MS16-072 適用におけるグループ ポリシーの動作変更を検証してみた!

前回の投稿MS16-072 (KB3163622) を適用するとグループ ポリシーの動作が変更になるとお伝えしました。

実際にどのような動作になるか検証してみました。

■環境

Domain Controller: Windows Server 2012 R2 (MS16-072: KB3159398 適用済み)
Client PC 1: Windows 7 SP1 (MS16-072: KB3159398 適用前の環境と適用後の環境)
Client PC 2: Windows 10 1507 (MS16-072: KB3163017 適用前の環境と適用後の環境)

事前に、Domain Controller に Notepad.exe が起動するログオン スクリプト(Test GPO)を作成し、セキュリティ フィルター処理から Authenticated Users を外して、Domain Users に入れ替えしました。

GPO

その後、Client PC 1 (MS16-072 未適用環境) にて OS にログオンしてログオン スクリプトが実行される事(メモ帳が起動する事)を確認しました。まだ、この状況下だと  Domain Controller に MS16-072 が適用されていてもユーザーのセキュリティ コンテキストを使ってグループ ポリシーを取得しに行っているようです。

その後、Client PC 1 に MS16-072 を適用しました。適用後に OS 再起動してログオンしてみましたが、ログオン スクリプトは実行されませんでした。(メモ帳が起動しなかった)
この事から、どうやら、クライアント PC に MS16-072 が適用されるとコンピューター のセキュリティ コンテキストを使用してグループ ポリシーを取得するように変更されるようです。
因みに、イベント ログでは特にエラーなどは表示されておらず、グループ ポリシーが適用されたように見えます。

Event_log

gpupdate /force を実行しても特にエラーは表示されません。(MS16-072 適用後)

gpupdate

しかし、gpresult /r を実行すると [適用されたグループ ポリシー オブジェクト] には表示されず、[次の GPO はフィルターで除外されたため適用されませんでした。] に表示されてしまいます。

gpresult

この結果から、あるプログラムを実行させるようなログオン スクリプトの場合にはグループ ポリシーが適用されていないことがすぐに分かりますが、それ以外のグループ ポリシーの場合はイベント ログにエラーと表示されないために気づきづらいかもしれません。特に、gpupdate を実行してもエラーとして表示される訳ではないため。
もしも、グループ ポリシーがうまく適用できていないなーと思った際には gpresult で確認為てみてください。エラー結果が [(不明な理由)] なのでさらに分かりづらいですが (^_^;)

Windows 10 の Client PC 2 でも同様の結果でした。

この仕様変更は結構大事になりそうな予感がします。。。

2016/6/21 追記
Client PC 1 (Windows 7) で KB3159398 (MS16-072) を削除してみました。そうしたら、グループ ポリシーの動作が戻ったようで “Test GPO” が適用されるようになりました。
どうやら、パッチを削除すると元々の動作に戻るので GPO をセキュリティ設定をすぐに修正できない場合は、一時的に MS16-072 のパッチをアンインストールする事で対応する事もできると思います。MS16-072 はセキュリティ パッチなのでアンインストールはお勧めしませんが。。。