windows. Das Problem bzw. der Fehler tritt auf wenn die Software (z.B. ci-oof.exe) von einem...