ตรวจสอบการเชื่อมโยงแพทช์ joeqwerty เกินไป
มีรายละเอียดที่สำคัญคือ:
ปัญหาที่ทราบ
MS16-072 เปลี่ยนบริบทความปลอดภัยที่มีการเรียกนโยบายกลุ่มผู้ใช้ การเปลี่ยนแปลงพฤติกรรมโดยการออกแบบนี้ช่วยปกป้องคอมพิวเตอร์ของลูกค้าจากความเสี่ยงด้านความปลอดภัย ก่อนที่จะติดตั้ง MS16-072 นโยบายกลุ่มผู้ใช้จะถูกเรียกคืนโดยใช้บริบทความปลอดภัยของผู้ใช้ หลังจากติดตั้ง MS16-072 แล้วนโยบายกลุ่มผู้ใช้จะถูกเรียกคืนโดยใช้บริบทความปลอดภัยของเครื่อง ปัญหานี้ใช้ได้กับบทความ KB ต่อไปนี้:
- 3159398 MS16-072: คำอธิบายของการปรับปรุงความปลอดภัยสำหรับนโยบายกลุ่ม: 14 มิถุนายน 2016
- 3163017 การปรับปรุงที่สะสมสำหรับ Windows 10: 14 มิถุนายน 2559
- 3163018 การปรับปรุงที่สะสมสำหรับ Windows 10 เวอร์ชัน 1511 และตัวอย่างทางเทคนิคของ Windows Server 2016 4: 14 มิถุนายน 2016
- 3163016 การปรับปรุงที่สะสมสำหรับตัวอย่างทางเทคนิคของ Windows Server 2016 5: 14 มิถุนายน 2016
อาการ
นโยบายกลุ่มผู้ใช้ทั้งหมดรวมถึงนโยบายความปลอดภัยที่กรองในบัญชีผู้ใช้หรือกลุ่มความปลอดภัยหรือทั้งสองอย่างอาจไม่สามารถใช้กับคอมพิวเตอร์ที่เข้าร่วมในโดเมน
สาเหตุ
ปัญหานี้อาจเกิดขึ้นหากวัตถุนโยบายกลุ่มไม่มีสิทธิ์การอ่านสำหรับกลุ่มผู้ใช้ที่ได้รับการรับรองความถูกต้องหรือหากคุณใช้การกรองความปลอดภัยและไม่มีสิทธิ์การอ่านสำหรับกลุ่มคอมพิวเตอร์โดเมน
มติ
เมื่อต้องการแก้ไขปัญหานี้ใช้คอนโซลการจัดการนโยบายกลุ่ม (GPMC.MSC) และทำตามขั้นตอนต่อไปนี้อย่างใดอย่างหนึ่ง:
- เพิ่มกลุ่มผู้ใช้ที่ผ่านการรับรองความถูกต้องโดยมีสิทธิ์อ่านในวัตถุนโยบายกลุ่ม (GPO)
- หากคุณใช้การกรองความปลอดภัยให้เพิ่มกลุ่มโดเมนคอมพิวเตอร์ที่มีสิทธิ์อ่าน
ดูลิงก์นี้ปรับใช้ MS16-072ซึ่งจะอธิบายทุกอย่างและนำเสนอสคริปต์เพื่อซ่อมแซม GPO ที่ได้รับผลกระทบ สคริปต์เพิ่มผู้ใช้ที่ผ่านการรับรองความถูกต้องอ่านสิทธิ์ไปยัง GPO ทั้งหมดที่ไม่มีสิทธิ์สำหรับผู้ใช้ที่ได้รับการรับรองความถูกต้อง
# Copyright (C) Microsoft Corporation. All rights reserved.
$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0
if($osver -lt $win7)
{
Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
return
}
Try
{
Import-Module GroupPolicy
}
Catch
{
Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
return
}
$arrgpo = New-Object System.Collections.ArrayList
foreach ($loopGPO in Get-GPO -All)
{
if ($loopGPO.User.Enabled)
{
$AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
If (!$AuthPermissionsExists)
{
$arrgpo.Add($loopGPO) | Out-Null
}
}
}
if($arrgpo.Count -eq 0)
{
echo "All Group Policy Objects grant access to 'Authenticated Users'"
return
}
else
{
Write-Warning "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
foreach ($loopGPO in $arrgpo)
{
write-host "'$($loopgpo.DisplayName)'"
}
}
$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"
$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
"Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
"No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)
$appliedgroup = $null
switch ($result)
{
0 {$appliedgroup = "Authenticated Users"}
1 {$appliedgroup = $null}
}
If($appliedgroup)
{
foreach($loopgpo in $arrgpo)
{
write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
}
}
หากคุณ preffer การตั้งสิทธิ์ในการอ่านสำหรับคอมพิวเตอร์โดเมน (ที่ผมทำ) มากกว่าผู้ใช้สิทธิ์เพียงแค่เปลี่ยนนี้0 {$appliedgroup = "Authenticated Users"}ว่า0 {$appliedgroup = "Domain Computers"}