Feb26201826 Febbraio 201826 Febbraio 20180 Commentidi Ermanno Goletto

Group Policy Object utente non applicata quando viene impostato un Filtro di sicurezza

Dopo l’applicazione della security update MS16-072: Security update for Group Policy: June 14, 2016
le Group Policy Object (GPO) utente su cui è stato impostato un Filtro di sicurezza risultano non applicate. Quindi se si configura ad esempio una GPO con impostazioni per utente impostando nel Filtro di sicurezza un gruppo di sicurezza che sostituisce quello predefinito Authenticated Users la GPO non verrà applicata ed eseguendo il comando gpresult /r verrà restituita l’indicazione che la policy non è applicata:

Il motivo di questo comportamento dipende del fatto dopo l’applicazione della MS16-072 le GPO vengono lette nel contesto di sicurezza del computer (mentre prima veniva utilizzato il contesto di sicurezza dell’utente) come spiegato sempre nella MS16-072: Security update for Group Policy: June 14, 2016:

“MS16-072 changes the security context with which user group policies are retrieved. This by-design behavior change protects customers’ computers from a security vulnerability. Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the computer’s security context.”

“All user Group Policy, including those that have been security filtered on user accounts or security groups, or both, may fail to apply on domain joined computers.”

“This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group.”

Quindi nel caso una GPO con impostazioni per utente impostando nel Filtro di sicurezza un gruppo di sicurezza che sostituisce quello predefinito Authenticated Users questa non verrà applicata perché rimuovendo il gruppo Authenticated Users dal filtro di sicurezza vengono anche rimossi privilegi di lettura sulla GPO per il gruppo Authenticated Users:

Per risolvere l’issue come spiegato sempre nella MS16-072: Security update for Group Policy: June 14, 2016 sulla GPO il gruppo Authenticated Users e Domain Computers devono avere i privilegi di lettura:

“To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:

Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
If you are using security filtering, add the Domain Computers group with read permission.”