Zwei GPOs für Desktophintergrund, falsche greift

[zenpaticx]

KB3159398 macht GPOs wirkungslos

Hallo,

bei uns gibt es mehrere GPOs für die den Desktophintergrund mit dem Firmenlogo einrichten.
Die zwei wichtigen:
- Eine Gruppenrichtlinie wird per WMI-Filter auf alle Notebooks verteilt -> weißer Hintergrund mit Firmenlogo
- Die zweite Gruppenrichtlinie wird auf eine Gruppe angewendet -> Blauer Hintergrund mit Firmenlogo

Ein Kollege hat ein Notebook und daher auch den weißen Hintergrund. Allerdings ist er auch in der GPO, die auf die Gruppe angewendet wird (blauer Hintergrund).

Vor dem letzten Patchday von M$ hat alles funktioniert. Der blaue Hintergrund war da, und alle glücklich.


Ich habe mit PSExec nachgeschaut, welche GPOs bei ihm am Platz ausgeführt wurden. Es war nur die mit dem WMI-Filter, die andere, die auf die Gruppe verteilt wird, wurde nicht aufgelistet.

Kann mir jemand Tipps/Anregungen geben?

Danke und Grüße

-----------------------------------------
Lösung befindet sich ganz unten
-----------------------------------------

 

[fuz2z3l]

Vielleicht Problem mit dem Patchday?

klick zu Heise.de

 

[xXMartinoXx]

Hatte gestern auch Probleme mit GPO, welche Einstellungen im IE gesetzt haben. Nach Deinstallation von Patch KB3159398 ging alles wieder.

 

[zenpaticx]

@xXMartinoXx && @fuz2z3l

Tatsache, wir haben seit heute Probleme mit den Netzlaufwerken..

Wir schauen uns das mal an, besten Dank!

 

[neo243]

check den Wsus nicht updaten.

 

[TheCadillacMan]

check den Wsus nicht updaten.

Oder die Hinweise von Microsoft zum Update befolgen: MS16-072: Security update for Group Policy: June 14, 2016 (unter "Known Issues").
Das ganze ist "by design" und sollte sich durch die Korrektur der Rechte auf den GPOs beheben lassen. (Wichtig: Es werden nur "Lesen"- aber keine "Übernehmen"-Rechte benötigt. An der Logik ändert sich also nichts.)

 

[R2-D2]

GPO's sollten immer mit dem Recht Lesen erlauben, Übernehmen verweigern angelegt werden. Das verhindert Errors in den Systemlogs und umgeht dieses Problem.

 

[zenpaticx]

@TheCadillacMan && @den Rest
Die Gruppen haben schon Leseberechtigungen (nachgeschaut unter Deligierung).
Wieso klappt das nicht bei uns?

 

[R2-D2]

In der Delegierung sollte Benutzerdefiniert stehen. Öffne die GPO (Rechtsklick -> Bearbeiten), dann im Editor wiederum auf den GPO Namen Rechtsklick -> Eigenschaften -> Sicherheit.
Hier müssen die Rechner bzw. Benuzter Lesen dürfen, aber ggf. nicht übernehmen dürfen. Verweigern wiegt immer höher als erlauben.

 

[xXMartinoXx]

Ich habe dieses Update am WSUS abgelehnt und trotzdem wird es weiterhin an den Rechnern angeboten -.- Hat da jemand nen Plan warum das so ist? Muss ich das Update irgendwie noch anders "blockieren" ?

 

[zenpaticx]

Danke für die rasche Antwort!

Ich habe mal nachgeschaut, in der Spalte Zulassen befanden sich schon die Haken bei lesen und Gruppenrichtlinie übernehmen. In Verweigern befindet sich kein Haken.

Eine Kollegin, welcher Laufwerksfreigaben gefehlt haben, hat sich an einem Laptop angemeldet, wo wiederum alle Freigaben vorhanden waren..?

 

[xXMartinoXx]

In der Delegierung sollte Benutzerdefiniert stehen. Öffne die GPO (Rechtsklick -> Bearbeiten), dann im Editor wiederum auf den GPO Namen Rechtsklick -> Eigenschaften -> Sicherheit.
Hier müssen die Rechner bzw. Benuzter Lesen dürfen, aber ggf. nicht übernehmen dürfen. Verweigern wiegt immer höher als erlauben.

Nachdem ich "übernehmen" verweigert habe, zog sich mein Rechner aber die GPO gar nicht mehr...(trotz zweimal neu angemeldet und gpupdate /force etc.) Mit anderem Nutzer der gleiche Effekt.

Ergänzung (16. Juni 2016)

Danke für die rasche Antwort!

Ich habe mal nachgeschaut, in der Spalte Zulassen befanden sich schon die Haken bei lesen und Gruppenrichtlinie übernehmen. In Verweigern befindet sich kein Haken.

Eine Kollegin, welcher Laufwerksfreigaben gefehlt haben, hat sich an einem Laptop angemeldet, wo wiederum alle Freigaben vorhanden waren..?

Gleiche bei uns. An manchen Rechnern zieht es die GPO nicht mehr, an manchen gab's keine Probleme. Obwohl alle Nutzer in der selben Gruppe mit der GPO "verbunden" sind.

 

[zenpaticx]

Ich habe des öfteren gelesen, dass man das Update KB3159398 löschen soll.
Nur zum Test bei einem Client am Computer ausprobiert.

Benutzer werden an diesem PC jetzt mit einem temporären Profil angemeldet. Falls das einer vor hat - kann nur davon abraten.
Der PC hat das Update sowieso wieder installiert.

Falls jemand noch eine Idee hat, ich habe immer ein offenes Ohr.
Werde um 12:30 bei M$ anrufen. Falls dort eine Lösung bei rauskommt, werde ich euch informieren.

 

[m000x]

Ob da eine Lösung kommt, kommt mittlerweile sehr stark drauf an, wie groß ihr seid...

 

[zenpaticx]

Okay, habe nicht bei Microsoft angerufen, sondern anderweitig geholfen.

Lösung:
GPO -> Rechtsklick für den Gruppenrichtlinienverwaltungs-Editor -> Rechtsklick ganz oben, und auf Eigenschaften -> Sicherheit -> Hinzufügen -> Authentifizierter Benutzer -> Rechte nur Lesen (ist voreingestellt).

Gruß