Gruppenrichtlinien beim Computerstart

Unter Windows 10 werden bei uns Gruppenrichtlinien beim Computerstart nicht zuverlässig angewendet. Am einfachsten sieht man das daran, dass nicht alle Netzlaufwerke verbunden werden.

Bei uns werden Netzlaufwerke nicht über ein Loginskript, sondern über sogenannte “Group Policy Preferences” verbunden. 

image

Nun kam aber die Rückmeldung, dass manchmal direkt nach dem Start nicht alle Laufwerke angezeigt werden. Tests haben dann gezeigt, dass es meist genügt, nach dem Startvorgang etwas länger mit der Anmeldung zu warten. Auch wenn man manuell nach der Anmeldung ein “gpupdate” ausführt, werden die Laufwerke korrekt verbunden.

Dies tönt also danach, dass das Netzwerk bei der Anmeldung noch nicht vollständig initialisiert war. Daher habe ich eine Richtlinie “Auf Netzwerk warten” aktiviert, obwohl ich gelesen hatte, dass dies nicht mehr zwingend sei und natürlich ein möglichst schneller Boot- und Anmeldevorgang wünschenswert ist. Ausserdem habe ich auch noch “fast startup” deaktiviert. Trotzdem passiert es immer noch, dass manchmal nicht alle Netzlaufwerke verbunden wurden.

Beim Client wurde der Event 1058 GroupPolicy eingetragen:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei \\Pfad von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.

image

Eine Internetrecherche führte mich dann darauf, dass dieses Verhalten wohl mit “UNC Path Hardening” zu tun hat. Dies wurde mit MS15-011 und MS15-014 als zusätzliche Sicherheitsstufe eingeführt. Dass es damit Probleme gibt, ist gemäss diesem Technet-Forumsbeitrag bei Microsoft bekannt:

image

Eine entsprechende Ausnahme kann man über eine Gruppenrichtlinie erreichen. Dazu erfasst man  unter “Computerkonfiguration” –> “Richtlinien” –> “Administrative Vorlagen” –> “Netzwerk” –> “Netzwerkanbieter” –> “Gehärtete UNC-Pfade” –> “Anzeigen” je einen Eintrag für Sysvol und Netlogon:

\\*\SYSVOL RequireMutualAuthentication=0
\\*\NETLOGON RequireMutualAuthentication=0

image

Danach werden die Gruppenrichtlinien korrekt beim Computerstart resp. bei der Anmeldung ausgeführt.

WICHTIG: Wie in diesem Beitrag unten geschrieben, deaktiviert man durch dieses Vorgehen Sicherheitsvorkehrungen, die mit MS15-011 eingeführt wurden. Ausserdem ist bereits angekündigt, dass Microsoft das Problem in der Zukunft beheben wird. Sobald dies der Fall ist, sollte man die erstellten Ausnahmen wieder entfernen, um den mit dem Update ursprünglich angestrebten Sicherheitsgewinn wieder zu aktivieren.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s