Vérifiez le patch lien joeqwerty aussi .
Il y a le détail important:
Problèmes connus
MS16-072 modifie le contexte de sécurité avec lequel les stratégies de groupe d'utilisateurs sont récupérées. Ce changement de comportement par conception protège les ordinateurs des clients contre une vulnérabilité de sécurité. Avant l'installation de MS16-072, les stratégies de groupe d'utilisateurs ont été récupérées à l'aide du contexte de sécurité de l'utilisateur. Une fois MS16-072 installé, les stratégies de groupe d'utilisateurs sont récupérées à l'aide du contexte de sécurité des machines. Ce problème s'applique aux articles de la base de connaissances suivants:
- 3159398 MS16-072: Description de la mise à jour de sécurité pour la stratégie de groupe: 14 juin 2016
- 3163017 Mise à jour cumulative pour Windows 10: 14 juin 2016
- 3163018 Mise à jour cumulative pour Windows 10 version 1511 et Windows Server 2016 Technical Preview 4: 14 juin 2016
- 3163016 Mise à jour cumulative pour Windows Server 2016 Technical Preview 5: 14 juin 2016
Symptômes
Toutes les stratégies de groupe d'utilisateurs, y compris celles dont la sécurité a été filtrée sur les comptes d'utilisateurs ou les groupes de sécurité, ou les deux, peuvent ne pas s'appliquer sur les ordinateurs joints au domaine.
Cause
Ce problème peut se produire si l'objet de stratégie de groupe ne dispose pas des autorisations de lecture pour le groupe d'utilisateurs authentifiés ou si vous utilisez le filtrage de sécurité et qu'il manque des autorisations de lecture pour le groupe d'ordinateurs de domaine.
Résolution
Pour résoudre ce problème, utilisez la console de gestion des stratégies de groupe (GPMC.MSC) et suivez l'une des étapes suivantes:
- Ajoutez le groupe Utilisateurs authentifiés avec des autorisations de lecture sur l'objet de stratégie de groupe (GPO).
- Si vous utilisez le filtrage de sécurité, ajoutez le groupe Ordinateurs du domaine avec une autorisation de lecture.
Voir ce lien Déployer MS16-072 qui explique tout et propose un script pour réparer les GPO affectés. Le script ajoute des autorisations de lecture d'utilisateurs authentifiés à tous les objets de stratégie de groupe qui n'ont aucune autorisation pour les utilisateurs authentifiés.
# Copyright (C) Microsoft Corporation. All rights reserved.
$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0
if($osver -lt $win7)
{
Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
return
}
Try
{
Import-Module GroupPolicy
}
Catch
{
Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
return
}
$arrgpo = New-Object System.Collections.ArrayList
foreach ($loopGPO in Get-GPO -All)
{
if ($loopGPO.User.Enabled)
{
$AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
If (!$AuthPermissionsExists)
{
$arrgpo.Add($loopGPO) | Out-Null
}
}
}
if($arrgpo.Count -eq 0)
{
echo "All Group Policy Objects grant access to 'Authenticated Users'"
return
}
else
{
Write-Warning "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
foreach ($loopGPO in $arrgpo)
{
write-host "'$($loopgpo.DisplayName)'"
}
}
$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"
$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
"Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
"No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)
$appliedgroup = $null
switch ($result)
{
0 {$appliedgroup = "Authenticated Users"}
1 {$appliedgroup = $null}
}
If($appliedgroup)
{
foreach($loopgpo in $arrgpo)
{
write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
}
}
Si vous préférez définir l'autorisation de lecture pour les ordinateurs du domaine (comme je le fais) plutôt que pour les utilisateurs authentifiés, remplacez simplement cela 0 {$appliedgroup = "Authenticated Users"}
par celui0 {$appliedgroup = "Domain Computers"}