Mise à jour modifiant l’application des stratégies de groupe

 

Microsoft a publié une mise à jour modifiant la manière dont les stratégies de groupe s'appliquent, notamment les stratégies de l'utilisateur. Cette modification peut gêner l'application des stratégies de groupe appliquées à des utilisateurs, s'il existe un filtrage de sécurité sur un groupe contenant des utilisateurs. Par défaut lors de la création d'une stratégie de groupe elle peut s'appliquer à tous les membres du groupe « utilisateurs authentifiés ». Ce groupe inclut les comptes d'utilisateurs et les comptes d'ordinateurs qui ont été authentifié par un des contrôleurs de domaine.

Jusque-là les stratégies de groupes étaient lues sur le partage « Sysvol », avec le compte de la machine pour les paramètres concernant l'ordinateur et avec le compte de l'utilisateur pour une stratégie concernant les paramètres utilisateurs. Donc en créant une stratégie, si vous supprimez « utilisateurs authentifiés » et que vous le remplacez par un groupe contenant des utilisateurs la stratégie n'était lu que par les utilisateurs membre de ce groupe. La mise à jour du 14 juin 2016 ( voir https://support.microsoft.com/en-us/kb/3159398 ) à modifier pour des raisons de sécurité (risques d'élévation de privilège), la manière dont les stratégies sont lues sur le contrôleur de domaine.

En effet, après l'application des mises à jour l'ensemble des stratégies de groupe utilisateurs ne sont plus lues à partir du compte de l'utilisateur mais avec le contexte de la machine. Le fait d'avoir supprimé « utilisateurs authentifiés » du groupe empêche donc l'application des paramètres « utilisateurs » dans les stratégies de groupe utilisateurs.

Si vous n'avez pas besoin de filtrage sur les groupes, il suffit de rajouter le groupe utilisateur authentifié sur votre stratégie de groupe. Si vous souhaitez filtrer les utilisateurs il faut ajouter le groupe de sécurité « ordinateurs du domaine ».

 

 

La mise à jour concerne l'ensemble des systèmes clients depuis Vista et l'ensemble des systèmes serveurs depuis 2008. Elle est dans la catégorie  « importante ».

Voir le bulletin de sécurité : https://technet.microsoft.com/library/security/MS16-072

 

 

Tags: 

Theme: 

Systeme: 

Annee: 

Commentaires

Corrections...

Bonjour, Article très intéressant et qui m'a permis de comprendre pourquoi mes GPO récemment créées ne s'appliquaient pas à certains postes. Je me permets de vous soumettre des corrections. 1) dans la phrase du début : "Microsoft a publié une mise à jour modifiant la manière dont les stratégies de groupe, notamment les stratégies de l'utilisateur." il faudrait ajouter un "s'appliquent" à la fin. 2) A la place de "La mise à jour du 14 juin 2014 " il faut écrire "La mise à jour du 14 juin 2016 ". 3) A la place de "Le fait d'avoir supprimé « utilisateurs authentifiés » du groupe empêche donc l'application des paramètres « utilisateurs » dans les stratégies de groupe utilisateurs si le groupe « utilisateurs authentifié » a été supprimé." il faudrait écrire "Le fait d'avoir supprimé « utilisateurs authentifiés » du groupe empêche donc l'application des paramètres « utilisateurs » dans les stratégies de groupe utilisateurs"