Gruppenrichtlinie wird nicht (mehr) ausgeführt - in Folge keine E-Mail Signatur

CI-Sign wird bei der Anmeldung nicht ausgeführt - die Gruppenrichtlinie greift nicht (mehr). MS16-072 Patchday bringt massive Änderung im Übernahmeprozess von Gruppenrichtlinien.

Seit kurzem erhalten wir vermehrt Meldungen, dass CI-Sign bei der Anmeldung am System nicht mehr ausgeführt wird. Die Signatur wird folglich nicht aktualisiert. Dieses "Phänomen" tritt immer im Zusammenhang mit Gruppenrichtlinien auf.

Grund hierfür ist das Patch MS16-072 - KB3163622 - Patch KB3159398 - Patchday 14.06.2016

Mit diesem Patch hat Microsoft eine gravierende Änderung am Übernahmeprozess der Richtlinien vollzogen. Vereinfacht gesagt, erfolgte der initiale Lesevorgang der gültigen Richtlinien bisher aus dem Benutzerkontext heraus. Seit dem Patch, findet der Lesevorgang mit dem Computerkonto statt.

Berechtigung. Berechtigung. Berechtigung. Immer diese Berechtigung...

Um Gruppenrichtlinien auf bestimmte Benutzer/Gruppen zu begrenzen, werden die "Authentifizierten Benutzer" häufig aus der Sicherheitsfilterung der Richtlinie entfernt. Das Computerkonto gehört allerdings auch zu "Authentifizierten Benutzer". Hier kommt der Perspektivwechsel also zum tragen. Der Lesevorgang erfolgt nun mit dem Computerkonto, welches durch die Sicherheitsfilterung aber keine Leserechte mehr an dem Objekt hat. Pech gehabt... Die Richtlinie wird ignoriert. Und man fragt sich: was ist da jetzt los... ich hab doch nichts geändert...?! :-)

Gruppenrichtlinien

Akute Abhilfe: Leserechte für Authentifizierte Benutzer erteilen

Fügen Sie den entsprechenden Richtlinien über den Reiter "Delegation" die "Authentifizierten Benutzer" mit Leserechten hinzu. Alternativ können Sie auch die Gruppe "Domänencomputer" verwenden. Wichtig: Das muss zwingend über "Delegation" erfolgen. Nur hierüber haben Sie die Möglichkeit die Berechtigung explizit auf "lesen" zu setzen. Die Richtlinie soll ja weiterhin nur für einen eingeschränkten Personenkreis ausgeführt werden. Mit dem Unterschied, dass die Richtlinie jetzt auch für Computerobjekte sichtbar ist.

Leserechte

Was soll das?

"Well, it's complicated." (Quelle) Sehr schön... :-). Kurzfassung: Es hat sicherheitsrelevante Gründe und soll einen möglichen Man-in-the-middle Angriff zwischen PC und DC verhindern.

Lerne Neues – weitere Infos

Meine Beschreibung ist ganz bewusst einfach gehalten. Es dient der Verständlichkeit und soll in erster Linie eine schnelle Abhilfe ermöglichen. Sofern Sie sich weitergehend informieren möchten, hier finden Sie entsprechenden Lesestoff:

Deutsch

Neuen Kommentar schreiben

Das könnte Sie auch interessieren

Windows 8.1 + MS Server 2012 R2: Login-Scripts (Anmeldeskripte) werden stark verzögert ausgeführt, in Folge keine E-Mail Signatur

Neue Standard-Einstellung ab Windows 8.1 mit Microsoft Server 2012 R2 führt zu verzögerter Ausführung von Login-Scripts. In Folge keine E-Mail Signatur nach Anmeldung am System. Dieser Artikel zeigt, was Sie dagegen tun können. Windows 8.1 bringt viele Neuerungen mit sich -...

Aufbewahrungsdauer gelöschter Elemente und deren Wiederherstellung in Exchange konfigurieren

Über die Exchange Funktion "Wiederherstellung einzelner Elemente" kann in Verbindung mit der Aufbewahrungsdauer verhindert werden, dass Anwender E-Mails / Elemente dauerhaft löschen. Damit ist unter anderem eine lückenlose E-Mail Archivierung, auch ohne Journal-Postfach, möglich...

Den Versand von „ungelesen gelöscht“ Benachrichtigungen effektiv verhindern

„Ihre Nachricht wurde ungelesen gelöscht“ Benachrichtigungen haben verschiedene Ursachen, wovon die meisten nichts mit Unhöflichkeit zu tun haben. Dieser Artikel zeigt, wie es dazu kommt und wie Sie solche Nachrichten serverseitig effektiv verhindern – zum Wohle...