locked
Gpo s'applique avec groupe par defaut mais pas groupe custom RRS feed

  • Question

  • Bonjour.

    J'ouvre ce topic pour vous faire part d'un problème que je rencontre sur deux de mes sites depuis ce matin et ceux sans que l'on touché quoique ce soit.

    Je précise que nous n'avons que des droits de délégations sur le domaine, notre marge de manœuvre est donc limité.

    Sur 2 de nos sites, toutes les gpo disposent de filtrage de sécurités par groupes AD en fonction de ce que l'on souhaite faire (fonctionnement normal quoi).

    Sauf que depuis ce matin, ces gpo ne s'appliquent plus sauf si le filtrage de sécurité inclus des groupes par défaut de l'ad (en l’occurrence le groupe "utilisateurs authentifiés"), ca ne marche plus avec un groupe custom du style "gg_compta" par exemple.

    Un GPRESULT sur les postes ne voit même pas de gpo si ce genre de groupe n'est pas utilisé (non listé dans els gpo refusé, c'est ce que je veux dire), comme si la GPO n'avait pas été crée enfaite....

    Ce phénomène touche 2 sites, un DC et un RODC, sans impacté sur deux autres sites avec RODC, la synchronisation semble fonctionner....

    Auriez vous une piste a explorer ? parce que là je sèche un peu....

    Merci pour vos réponses.

    jeudi 16 juin 2016 17:48

Réponses

  • Bonjour,

    Nous avons eu également le problème ce matin chez nous. Cela viens d'une MAJ qui vient avec la KB3159398.

    2 solutions :

     - Essaie de la désinstaller et de tester le bon fonctionnement de ta GPO.

     - Ajoute Utilisateurs Authentifié en lecture dans l'onglet délégation de ta GPO

    Pour nous cela a résolu le problème.

    Cordialement,

    jeudi 16 juin 2016 23:48
  • Bonjour,

    un changement important et pas très documenté :

    https://support.microsoft.com/en-us/kb/3163622 (MS16-072)

    Extrait principal:

    MS16-072 changes the security context with which user group policies are retrieved. This by-design behavior change protects customers’ computers from a security vulnerability. Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the computer's security context. This issue is applicable for the following KB articles:
    • 3159398 MS16-072: Description of the security update for Group Policy: June 14, 2016
    • 3163017 Cumulative update for Windows 10: June 14, 2016
    • 3163018 Cumulative update for Windows 10 Version 1511 and Windows Server 2016 Technical Preview 4: June 14, 2016
    • 3163016 Cumulative Update for Windows Server 2016 Technical Preview 5: June 14 2016

    Symptoms

    All user Group Policy, including those that have been security filtered on user accounts or security groups, or both, may fail to apply on domain joined computers.

    La version française (traduite?) ne parle pas de cet impact !!!

    https://support.microsoft.com/fr-fr/kb/3163622

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    vendredi 17 juin 2016 06:04

Toutes les réponses

  • Faites un dcdiag pour vérifier l'état de vos DC + repadmin /showrepl. 

    Ensuite sur un des postes regarder dans l'observateur d'événement sous « Journal des applications et des services / Microsoft / Windows / Group Policy » et chercher les erreurs + journal système.

    Vous pouvez également utiliser l'assistant de résultat et/ou de modélisation de stratégie de groupe.

     

    jeudi 16 juin 2016 19:53
  • Bonjour,

    Nous avons eu également le problème ce matin chez nous. Cela viens d'une MAJ qui vient avec la KB3159398.

    2 solutions :

     - Essaie de la désinstaller et de tester le bon fonctionnement de ta GPO.

     - Ajoute Utilisateurs Authentifié en lecture dans l'onglet délégation de ta GPO

    Pour nous cela a résolu le problème.

    Cordialement,

    jeudi 16 juin 2016 23:48
  • Bonjour,

    un changement important et pas très documenté :

    https://support.microsoft.com/en-us/kb/3163622 (MS16-072)

    Extrait principal:

    MS16-072 changes the security context with which user group policies are retrieved. This by-design behavior change protects customers’ computers from a security vulnerability. Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the computer's security context. This issue is applicable for the following KB articles:
    • 3159398 MS16-072: Description of the security update for Group Policy: June 14, 2016
    • 3163017 Cumulative update for Windows 10: June 14, 2016
    • 3163018 Cumulative update for Windows 10 Version 1511 and Windows Server 2016 Technical Preview 4: June 14, 2016
    • 3163016 Cumulative Update for Windows Server 2016 Technical Preview 5: June 14 2016

    Symptoms

    All user Group Policy, including those that have been security filtered on user accounts or security groups, or both, may fail to apply on domain joined computers.

    La version française (traduite?) ne parle pas de cet impact !!!

    https://support.microsoft.com/fr-fr/kb/3163622

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    vendredi 17 juin 2016 06:04
  • Merci pour votre suivi,

    Effectivement après investigation il semblerai que cette KB soit la fautive chez nous egalement....Microsoft prévoit-il des changements ou cette conséquence est normal ?

    Merci

    vendredi 17 juin 2016 14:27
  • Bonsoir,

    apparemment, c'est un choix de sécurité... qui devient le nouveau "by design".

    Si l'on désinstalle un de ces patchs, cela veut dire qu'une ou plusieurs failles restent ouvertes !

    Il va falloir se préparer à adapter les stratégies existantes.

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    vendredi 17 juin 2016 18:56