не применен по причине ошибки с кодом 0x80090005 плохие данные эта ошибка была отключена
Почему перестали работать некоторые GPO после установки MS16-072
На прошлой неделе Microsoft выпустила обновления безопасности, меняющих стандартную схему работы механизма применения групповых политик Windows. Речь об обновлениях, выпущенных в рамках бюллетеня MS16-072 от 14 июня 2016 года, который предназначен для устранения уязвимостей в механизме GPO. Разберемся для чего выпущено это обновление и что нужно знать системному администратору об изменениях в применении групповых политик.
Обновления из MS16-072 устраняют уязвимость, позволяющую злоумышленнику реализовать атаку Man in the middle (MiTM), и получить доступ к трафику, передаваемому между компьютером и контроллером домена. Для защиты от уязвимости разработчики MS решили изменить контекст безопасности, в котором получаются политики. Если ранее, пользовательские политики получались в контексте безопасности пользователя, то после установки MS16-072, пользовательские политики получаются в контексте безопасности компьютера.
Во всех предыдущих рекомендациях при необходимости использовать Security Filtering MS всегда советовали удалять группу Authenticated Users и добавлять группу безопасности пользователей с правами Read и Apply.
После установки обновления MS16-072 /KB3159398 теперь для успешного применения политики, права Read на доступ к объекту GPO должны быть также и у учетной записи самого компьютера.
А так как под Authenticated Users подразумеваются, как пользовательские, так и компьютерные учетки, то удаляя эту группу, мы тем самым блокируем доступ к GPO.
Чтобы решить проблему, нужно удалить обновление (не верный, но действенны способ) или с помощью GPMC.MSC для всех политик, у которых используется фильтрация безопасности по пользовательским группам, на вкладке Delegation добавить группу Domain Computers (нужны права только на Read).
Чтобы найти все объекты GPO в домене, у которых в Security Filtering отсутствует группа Authenticated Users, можно воспользоваться таким скриптом:
Для больших и сложных инфраструктур с запутанной структурой групповых политик для поиска проблемных политик можно воспользоваться более удобным PowerShellскриптом MS16-072 – Known Issue – Use PowerShell to Check GPOs
Не применен по причине ошибки с кодом 0x80090005 плохие данные эта ошибка была отключена
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Есть проблемма с созданием или копированием файлов с помощью GPP.
Проблемма в следующем, есть домен 2003, клиенсткие компьютера есть Windosx XP Pro или Windows 7.
На всех компьютерах установлено расширение для GPP.
Пытаюсь организовать копирование/создание ярлыков на рабочем столе у пользователей с помощью GPP.
Создаю в «Конфигурация пользователя>Настройка>Конфигурация Windows>Файлы» элемент, который должен скопировать файл из сетевой папки на рабочий стол. Если в источнике в конце указано *.* то нормально копируются все файлы из папки.
Но если указать конкретный файл, то на клиентском компьютере появляется ошибка:
Элемент предпочтения пользователь «Ярлыки» в объекте групповой политики «test <31AEBCC1-DFA4-4399-A743-CE137B6249DF>» не применен по причине ошибки с кодом «0x80070005 Отказано в доступе.» Эта ошибка была отключена.
Если я делаю «Конфигурация пользователя>Настройка>Конфигурация Windows>Ярлыки» создать ярлык на рабочем столе, то возникает ошибка:
Элемент предпочтения пользователь «УПП_82» в объекте групповой политики «test <31AEBCC1-DFA4-4399-A743-CE137B6249DF>» не применен по причине ошибки с кодом «0x80070002 Не удается найти указанный файл.» Эта ошибка была отключена.
Проверял и на XP и на Viste.
Не могу понять в чём проблемма, может кто сталкивался?
Диспетчер IIS плохие данные. Ошибку 0x80090005
когда я попытался установить учетные данные физического пути в расширенных настройках, у меня появилось сообщение об ошибке следующим образом:
Internet Information Services (IIS) Manager
Неверные Данные. (Исключение из HRESULT: 0x80090005)
и это мешает мне установить конкретного пользователя на доступ к общей сетевой папке.
странно, у меня есть другой сервер с той же конфигурацией, он работает нормально, но этот вызвал ошибку. Есть идеи?
4 ответов
Если вы скопировали файл applicationhost.config, вам нужно экспортировать и импортировать также учетные записи, зашифрованные через WAS.
что я сделал (взято из здесь):
затем скопируйте снова applicationhost.конфиг снова работает!
Я видел эту проблему, когда ключи шифрования были неправильно настроены, обычно из-за ApplicationHost.config был скопирован с другого компьютера (без импорта ключей шифрования) или ключи шифрования были неправильно переопределить.
причина, по которой вы получаете эту ошибку, заключается в том, что всякий раз, когда пароль хранится (например, пользователь виртуального каталога/pwd), он хранится с помощью шифрования, и это приведет к сбою.
благодаря хорошему ответу Матье Шато, я обнаружил, что applicationHost.файл конфигурации можно редактировать вручную, чтобы избежать необходимости экспортировать и импортировать машинный ключ, используемый для кодирования. Я просто вручную установил все идентификаторы пула приложений на идентификатор пула приложений по умолчанию следующим образом:
я обновил список пулов приложений в интерфейсе диспетчера IIS, и все, казалось, работали нормально, включая возможность редактирования параметров пула приложений для другого идентификатора. Я бы ожидайте, что любое другое изменение свойств также будет работать нормально.
простое исправление для меня: Если вы используете общую конфигурацию для IIS, повторно добавьте учетные данные пользователя для сетевого расположения, где файл applicationHost является общим. Это позволит удалить ранее зашифрованные учетные данные из файла конфигурации и заменить его обновленным.
Не применен по причине ошибки с кодом 0x80090005 плохие данные эта ошибка была отключена
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Все сервера лицензионные. Выполнил на всех трех серверах обновления, однако результат тот же.
Создано 2 (две) GPO: Add Share (сопоставление дисков) и Folders (перенаправление папок).
Политика Folders применяется без проблем.
Политика Add Share применяется только для группы Администраторы. Для пользователей пишет следующую ошибку:
Из списка событий на терминальном сервере:
Тип события: Ошибка
Источник события: Group Policy Drive Maps
Категория события: (2)
Код события: 8192
Дата: 08.08.2012
Время: 17:09:04
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: TS
Описание:
Элемент предпочтения пользователь «X:» в объекте групповой политики «Add Share
Может кто сталкивался с такой проблемой?
Тех. поддержка отправила на портал Technet.
Не применен по причине ошибки с кодом 0x80090005 плохие данные эта ошибка была отключена
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Создаю через GPP TCP\IP принтер Xerox Phaser 3300. для доступа к драйверу указываю расшареный этот же принтер на сервер. Принт-процессор Winprint. Драйверы как x86 так и x64 на сервере присутствуют. На WinXP всё ставится нормально, а вот Win7 требует драйвер.
Имя журнала: Application
Источник: Group Policy Printers
Дата: 14.01.2011 10:51:53
Код события: 4098
Категория задачи:(2)
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: система
Компьютер:
Описание:
Элемент предпочтения компьютер «192.168.117.17» в объекте групповой политики «For TEST <2D2C0D60-D6DD-4247-BC97-E8EC1688642D>» не применен по причине ошибки с кодом «0x80070bcb Указанный драйвер принтера не найден в системе. Необходимо загрузить драйвер.» Эта ошибка была отключена.
Xml события:
4098
3
2
0x80000000000000
86457
Application
khv-testw7.vskhv.lan
компьютер
192.168.117.17
For TEST <2D2C0D60-D6DD-4247-BC97-E8EC1688642D>
0x80070bcb Указанный драйвер принтера не найден в системе. Необходимо загрузить драйвер.
1. Как это побороть?
2. Для чего указывать расшареный принтер, если всё равно просит драйвер.
Не забывайте отмечать поcты как ответы, а также помечать полезные сообщения!