Windows Server

Microsoft Güvenlik Güncelleştirmesi Sonrası Çalışmayan Kullanıcı GPO Sorunu

Microsoft tespit ettiği bir güvenlik açığı nedeni ile çıkardığı güvenlik güncelleştirmesi sonucunda GPO tarafında ciddi bir davranış değişiklik yaptı. Bildiğiniz gibi GPO içerisinde kullanıcı ve makineler için ayrı ilkeler olup kullanıcı ilkeleri için kullanıcı yetkilerini ( user security context) kullanılmaktaydı. Ancak KB3163622 yüklemesinden sonra artık kullanıcı ilkeleri içinde makine yetkileri ( computer security context) kullanılmaktadır. Tabiki bu tüm kullandığınız GPO objeleri için sorun teşkil etmiyor. Varsayılan olan Security Filter uygulanmamış olan bir GPO üzerindeki izinler aşağıdaki gibidir;

 

clip_image002

Daha yakından bakma gerekir ise;

clip_image004

Varsayılan izinlerin yukarıdaki gibi olduğunu göreceksiniz. Böyle bir yapıda yama sonrası bir sorun yaşamazsınız. Çünkü Domain Computers grubu aslında “Authenticated Users” grubunun bir parçası olduğu için sistem yama yüklenmesinden sonra dahi sorunsuz bir şekilde çalışır.

Ancak şirket içerisindeki ihtiyaçlarınız doğrultusunda eğer bazı GPO objeleri için security filter uygulamış iseniz, örneğin durum aşağıdaki gibiyse;

clip_image006

Yani varsayılan olarak gelen Authenticated User grubunu kaldırmış veya kaldırmak istiyorsanız, bu durumda sorun yaşamanız muhtemeldir. Ancak çözüm çok zor değil. Yani hali hazırda kullanıcı ilkeleri için security filter uygulamak istiyorsanız bu GPO’ ya ek olarak sadece Domain Computer grubu için “Read” izni vermeniz yeterli olacaktır.

clip_image008

Evet, sorun ve çözüm aslında son derece kolay ancak büyük bir şirket organizasyonunda bu durumu nasıl tespit edebilirim?

Tabiki bu durumda da Powershell hayatımızı kolaylaştırıyor. Bir Microsoft çalışanı olan Kaushik Ainapure tarafından hazırlanan aşağıdaki powershell bu konuda bize yardım edecek.

https://gallery.technet.microsoft.com/Powershell-script-to-cc281476

Komutu indirdikten sonra direkt çalıştırabilirsiniz

clip_image010

Örneğin bu sistemde GPO üzerinde Authenticated Users grubu olmayan bir GPO bulunmuyor.

clip_image012

Burada ise ismi “UserPolicy-HU” olan bir GPO bulduğunu ve düzeltmek isteyip istemediğimizi soruyor.

Y tuşuna basıyorum

clip_image014

Gördüğünüz gibi grubu otomatik olarak ekledi. Eğer siz kullanıcı tarafında security filter yapmaya devam etmek istiyorsanız yine bu komut setini kullanabilir ve sadece sorunlu GPO objelerini listelersiniz. Daha sonra bunlara elle Domain Computers grubu için okuma iznini eklersiniz.

Ya da PS içerisinde aşağıdaki satırı bulun,

0 {$appliedgroup = “Authenticated Users”}

Daha sonra aşağıdaki gibi Domain Computers olarak değiştirin

0 {$appliedgroup = “Domain Computers “}

Ve komutu tekrar çalıştırın, bu durumda sorunlu olan tüm GPO objelerine Domain Computers grubu için okuma izni verecek ve sorun düzelecektir.

Unutmayın, beklenen izin Authenticated Users olduğu için komutu bir kez daha çalıştırdığınız da hala size sorunlu GPO listesi verecektir, aslında siz Domain Computer grubu için okuma izni vererek çözdünüz ama komut Authenticated Users grubuna bakıyor.

clip_image016

Gördüğünüz gibi aynı powershell dosyasını hali hazırda security filter uygulanmış olan tüm GPO objelerime çözüm üretmesi için kullanabilirsiniz.

Umarım faydalı bir makale olmuştur, bir sonraki makalemizde görüşmek dileği ile.

Kaynak

https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14,-2016

 

 

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu