こちらにより詳しく... → @IT 更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法 (http://www.atmarkit.co.jp/ait/articles/1606/27/news016.html)
Active Directory ドメインのグループ ポリシーに関して、2016 年 6 月の MS16-072 (KB3159398) で、グループ ポリシー オブジェクト (GPO) の適用に関して大きな仕様変更が行われています。サポート期間中の Windows (Windows Vista SP2 以降) はすべて影響すると思います。
マイクロソフト セキュリティ情報 MS16-072 - 重要:グループ ポリシーのセキュリティ更新プログラム (3163622)
[URL] https://technet.microsoft.com/library/security/MS16-072
昨日からなんじゃとて、なんでなのん? ってとある GPO が適用できずに悩んでたんですが、セキュリティ更新の影響でござんした。以下の KB の Known Issues に書いてありました。
MS16-072: Description of the security update for Group Policy: June 14, 2016
[URL] https://support.microsoft.com/en-us/kb/3159398
追記) 日本 MS のサポート公式ブログにも出てました。
「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある
[URL] https://blogs.technet.microsoft.com/jpntsblog/2016/06/17/ms16-072/
GPO をドメインや OU にリンクするだけなら影響しないのですが、セキュリティ フィルターにユーザーやグループを指定して、特定のユーザーやグループを対象に適用しようとした場合、仕様変更が影響することがあります。
例えば、demouser01 さんだけに Desktop Policy GPO を適用しようという場合、既定の Authenticated Users を削除して、demouser01 を追加します。以前はこれで問題なく、期待どおりに動作しました。
しかし、クライアント側に MS16-072 (KB3159398) がインストールされていると、このようなセキュリティ フィルターが設定されている GPO は処理されなくなります。
「ユーザーの構成」のポリシー処理は、これまでログオン ユーザーのセキュリティ コンテキストで行われていましたが、MS16-072 (KB3159398) 後は「コンピューターの構成」ポリシーと同じくコンピューターのセキュリティ コンテキストで行われるように変更されたそうです。
ユーザーやグループ (ユーザーのグループ) がセキュリティ フィルターに設定されている場合、「未適用 (不明な理由)」になっちゃいます。
この仕様変更に対応するには、GPO の[委任]タブで、[Domain Computers:読み取り] のアクセス許可を追加すること。これで、以前のようにユーザーやグループのフィルターも処理されるはず。[Authenticated Users:読み取り]のアクセス許可でもいいように思えますが、許可の範囲が大きくなっちゃうと思う。
確認するには、クライアント側で GPRESULT /R を実行してください。コンピューターに適用される GPO まで含めて確認するには、コマンド プロントを管理者として開いてから実行しましょう。
GPO のセキュリティ フィルターに、Authenticated Users (既定) がある GPO は対応不要。
そういった問題ではなく、USBがSDカードとして表示される、という不具合がKB3159398で起きました……。
返信削除まったく個人用のWindows7です。
KB毎回調べて、10をひたすら回避しているPCです……。
これ消したら一発で解消されました……。
こんなアホな不具合もありました……。
ご報告まで。