Le Group Policy non vengono più applicate dopo il 14 Giugno 2016

A partire dal 14 Giugno 2016 le group policy di dominio potrebbero improvvisamente non venire più applicate a utenti e computer (con sistema operativo Windows 7 o successivo, incluso Windows 10). In questo scenario gli oggetti GPO su server non sono stati modificati oppure è già stato eseguito un controllo accurato dell’infrastruttura (sono state escluse tutte le comuni problematiche).

Il mancato caricamento dei criteri si verifica in seguito all’installazione, nei computer client, dell’aggiornamento della sicurezza di Windows KB3159398 oppure di eventuali aggiornamenti cumulativi che lo contengono (ad esempio KB3163017 e KB3163018 in Windows 10).
Potete trovare i dettagli relativi a questo aggiornamento in questa pagina:
Microsoft – MS16-072: Description of the security update for Group Policy: June 14, 2016

Questa anomalia si verifica perché Microsoft ha introdotto una modifica al meccanismo di applicazione delle group policy allo scopo di incrementare la sicurezza verso la tipologia di attacchi descritti nella Microsoft Security Bulletin MS16-072 quindi sarà ora necessario aggiungere manualmente delle nuove deleghe sull’oggetto GPO.

In questo esempio abbiamo una GPO che viene applicata solo all’utente chiamato “Student” utilizzando unicamente i filtri di sicurezza. Per far tornare a funzionare questa GPO dobbiamo aggiungere manualmente, utilizzando il tab “Deleghe” presente nella console di gestione delle Group Policy, un’autorizzazione in lettura per il gruppo “Computer del dominio” (Domain Computers).

deleg_gpo

Ovviamente tale modifica non cambierà il comportamento della GPO, che continuerà a venire applicata solo agli utenti inseriti nei filtri di sicurezza.

In tutti i casi in cui la policy viene applicata a determinati computer non si può ovviamente utilizzate il gruppo “Domain Computers”, quindi è necessario inserire invece un’autorizzazione in lettura per il gruppo “Authenticated Users”.

Dopo la modifica si consiglia di eseguire un “gpupdate /force” su tutti i client seguito, se necessario, da un riavvio.
Verificare sempre per sicurezza la corretta applicazione delle policy utilizzando l’utility “gpresult” su un client.

7 interventi su “Le Group Policy non vengono più applicate dopo il 14 Giugno 2016

  1. Carmelo Parello

    ottimo articolo complimenti!!! ho risolto nella mia scuola!!!
    Il problema è che la policy per la distribuzione di alcune stampanti non viene propagato lo stesso. In questo caso, come suggerito dall’articolo, ho dato delega solo ad Authenticated Users e non a computer del dominio poichè “la policy viene applicata a determinati computer” che ho inserito nei Filtri di Sicurezza”. Sbaglio Qualcosa?

    1. f.giammarini Autore

      Nei filtri di sicurezza hai solo gruppi di computer/oggetti computer? Hai verificato con gpresult se la policy viene effettivamente filtrata?

      1. Carmelo Parello

        Nei filtri ho i pc interessati alla stampante. Ho lanciato “gpresult /R” sia sul lato server che sul lato client: Sul Server vengono visualizzati tutte le policy correttamente;
        sul lato client invece vengono visualizzate solo alcune policy e non quelle delle stampanti. Inoltre fra i criteri esclusi non applicati perchè esclusi da filtro ne viene visualizzato anche uno:
        Criteri gruppo locale
        Filtro: Non Applicato (Causa Sconosciuta)
        Da premettere che queste policy sulle stampanti le avevo creato a fine maggio e funzionavano regolarmente per altri pc. anzi 2 di esse le avevo già implementate sul pc in questione e funzionavano.

        1. f.giammarini Autore

          Nel tuo caso gpresult va utilizzato solo sul client (scegliendo l’ambito utente o computer in base a come hai creato la policy), trovi ulteriori informazioni sull’utilizzo qui:
          https://technet.microsoft.com/it-it/library/cc733160(v=ws.11).aspx
          Comunque, poiché la delega in lettura su Authenticated Users viene configurata automaticamente per le nuove GPO, potresti provare a ricreare la group policy e poi ad impostare manualmente (non tramite filtri di sicurezza) i permessi di lettura per gli oggetti computer (meglio se organizzati almeno in gruppi).
          Altre due soluzioni alternative sono:
          – Consentire anche per questa GPO la lettura all’intero gruppo “Computer del dominio” e poi negare la lettura a oggetti/gruppi computer che non devono avere la stampante (questa soluzione è consigliabile giusto per domini di piccole dimensioni).
          – Organizzare gli oggetti computer in unità organizzative (ad esempio in base ad uno schema geografico, come stanze o sedi), creare la GPO con l’intero gruppo “Computer del dominio” in lettura e poi collegarla esclusivamente alle OU che devono avere la stampante invece che all’intero dominio. Solitamente questa è la soluzione migliore perché solitamente le stampanti vengono distribuite in base alla stanza in cui è presente il computer e non in base al solo computer.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *