服务器:Windows 2008R2
服务:Microsoft 远程桌面服务/会话主机
情况:
假设有 10 个组策略对象适用于某个用户。当用户通过 RDP 连接到 ServerA 时,所有 10 个策略对象均正确应用。但当登录到 ServerB 时,只有 8 个策略对象应用。
在 ServerB 上执行的 RSoP 表明所有 10 个策略对象都应应用。
查看事件日志,我没有发现任何异常,表明为什么只应用了 8 个策略对象。
答案1
警惕 Windows 更新!
找到罪魁祸首——KB3159398:MS16-072:组策略安全更新说明:2016 年 6 月 14 日。
事实证明,该程序安装在了没有应用某些组策略的服务器上,并且没有安装在运行正确的服务器上。
引用知识库:
此安全更新可解决 Microsoft Windows 中的一个漏洞。如果攻击者对域控制器和目标计算机之间的流量发起中间人 (MiTM) 攻击,则此漏洞可能允许特权提升。
已知的问题
MS16-072 更改了检索用户组策略的安全上下文。此设计行为更改可保护客户的计算机免受安全漏洞的影响。在安装 MS16-072 之前,使用用户的安全上下文检索用户组策略。安装 MS16-072 之后,使用计算机的安全上下文检索用户组策略。
所有用户组策略(包括已根据用户帐户或安全组(或两者)进行安全过滤的组策略)可能无法应用于加入域的计算机。
原因:
如果组策略对象缺少经过身份验证的用户组的读取权限,或者您正在使用安全过滤并且缺少域计算机组的读取权限,则可能会出现此问题。
解决:
要解决此问题,请使用组策略管理控制台 (GPMC.MSC) 并执行以下步骤之一:
- 在组策略对象 (GPO) 上添加具有读取权限的 Authenticated Users 组。
- 如果您使用安全过滤,请添加具有读取权限的域计算机组。
未应用的策略对象是那些对特定用户组或用户列表进行安全过滤的策略对象,而不是已认证用户。如上所述,更新后的服务器无法读取这些策略,因为读取策略对象是使用计算机帐户而不是用户帐户进行的。通过添加域计算机组添加到安全过滤器后,计算机帐户现在可以读取策略。此后一切似乎都很好。策略对象仍由用户过滤,但计算机可以读取对象。