Malgré la date de parution de la mise à jour MS16-072 datant maintenant de plusieurs années (14 juin 2016), il est encore fréquent de trouver des administrateurs ne comprenant pas pourquoi leurs GPO ne s’appliquent plus correctement.
Petite piqûre de rappel donc pour ceux qui rencontrent des problèmes avec leurs GPO depuis l’application de cette mise à jour.
Explications :
Cette mise à jour corrige une vulnérabilité de Windows mais modifie également le comportement des stratégies de groupe (GPO). Cela ne concerne pas toutes les GPO mais uniquement celles qui ont un filtrage modifié.
Toutes les informations sur cette mise à jour ici en ligne.
Pour résumer, lorsque vous modifiez le filtrage d’une GPO, vous remplacez les droits octroyés par défaut au groupe « Authenticated Users » par d’autres octroyés à des utilisateurs ou des machines que vous aurez définies.
Et c’est à partir là que votre GPO ne s’appliquera plus.
Comment vérifier si cela vous concerne ?
Pour savoir si vous êtes impacté, vous pouvez utiliser ce script disponible sur le technet Microsoft.
Important : Si vos serveurs sont en français, il faudra modifier les lignes 28 et 67 et remplacer « Authenticated Users » par « Utilisateurs authentifiés ».
Lancez ce script sur un de vos contrôleurs de domaine par exemple. S’il y a des stratégies de groupe nécessitant un ajustement, elles apparaîtront sous forme de liste comme ci-dessous :
Ce script vous propose ensuite de corriger les permissions de ces GPO et d’ajouter automatiquement le droit de lecture au groupe « Authenticated Users » dans l’onglet délégation :
Faites très attention néanmoins à bien vérifier les effets de bord que cela va générer avant de tapez « Yes ». Les GPO listées ne s’appliquent pas actuellement sur votre réseau et, si vous décider de laisser faire le script, elles s’appliqueront toutes après l’ajout de ces permissions.
Lorsque cela est fait, les GPO concernées s’appliqueront correctement.
Retrouvez des détails sur ce guide ici en ligne.