2016/06/17

Active Directoryの管理者の方へ、6 月の更新 MS16-072 (KB3159398) は要注意 (訂正あり)

6/27 追記)
こちらにより詳しく... → @IT 更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法 (http://www.atmarkit.co.jp/ait/articles/1606/27/news016.html)

Active Directory ドメインのグループ ポリシーに関して、2016 年 6 月の MS16-072 (KB3159398) で、グループ ポリシー オブジェクト (GPO) の適用に関して大きな仕様変更が行われています。サポート期間中の Windows (Windows Vista SP2 以降) はすべて影響すると思います。

マイクロソフト セキュリティ情報 MS16-072 - 重要:グループ ポリシーのセキュリティ更新プログラム (3163622)
[URL] https://technet.microsoft.com/library/security/MS16-072

昨日からなんじゃとて、なんでなのん? ってとある GPO が適用できずに悩んでたんですが、セキュリティ更新の影響でござんした。以下の KB の Known Issues に書いてありました。

MS16-072: Description of the security update for Group Policy: June 14, 2016
[URL] https://support.microsoft.com/en-us/kb/3159398

追記) 日本 MS のサポート公式ブログにも出てました。

「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある
[URL] https://blogs.technet.microsoft.com/jpntsblog/2016/06/17/ms16-072/
 


GPO をドメインや OU にリンクするだけなら影響しないのですが、セキュリティ フィルターにユーザーやグループを指定して、特定のユーザーやグループを対象に適用しようとした場合、仕様変更が影響することがあります。

例えば、demouser01 さんだけに Desktop Policy GPO を適用しようという場合、既定の Authenticated Users を削除して、demouser01 を追加します。以前はこれで問題なく、期待どおりに動作しました。


しかし、クライアント側に MS16-072 (KB3159398) がインストールされていると、このようなセキュリティ フィルターが設定されている GPO は処理されなくなります。

「ユーザーの構成」のポリシー処理は、これまでログオン ユーザーのセキュリティ コンテキストで行われていましたが、MS16-072 (KB3159398) 後は「コンピューターの構成」ポリシーと同じくコンピューターのセキュリティ コンテキストで行われるように変更されたそうです。

ユーザーやグループ (ユーザーのグループ) がセキュリティ フィルターに設定されている場合、「未適用 (不明な理由)」になっちゃいます。


この仕様変更に対象するには、セキュリティ フィルターを設定している GPO のフィルターに、Domain Computers を追加すること。 (←初出で説明したこの方法だと、すべての Domain Computers にもこの GPO のポリシーが適用されちゃうので NG です!不適切でした。お詫びして訂正します)

この仕様変更に対応するには、GPO の[委任]タブで、[Domain Computers:読み取り] のアクセス許可を追加すること。これで、以前のようにユーザーやグループのフィルターも処理されるはず。[Authenticated Users:読み取り]のアクセス許可でもいいように思えますが、許可の範囲が大きくなっちゃうと思う。

確認するには、クライアント側で GPRESULT /R を実行してください。コンピューターに適用される GPO まで含めて確認するには、コマンド プロントを管理者として開いてから実行しましょう。

GPO のセキュリティ フィルターに、Authenticated Users (既定) がある GPO は対応不要。




1 件のコメント:

  1. そういった問題ではなく、USBがSDカードとして表示される、という不具合がKB3159398で起きました……。
    まったく個人用のWindows7です。
    KB毎回調べて、10をひたすら回避しているPCです……。
    これ消したら一発で解消されました……。
    こんなアホな不具合もありました……。
    ご報告まで。

    返信削除

注: コメントを投稿できるのは、このブログのメンバーだけです。