ETL Asked: 2016-09-19 10:38:01 +0800 CST2016-09-19 10:38:01 +0800 CST 2016-09-19 10:38:01 +0800 CST 某些组策略在 Windows 更新后不适用 772 服务器:Windows 2008R2 服务:微软远程桌面服务/会话主机 情况: 假设 10 个组策略对象适用于给定用户。当用户 RDP 到 ServerA 时,所有 10 个策略对象都正确应用。但是登录到 ServerB 时,只应用了 8 个策略对象。 在 ServerB 上执行的 RSoP 表明所有 10 个策略对象都应该应用。 查看事件日志,我没有发现任何异常表明为什么只应用了 8 个策略对象。 group-policy 1 个回答 Voted Best Answer ETL 2016-09-19T15:03:08+08:002016-09-19T15:03:08+08:00 当心 Windows 更新! 找到罪魁祸首 - KB3159398:MS16-072:组策略安全更新说明:2016 年 6 月 14 日。 事实证明,这已安装在未应用某些组策略且未安装在行为正确的服务器上。 引用知识库: 此安全更新解决了 Microsoft Windows 中的一个漏洞。如果攻击者对域控制器和目标计算机之间传递的流量发起中间人 (MiTM) 攻击,该漏洞可能允许特权提升。 已知的问题 MS16-072 更改检索用户组策略的安全上下文。这种设计上的行为更改可保护客户的计算机免受安全漏洞的影响。在安装 MS16-072 之前,使用用户的安全上下文检索用户组策略。安装 MS16-072 后,使用计算机的安全上下文检索用户组策略。 所有用户组策略,包括那些已在用户帐户或安全组或两者上进行安全过滤的用户组策略,可能无法在加入域的计算机上应用。 原因: 如果组策略对象缺少 Authenticated Users 组的读取权限,或者您正在使用安全筛选并且缺少域计算机组的读取权限,则可能会出现此问题。 解析度: 要解决此问题,请使用组策略管理控制台 (GPMC.MSC) 并执行以下步骤之一: 添加对组策略对象 (GPO) 具有读取权限的 Authenticated Users 组。 如果您使用安全过滤,请添加具有读取权限的域计算机组。 未应用的策略对象是对某个用户组或用户列表进行安全过滤的策略对象,而不是Authenticated Users。如上所述,更新后的服务器无法读取这些策略,因为读取策略对象是使用计算机帐户而不是用户帐户完成的。通过将域计算机组添加到安全过滤器,计算机帐户现在可以读取策略。在那之后一切似乎都很好。策略对象仍然被用户过滤,但是这些对象可以被计算机读取。
当心 Windows 更新!
找到罪魁祸首 - KB3159398:MS16-072:组策略安全更新说明:2016 年 6 月 14 日。
事实证明,这已安装在未应用某些组策略且未安装在行为正确的服务器上。
引用知识库:
未应用的策略对象是对某个用户组或用户列表进行安全过滤的策略对象,而不是Authenticated Users。如上所述,更新后的服务器无法读取这些策略,因为读取策略对象是使用计算机帐户而不是用户帐户完成的。通过将域计算机组添加到安全过滤器,计算机帐户现在可以读取策略。在那之后一切似乎都很好。策略对象仍然被用户过滤,但是这些对象可以被计算机读取。