User gefilterde group policies werken niet meer - Serversoftware en clouddiensten

dinsdag 12 juli 2016 11:59

Acties:

Topicstarter

Voor diegenen die ermee worstelen (kostte mij 2 dagen om erachter te komen):

Sinds een maand werkten user-filtered group policies niet meer. Eerst bij een select groepje, daarna bij iedereen. Ik verwijder standaard 'Authenticated users' en voeg dan de gebruikers toe die de gpo moeten krijgen. Juist het verwijderen van 'Authenticated users' resulteert in een niet meer werkende gpo.

Wat blijkt, Microsoft heeft een patch (KB3159398) uitgebracht, die vereist dat de computers ook lees-rechten moeten hebben op de gpo.

"After the MS16-072 / KB3159398 update this will no longer work for any user filtered GPO. A change is made to the client computer in the way the Group Policy are processed and the computer account must now also have READ permission to the Group Policy Object. Note that the user group must still have the Read and Apply GP as before."
Bron: http://rickardnobel.se/ms16-072-breaks-group-policy/

Je hebt dus de keus om de patch te verwijderen, of in al je gpo's de pc's toe te voegen met leesrechten.
My 2 cents, misschien dat het iemand helpt.

[ Voor 42% gewijzigd door fRiEtJeSaTe op 12-07-2016 12:04 ]

dinsdag 12 juli 2016 12:11

Acties:

Arnevld

Warhammer

Dit is de post die mjin dag gemaakt heeft man man man wat hebben we hier naar zitten zoeken !
Er was ook zo'n patch die mijn DNS had gesloopt.

Warhammer en PC games en lego

dinsdag 12 juli 2016 12:14

Acties:

fRiEtJeSaTe

Topicstarter

Arnevld schreef op dinsdag 12 juli 2016 @ 12:11:
Dit is de post die mjin dag gemaakt heeft man man man wat hebben we hier naar zitten zoeken !
Er was ook zo'n patch die mijn DNS had gesloopt.

Goed om te horen. Ik denk met jou een hoop IT-afdelingen op de wereld!
De Microsoft-logica ontgaat me af en toe.

dinsdag 12 juli 2016 12:33

Acties:

Hero of Time

Moderator LNX

There is only one Legend

In en ander topic hier op GoT hebben we dit ook al besproken. Het verwijderen van Authenticated Users op je GPO is alles behalve best practise, zoals je al gemerkt hebt. Je hebt tenslotte als doel om het op een select groepje toe te passen, dus haal je apply weg bij alles wat 't niet moet krijgen. Dat is in principe beter dan alles maar weggooien wat niet nodig is.

Commandline FTW | Tweakt met mate

dinsdag 12 juli 2016 12:40

Acties:

Oogje

fRiEtJeSaTe schreef op dinsdag 12 juli 2016 @ 11:59:

Je hebt dus de keus om de patch te verwijderen, of in al je gpo's de pc's toe te voegen met leesrechten.
My 2 cents, misschien dat het iemand helpt.

Of gewoon Authenticated Users op Read zetten (en Apply GPO dus uit)

Any errors in spelling, tact, or fact are transmission errors.

dinsdag 12 juli 2016 12:42

Acties:

thatrunks

Geweldig fRIEtJeSaTe!!! Dit werkt als een malle!

@Hero of Time
Eens maar blijkbaar doen toch heel veel systeembeheerders dit anders. Vind het kud van Microsoft dat dit niet werd aangegeven door hen. Maarja aan de andere kant dat doen ze nooit

- Computers blijven drama dingen -

dinsdag 12 juli 2016 13:20

Acties:

fRiEtJeSaTe

Topicstarter

Hero of Time schreef op dinsdag 12 juli 2016 @ 12:33:
In en ander topic hier op GoT hebben we dit ook al besproken. Het verwijderen van Authenticated Users op je GPO is alles behalve best practise, zoals je al gemerkt hebt. Je hebt tenslotte als doel om het op een select groepje toe te passen, dus haal je apply weg bij alles wat 't niet moet krijgen. Dat is in principe beter dan alles maar weggooien wat niet nodig is.

Ik snap wat je probeert te zeggen, maar logisch klinkt het niet.
Als ik 10 kinderen voor me heb en ik wil alleen dat Pietje de snoepjes krijgt, ga ik niet alles uitdelen en het daarna weer afpakken. Dan geef ik het gewoon aan Pietje. Uit beheersmatig oogpunt is het ook verre van overzichtelijk.

Net zoals ik niet hoef te verwachten dat met 'Authenticated users' ook computers worden bedoeld.

(nou wist ik dat toevallig)

[ Voor 11% gewijzigd door fRiEtJeSaTe op 12-07-2016 13:29 ]

dinsdag 12 juli 2016 13:31

Acties:

Hero of Time

Moderator LNX

There is only one Legend

thatrunks schreef op dinsdag 12 juli 2016 @ 12:42:
@Hero of Time
Eens maar blijkbaar doen toch heel veel systeembeheerders dit anders. Vind het kud van Microsoft dat dit niet werd aangegeven door hen. Maarja aan de andere kant dat doen ze nooit

Nou, toevallig kwam hier een discussie uit in het Systeembeheerders en hun Problemen topic, als je het artikel zou hebben gelezen, werd dat ook gewoon aangegeven. En er kwam ook ter sprake dat als je voor MCSA/MCSE gaat, dit toch echt wel ter sprake kwam. Iedereen die AU eruit gooit, heeft dat nooit gehad, nooit interesse in gehad en dus vergeten of domweg koppig.

fRiEtJeSaTe schreef op dinsdag 12 juli 2016 @ 13:20:
[...]

Ik snap wat je probeert te zeggen, maar logisch klinkt het niet.
Als ik 10 kinderen voor me heb en ik wil alleen dat Pietje de snoepjes krijgt, ga ik niet alles uitdelen en het daarna weer afpakken. Dan geef ik het gewoon aan Pietje.

Je deelt ook niet uit en pakt 't weer af. De kinderen zien het maar krijgen niets. Dat is heel wat anders. Het principe is als een bibliotheek, je ziet alle boeken, maar je leest ze niet allemaal. Nu is het voor GPO wel lezen, maar niet toepassen.

Net zoals ik niet hoef te verwachten dat met 'Authenticated users' ook computers worden bedoeld.
(nou wist ik dat toevallig)

Hoe denk je anders dat een computerobject wordt gezien in AD? En waarom denk je anders dat als een systeem lange tijd (half jaar of langer) geen contact heeft gemaakt met AD gaat klagen dat de trust relatie weg is of het account is verlopen?

Commandline FTW | Tweakt met mate

dinsdag 12 juli 2016 13:46

Acties:

Dennism

thatrunks schreef op dinsdag 12 juli 2016 @ 12:42:
Geweldig fRIEtJeSaTe!!! Dit werkt als een malle!

@Hero of Time
Eens maar blijkbaar doen toch heel veel systeembeheerders dit anders. Vind het kud van Microsoft dat dit niet werd aangegeven door hen. Maarja aan de andere kant dat doen ze nooit

Hoezo niet aangegeven, het staart toch keurig in de KB's behorende bij deze update? Net zoals dat MS dit soort info altijd in de KB's verwerkt. MS is imho juist een van de partijen die vrij veel aangeeft in de communicatie.

dinsdag 12 juli 2016 15:01

Acties:

fRiEtJeSaTe

Topicstarter

Hero of Time schreef op dinsdag 12 juli 2016 @ 13:31:
[...]
Je deelt ook niet uit en pakt 't weer af. De kinderen zien het maar krijgen niets. Dat is heel wat anders. Het principe is als een bibliotheek, je ziet alle boeken, maar je leest ze niet allemaal. Nu is het voor GPO wel lezen, maar niet toepassen.

En als jij dan in die bibliotheek staat, ga je dan alle boeken omdraaien die je niet wilt lezen?
Of pak je gewoon diegene die je wilt hebben en rekent hem af?

[...]
Hoe denk je anders dat een computerobject wordt gezien in AD? En waarom denk je anders dat als een systeem lange tijd (half jaar of langer) geen contact heeft gemaakt met AD gaat klagen dat de trust relatie weg is of het account is verlopen?

Nogmaals. Snap ik, maar het is niet logisch om iets 'Authenticated users' te noemen, als MS er ook computers mee bedoelt.

Maar goed, to each his own. Heb gepost om anderen te helpen niet om een discussie op gang te helpen.

[ Voor 6% gewijzigd door fRiEtJeSaTe op 12-07-2016 15:05 ]

dinsdag 12 juli 2016 15:16

Acties:

Hero of Time

Moderator LNX

There is only one Legend

fRiEtJeSaTe schreef op dinsdag 12 juli 2016 @ 15:01:
[...]

En als jij dan in die bibliotheek staat, ga je dan alle boeken omdraaien die je niet wilt lezen?
Of pak je gewoon diegene die je wilt hebben en rekent hem af?

Nee, je leest de titel, niet het hele boek. Alleen van de titels die voor jou van toepassing zijn, lees je het hele boek.

[...]

Nogmaals. Snap ik, maar het is niet logisch om iets 'Authenticated users' te noemen, als MS er ook computers mee bedoelt.

Maar goed, to each his own. Heb gepost om anderen te helpen niet om een discussie op gang te helpen.

Het is hartstikke logisch. Wikipedia: Lightweight Directory Access Protocol beschrijft het redelijk goed. LDAP is simpel gezegd een mappenstructuur, waarbij de bestanden gebruikers zijn. Omdat je alleen maar mappen en bestanden hebt, en bestanden dus users, is een computer een user.

Commandline FTW | Tweakt met mate

dinsdag 12 juli 2016 15:31

Acties:

Glashelder

Anti Android

Dit is alleen maar een probleem omdat er veel teveel beheerders rondlopen die menen verstand te hebben van computers en dan ook maar gelijk verstand menen te hebben van Active Directory netwerken..

Group Policy's zijn complex en training is daar wel zo op zijn plaats. Dan had je dit geweten.

Zo ook het authenticated users verhaal inderdaad. Een computeraccount is niks meer dan een gewoon useraccount wat automatisch het wachtwoord in sync houdt. Tegenwoordig kan dat bijv. ook met serviceaccounts (dan komt er ook, net zoals bij computeraccounts, een $ achter).

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

dinsdag 12 juli 2016 18:01

Acties:

Craven

Met ^^

Dat je authenticated users weg kan halen betekent niet dat het een gewenste oplossing is.

Ik kan nu wel een gare vergelijking trekken om een punt te maken. Het feit is echter dat zo ongeveer iedere studie en training dit behandeld. Authenticated users haal je niet weg. Als je nooit training of (zelf)studie volgt en ook nooit release notes van updates leest dan ga je uiteindelijk dit soort zaken krijgen.

dinsdag 12 juli 2016 19:02

Acties:

Killah_Priest

Weer een schoolvoorbeeld van "dit is de reden om zo min mogelijk af te wijken van best practices".

(MS best practices zijn overigens perfect om je achter te verschuilen als beheerder, als een klant iets ingericht wilt hebben op een dusdanige manier dat het in strijd is met de best practices dan kun je dat melden. Besluit de klant TOCH dat hij het zo wilt hebben dan kun je je altijd beroepen op het feit dat je het gemeld hebt, scheelt heel veel gezeik over een factuur achteraf)

woensdag 13 juli 2016 09:28

Acties:

SteeringWheel

[H4L]

Persoonlijk vind ik er niks mis mee om Authenticated Users geen permissies te geven. En MS blijkbaar ook niet: https://technet.microsoft...ry/cc728301(v=ws.10).aspx (ok oud artikel)

.

Click the GPO, and in the details pane, on the Scope tab, under Security Filtering, remove Authenticated Users, and then click Add to add a new group.

Snap ook niet zo goed dat daar hier zo'n weerstand tegen is. Ik vind het juist onoverzichtelijker als je alleen de 'apply gpo' permissie weghaalt. Want dat betekent dat je dat recht alleen nog terugvindt onder de Delegation tab in GPMC. Terwijl ik over het algemeen de rechten regel binnen de tab Scope en meestal niks te zoeken heb in het Delegation tabblad welke dan dus afwijkend is van de default.

Wat ik juist verbazingwekkend vind is dat MS tot 2x toe de werking van GPO wijzigt. Eerst al met Win XP -> Win Vista (https://support.microsoft.com/en-us/kb/953768), en nu weer

.

A forum post should be like a skirt. Long enough to cover the subject material, but short enough to keep things interesting.

woensdag 13 juli 2016 09:54

Acties:

Meekoh

SteeringWheel schreef op woensdag 13 juli 2016 @ 09:28:
Persoonlijk vind ik er niks mis mee om Authenticated Users geen permissies te geven. En MS blijkbaar ook niet: https://technet.microsoft...ry/cc728301(v=ws.10).aspx (ok oud artikel) .

[...]
Snap ook niet zo goed dat daar hier zo'n weerstand tegen is. Ik vind het juist onoverzichtelijker als je alleen de 'apply gpo' permissie weghaalt. Want dat betekent dat je dat recht alleen nog terugvindt onder de Delegation tab in GPMC. Terwijl ik over het algemeen de rechten regel binnen de tab Scope en meestal niks te zoeken heb in het Delegation tabblad welke dan dus afwijkend is van de default.

Wat ik juist verbazingwekkend vind is dat MS tot 2x toe de werking van GPO wijzigt. Eerst al met Win XP -> Win Vista (https://support.microsoft.com/en-us/kb/953768), en nu weer .

Dat Artikeltje is inderdaad wel heul oud en zelfs in dat artikel wordt onderaan vermeld dat het beter is om andere opties te gebruiken.
Qua GPO ben ik ook geen voorstander van het verwijderen van authenticated users. Als je wilt dat iets niet van toepassing op een computer/user dan heb je daar andere opties voor (OU's/WMI filters etc.).
Als je authenticated users weghaald dan krijg je allemaal access denied meldingen, van objecten die de GPO willen uitlezen mar het niet kunnen. Zullen je security guys met hun SIEM oplossing leuk vinden

Kijk als we het over een Filesystem hebben, ja dan zou je authenticated users weg kunnen halen. Zeker als je met een publieke IIS webserver te maken hebt. De IIS Anonymous user is gek genoeg namelijk ook een "Authenticated User".

Computer says no

woensdag 13 juli 2016 10:15

Acties:

Glashelder

Anti Android

SteeringWheel schreef op woensdag 13 juli 2016 @ 09:28:

Uit dat antieke artikel blijkt dus juist hoe lang het al best-practice is om Authenticated Users niet te verwijderen.. 9 jaar. In IT jaren is dat langer dan dat de aarde bestaat.

Buiten dat snap ik niet zo goed waarom je überhaupt wilt voorkomen dat GPO's gelezen kunnen worden door wie of wat dan ook. Dat maakt voor het toepassen ervan toch niks uit en zoals Meekoh hierboven terecht zegt levert het je alleen maar een hoop warnings op.

En dat zaken veranderen is toch niets mis mee? Als je netjes up-to-date blijft dan was er niks aan de hand. En dat voordoen van een andere user wat de GP service in Windows XP deed was toch maar een lelijke oplossing

[ Voor 16% gewijzigd door Glashelder op 13-07-2016 10:19 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

woensdag 13 juli 2016 10:42

Acties:

SteeringWheel

[H4L]

Meekoh schreef op woensdag 13 juli 2016 @ 09:54:
[...]
Als je wilt dat iets niet van toepassing op een computer/user dan heb je daar andere opties voor (OU's/WMI filters etc.).

OU's zijn weinig flexibel vind ik, een object kan immers niet van meerdere ou's 'lid' zijn. Dit itt groeplidmaatschap. En WMI filters kunnen nogal vertragend werken.

Meekoh schreef op woensdag 13 juli 2016 @ 09:54:
[...]
Als je authenticated users weghaald dan krijg je allemaal access denied meldingen, van objecten die de GPO willen uitlezen mar het niet kunnen. Zullen je security guys met hun SIEM oplossing leuk vinden

Een terecht punt idd.

Glashelder schreef op woensdag 13 juli 2016 @ 10:15:
[...]
Uit dat antieke artikel blijkt dus juist hoe lang het al best-practice is om Authenticated Users niet te verwijderen.. 9 jaar. In IT jaren is dat langer dan dat de aarde bestaat.

Dat haal ik er niet uit?

Glashelder schreef op woensdag 13 juli 2016 @ 10:15:
[...]
Buiten dat snap ik niet zo goed waarom je überhaupt wilt voorkomen dat GPO's gelezen kunnen worden door wie of wat dan ook. Dat maakt voor het toepassen ervan toch niks uit en zoals Meekoh hierboven terecht zegt levert het je alleen maar een hoop warnings op.

Daar gaat het me ook niet om, maar meer voor de eenduidigheid en gemak. Zie eerdere post van mij over de tabbladen in gpmc.

Glashelder schreef op woensdag 13 juli 2016 @ 10:15:
[...]
En dat zaken veranderen is toch niets mis mee? Als je netjes up-to-date blijft dan was er niks aan de hand. En dat voordoen van een andere user wat de GP service in Windows XP deed was toch maar een lelijke oplossing

Dat klopt, de werking vanaf Vista is een stuk logischer.

Nogmaals vind ik het echte issue hier dat MS iets wijzigt in de werking van GPO waardoor iets dat al jaren voor veel beheerders goed werkt, ineens niet meer werkt. Alhoewel het makkelijk op te lossen is natuurlijk

.

Edit: deze is wel handig om het te herstellen: https://p0w3rsh3ll.wordpr...before-applying-ms16-072/

[ Voor 3% gewijzigd door SteeringWheel op 13-07-2016 11:10 ]

A forum post should be like a skirt. Long enough to cover the subject material, but short enough to keep things interesting.

woensdag 13 juli 2016 11:25

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

fRiEtJeSaTe schreef op dinsdag 12 juli 2016 @ 11:59:
Ik verwijder standaard 'Authenticated users' en voeg dan de gebruikers toe die de gpo moeten krijgen.

En als we toch over best practices gaan zeuren... Waarom voeg je gebruikers rechtstreeks toe, en waarom gebruik je niet netjes een group hiervoor?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 13 juli 2016 22:55

Acties:

fRiEtJeSaTe

Topicstarter

Question Mark schreef op woensdag 13 juli 2016 @ 11:25:
[...]

En als we toch over best practices gaan zeuren... Waarom voeg je gebruikers rechtstreeks toe, en waarom gebruik je niet netjes een group hiervoor?

Dat doe ik ook.