Jump to content

Benutzerrichtlinien funktionieren nur noch mit "Authentifizierte BN"


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

folgendes Problem. Wir haben mehrere GPO´s die per "Sicherheitsfilterung" bestimmten Benutzergruppen zugewiesen sind (Die Standardgruppe "Authentifizierte BN" wurde entfernt". Dies funktionierte bisher auch reibungslos.

Seit kurzem funktionieren diese Richtlinien nicht mehr mit den zugewiesenen Gruppen sondern nur noch mit der Gruppe "Authentifizierte Benutzer".

Hat MS da irgendwas geändert?

 

Gruß,

Markus

Link to comment

Moin,

 

Ein alter Hut.

 

na, so alt ist der Hut nun auch wieder nicht, nur weil wir diese Antwort schon ein paarmal gegeben haben ... der Hut ist vielleicht eine nicht ganz neuwertige Kappe, aber alt, nein, das ist er nicht. ;)

 

Die Änderung, die Microsoft vorgenommen hat, ist schon fundamental, und daran gemessen, ist praktisch nichts geschehen, um das bekannt zu machen. Man hätte etwa mit dem Update ein Checkup-Tool mitliefern können, das Admins auf den Änderungsbedarf an konkreten GPOs aufmerksam macht. Hat man aber nicht.

 

Gruß, Nils

Link to comment

Da ist aber immer noch ein Unterschied. Wenns Dokumente und Tools gibt, bin im Zweifel ich "Schuld", weil ich mich nicht drum gekümmert hab. In dem Fall hat MS aber einfach tiefgreifende Änderungen vorgenommen, ohne Infos in die Welt zu schicken. Der KB Artikel und weiterführende Informationen kamen erst deutlich später. Und das ist dann nicht mehr "meine Schuld", weil ich gar keine Chance hatte mich vorab zu informieren.

Link to comment

Moin,

 

Machen aber nur wenige...

 

... weil in einer kleineren Umgebung schlicht die Ressourcen dazu fehlen.

 

Und selbst wenn: Um die Fehler, die aus dem hier diskutierten Update entstehen, überhaupt zu bemerken, ist eine sehr umfangreiche Testumgebung nötig, in der dann sehr umfangreich getestet wird. In der Qualität treffe ich das i.d.R. nicht mal in Enterprise-Unternehmen an.

 

Gruß, Nils

Link to comment

Seit kurzem ...

 

Hallo Markus,

Der Patch erschien vor über 2 Monaten und offenbar wurden jetzt erst deine Systeme gepatcht. Wenn ihr nur wertlose, uninteressante Daten in der Domäne hostet, dann ist diese Verzögerung nicht OK, aber noch tolerierbar. Falls es aber bedeutende Werte gibt, sind mindestens 2 Monate Patch-Verzögerung gegenüber diesen Werten verantwortungslos.

 

Blub

Link to comment

Aktuell, zumindest monatlich, gepachte Umgebungen sind genauso essentiell, wie beispielsweise sichere Passwörter.

Wenn 2 Monate+x normal sein sollten, dann ist das ein Prozessproblem in dieser IT, kein technisches oder Kapazitätsproblem mehr.

Irgendwann kann man sich Security auch komplett sparen, wovon ich niemanden abhalten kann oder will. Aber auf Gefahren aufmerksam machen, das will ich schon,

 

Blub

Link to comment

Moin,

 

unbenommen.

 

Es spricht allerdings auch einiges dafür, Patches eben nicht flächendeckend "sofort" einzuspielen, sondern durchaus mehrere Wochen zu warten. Die letzten Jahre haben gezeigt, dass die Qualität der Updates leider nicht immer ausreicht, um sich auf ein reibungsloses Verfahren zu verlassen. Das Risiko, durch schnelles Patchen erst recht Probleme zu erzeugen, ist leider real.

 

Daher empfehle ich ebenfalls dringend, grundsätzlich "schnell" zu patchen, besonders bei zentralen und/oder sicherheitskritischen Systemen. Eine Wartezeit von mehreren Wochen kann ich aber eben aufgrund der Stabilitätsrisiken nicht als "unverantwortlich" bezeichnen.

 

Gruß, Nils

PS. abgesehen davon, ist es eine unbelegte Vermutung, dass der TO mehr als zwei Monate nicht gepatcht habe, nur weil er sich erst gestern hier gemeldet hat.

Link to comment

Hallo,

 

erstmal danke für die Antworten. Das habe ich mir schon so gedacht...

 

Zur anschließenden Diskussion:

Kann sein das es hier den ein oder anderen Admin gibt, der die notwendige Zeit hat, alle Updates, Software usw. ausgiebig und zeitnah zu testen um sie dann sofort bereitzustellen.

Leider gibt es aber auch Admins, die diese Zeit eben nicht immer zur Verfügung haben und es deshalb auch vorkommt, dass Updates eben später bereitgestellt werden. ;-)

 

Gruß,

Markus

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...