Gruppenrichtlinie wird nicht (mehr) ausgeführt - in Folge keine E-Mail Signatur

CI-Sign wird bei der Anmeldung nicht ausgeführt - die Gruppenrichtlinie greift nicht (mehr). MS16-072 Patchday bringt massive Änderung im Übernahmeprozess von Gruppenrichtlinien.

Seit kurzem erhalten wir vermehrt Meldungen, dass CI-Sign bei der Anmeldung am System nicht mehr ausgeführt wird. Die Signatur wird folglich nicht aktualisiert. Dieses "Phänomen" tritt immer im Zusammenhang mit Gruppenrichtlinien auf.

Grund hierfür ist das Patch MS16-072 - KB3163622 - Patch KB3159398 - Patchday 14.06.2016

Mit diesem Patch hat Microsoft eine gravierende Änderung am Übernahmeprozess der Richtlinien vollzogen. Vereinfacht gesagt, erfolgte der initiale Lesevorgang der gültigen Richtlinien bisher aus dem Benutzerkontext heraus. Seit dem Patch, findet der Lesevorgang mit dem Computerkonto statt.

Berechtigung. Berechtigung. Berechtigung. Immer diese Berechtigung...

Um Gruppenrichtlinien auf bestimmte Benutzer/Gruppen zu begrenzen, werden die "Authentifizierten Benutzer" häufig aus der Sicherheitsfilterung der Richtlinie entfernt. Das Computerkonto gehört allerdings auch zu "Authentifizierten Benutzer". Hier kommt der Perspektivwechsel also zum tragen. Der Lesevorgang erfolgt nun mit dem Computerkonto, welches durch die Sicherheitsfilterung aber keine Leserechte mehr an dem Objekt hat. Pech gehabt... Die Richtlinie wird ignoriert. Und man fragt sich: was ist da jetzt los... ich hab doch nichts geändert...?! :-)

Gruppenrichtlinien

Akute Abhilfe: Leserechte für Authentifizierte Benutzer erteilen

Fügen Sie den entsprechenden Richtlinien über den Reiter "Delegation" die "Authentifizierten Benutzer" mit Leserechten hinzu. Alternativ können Sie auch die Gruppe "Domänencomputer" verwenden. Wichtig: Das muss zwingend über "Delegation" erfolgen. Nur hierüber haben Sie die Möglichkeit die Berechtigung explizit auf "lesen" zu setzen. Die Richtlinie soll ja weiterhin nur für einen eingeschränkten Personenkreis ausgeführt werden. Mit dem Unterschied, dass die Richtlinie jetzt auch für Computerobjekte sichtbar ist.

Leserechte

Was soll das?

"Well, it's complicated." (Quelle) Sehr schön... :-). Kurzfassung: Es hat sicherheitsrelevante Gründe und soll einen möglichen Man-in-the-middle Angriff zwischen PC und DC verhindern.

Lerne Neues – weitere Infos

Meine Beschreibung ist ganz bewusst einfach gehalten. Es dient der Verständlichkeit und soll in erster Linie eine schnelle Abhilfe ermöglichen. Sofern Sie sich weitergehend informieren möchten, hier finden Sie entsprechenden Lesestoff:

Kategorie: 

Neuen Kommentar schreiben

Das könnte Sie auch interessieren

HTML E-Mails kommen beim Empfänger als Plain-Text an

In letzter Zeit häufen sich die Fälle in denen uns Kunden berichten, dass als HTML abgesendete E-Mails beim Empfänger als Plain-Text ankommen. Dabei geht jegliche Formatierung verloren und Grafiken aus der Signatur werden als Anlagen angefügt. Die Ursache dafür ist meistens die...

Gruppenrichtlinie wird nicht (mehr) ausgeführt - in Folge keine E-Mail Signatur

CI-Sign wird bei der Anmeldung nicht ausgeführt - die Gruppenrichtlinie greift nicht (mehr). MS16-072 Patchday bringt massive Änderung im Übernahmeprozess von Gruppenrichtlinien. Seit kurzem erhalten wir vermehrt Meldungen, dass CI-Sign bei der Anmeldung am System nicht mehr...

Fehlerhafte Darstellung von Listensymbolen seitens Exchange / Outlook / OWA.

In den letzten Tagen erreichen uns vermehrt Anfragen bzgl. Listensymbolen und deren Darstellung nach dem Versand. Im Screenshot wird die gleiche E-Mail einmal mit Outlook, einmal mit OWA dargestellt. Das Problem ist auch ohne Veränderung serverseitig nachvollziehbar und somit...