Microsoft在MS16-072中发布了更多详细介绍了突突发的权限

作为上个月的补丁星期二的一部分，Microsoft发布了一个名为MS16-072的修补程序，是“组策略的安全更新”。修复程序出现在安全补丁KB 3163622中，它与Vista，Server 2008，Win7，Server 2008 R2，Win 8.1，RT 8.1，Server 2012和Server 2012 R2相关联。它也是Windows 10累积更新KB 3163018的一部分，适用于Win10版本1511 Build 10586.420（换句话说，Win10.1.13）。

虽然 - 但是 - 没有客户端计算机，但是在管理员方向上设置了组策略的权限 - 在围栏的服务器端设置的权限。

在Askwoody.com上，Reader CH100将Anmins上的Onus放在洁净物中：

根据最佳实践未按最佳实践，培训问题的群体政策。

问题是用户组策略的安全上下文已经从用户（这可以是一个不专生/非管理员帐户）到计算机来增强整体安全性。计算机是Active Directory中的用户，I.E有自己的用户帐户和随机生成的密码，默认情况下每30天更改。作为一个用户，计算机帐户，常见于美元$符号的权限中，是经过身份验证的用户的成员，它需要至少阅读策略，而不是必要应用它，因为这仍然会发生这种情况在用户上下文中正常。

它不是一个错误的补丁，它正在强制安全，因为我相信它总是意味着。因此，在这种感觉中，它可以解决现在从未解决过的问题。

该建议始终是经过身份验证的用户，最小应该具有读取访问，但可以通过添加确切的计算机帐户和域控制器来实现这一点，而是有时以合规原因所需的配置复杂。

我不认为微软有任何理由重新发出补丁，因为它不是错误的补丁，除非是出于公关的原因。技术上，微软并不是错误。

Microsoft可以且应该更好地完成Microsoft的唯一方法是在管理员安装更新和遇到问题之前在原始修订版本中发布信息。

识别为Doug的管理员反击：

如果它不是故障，则在修补程序的末尾，Microsoft应该添加一个子程序，该子程序扫描Active Directory中的GPO问题，并通过纠正必要的权限自动解析。我会称之为预期的行为。

一般来说，我的来回有很多东西，我认识的管理员都对结果感到满意。我认为，可以说微软无法在常见配置上测试补丁 - 无论他们是在“书籍”中设置的 - 或者如果他们确实在正常情况下测试，他们就会陷入困境警告管理员潜在的麻烦。

这种警告应该在修补程序发布之前出现，而不是一个月后。

昨天，Brandon Wilson，发布在询问Premier Field Engineering Platforms博客上，对补丁的状况进行了彻底的报告。他甚至包括修改后的PowerShell脚本来解决问题。（Microsoft首次在6月16日发布了PowerShell脚本的版本。）

威尔逊没有什么帖子是一个道歉或承诺来解决这个问题。相反，他非常清楚地说，他概述的修复只会工作......

暂时地。我们的组策略工具GPMC和AGPM将继续使用我在本文开头的默认权限创建GPO。当您创建新用户GPO时，您将它们缩放到特定的用户组，您将继续记住将相应的组添加到这些GPO，然后再处理。

如果您使用的是第三方工具创建和管理您的GPO，您将“LL希望与该供应商联系，看看他们的产品如何受到影响，并且如果您的策略创建和部署进程需要任何更改。

记住：如果您没有使用“经过身份验证的用户”，并且您将其他域添加到林中，如果要在林中域之间交联GPO（Domain1中存在GPO并链接到Domain2），请务必请记住，您需要在新域的访问之前授予新域“域计算机”或自定义组到策略。

还有一个对另一个错误的确认，这是MS16-075 / KB 3161561中的一个：

我们还将在2016年6月发布MS16-075 / KB 3161561，以修补一些SMB项目。SYSVOL和NETLOGON使用SMB。在尝试访问//domain.fqdn/sysvol或// domain / sysvol时，已经有报告访问访问拒绝。

如果您遇到此错误，则当前的解决方法是在DCS上将SMBServerNamehardentingleVel注册表值设置为0。在其他服务器上不需要。如果您在其他DFS服务器上遇到此问题，请参阅可用于这些服务器的更新的解决方法信息的KB。在KB 3161561文章中详细介绍了细节。

我倾向于将整个逃生作为管理员虐待狂的研究生课程。至少它“LL有助于在管理员排名中充分就业。

T / H CH100和David在Askwoody.com上，Zdnet的Mary Jo Foley，以及WindowsItpro的杆特伦特