После установки обновления MS16-072(а также указанных далее) некоторые объекты групповых политик могут перестать применяться.
При этом при попытке получить информацию через GPRESULT, «проблемные» объекты могут выдавать сообщения вида
Filtering: Not Applied (Unknown Reason)
или же просто не выводится вообще.
Проблема наблюдается с политиками уровня user scope, т.е. пользовательские политики, применение которых регулируется дескрипторами безопасности.
В случае применения настройки безопасности для группы Authenticated Users, групповые политики будут применяться штатно, однако в случае использования Security Filtering (когда нужно ограничить применение политики какой-то отдельной группой пользователей), этот объект перестанет применяться вообще.
Согласно бюллетеню безопасности MS16-072, обновления под номерами KB3159398, KB3163017, KB3163018, KB3163016 (для различных ОС) вносят изменения в процесс применения групповых политик, которая не менялась со времен Win2000.
Ранее доступ к политикам безопасности уровня компьютеров (computer scope) происходил от учётной записи компьютера, а к политикам безопасности уровня пользователя (user scope) — от учётной записи пользователя. После установки обновления все запросы стали направляться от учётной записи компьютера, чтобы обеспечить доверенность источника, ичпользуя протокол Kerberos.
В сети встречаются рекомендации откатить «проблемное» обновление, однако делать это крайне не рекомендуется, ввиду уязвимости старого механизма применения групповых политик к атаке вида Man in the Middle (злоумышленник мог подменить ответ от контроллера домена и применить на компьютере измененные политики безопасности, дающие права локального администратора скомпрометированной учётной записи пользователя)
В качестве решения проблемы на сайте Microsoft предлагается добавление Authenticated Users с правами на чтение вручную, или же, если используется Security Filtering, добавление Domain Computers также с правами на чтение.
Очевидным неудобством данного решения является необходимость вручную добавлять соответстующие группы( Authenticated Users или Domain Computers), однако это можно решить, используя средства PowerShell для применения изменений к существующим объектам и модификации схемы AD таким образом, чтобы в новосозданные объекты автоматически входила группа Domain Computers.
Подробности настойки схемы и соответствующие скрипты будут рассмотрены в следующей заметке.
Скрипт, позволяющий проверить наличие объектов групповых политик, на применение которых может оказать влияние данное обновление:
https://blogs.technet.microsoft.com/poshchap/2016/06/16/ms16-072-known-issue-use-powershell-to-check-gpos/
Источники:
https://sdmsoftware.com/group-policy-blog/tips-tricks/modifying-default-gpo-permissions-creation-time/
https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14-2016
https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/