не применен по причине ошибки с кодом 0x80090005 плохие данные эта ошибка была отключена
Почему перестали работать некоторые GPO после установки MS16-072
На прошлой неделе Microsoft выпустила обновления безопасности, меняющих стандартную схему работы механизма применения групповых политик Windows. Речь об обновлениях, выпущенных в рамках бюллетеня MS16-072 от 14 июня 2016 года, который предназначен для устранения уязвимостей в механизме GPO. Разберемся для чего выпущено это обновление и что нужно знать системному администратору об изменениях в применении групповых политик.
Обновления из MS16-072 устраняют уязвимость, позволяющую злоумышленнику реализовать атаку Man in the middle (MiTM), и получить доступ к трафику, передаваемому между компьютером и контроллером домена. Для защиты от уязвимости разработчики MS решили изменить контекст безопасности, в котором получаются политики. Если ранее, пользовательские политики получались в контексте безопасности пользователя, то после установки MS16-072, пользовательские политики получаются в контексте безопасности компьютера.
Во всех предыдущих рекомендациях при необходимости использовать Security Filtering MS всегда советовали удалять группу Authenticated Users и добавлять группу безопасности пользователей с правами Read и Apply.
После установки обновления MS16-072 /KB3159398 теперь для успешного применения политики, права Read на доступ к объекту GPO должны быть также и у учетной записи самого компьютера.
А так как под Authenticated Users подразумеваются, как пользовательские, так и компьютерные учетки, то удаляя эту группу, мы тем самым блокируем доступ к GPO.
Чтобы решить проблему, нужно удалить обновление (не верный, но действенны способ) или с помощью GPMC.MSC для всех политик, у которых используется фильтрация безопасности по пользовательским группам, на вкладке Delegation добавить группу Domain Computers (нужны права только на Read).
Чтобы найти все объекты GPO в домене, у которых в Security Filtering отсутствует группа Authenticated Users, можно воспользоваться таким скриптом:
Для больших и сложных инфраструктур с запутанной структурой групповых политик для поиска проблемных политик можно воспользоваться более удобным PowerShellскриптом MS16-072 – Known Issue – Use PowerShell to Check GPOs
Не применен по причине ошибки с кодом 0x80090005 плохие данные эта ошибка была отключена
Question
Добрый день, уважаемые гуру =)
Есть терминальный сервер на 2008 r2 standard вынесен в отдельный OU. На этот OU слинкован GPO с включенным LoopBack в режиме Replace. Подключаю принтеры через новые CSE для всех терминальных пользователей, Action выбираю Create.
Пробовал включать на вкладке Common опцию «Remove this item when is no longer applied», она тоже не удаляет принтер если убрать его из списка подключаемых.
Подскажите что не так? 🙂
Answers
Сазонов Илья http://isazonov.wordpress.com/
All replies
Сазонов Илья http://isazonov.wordpress.com/
Значит происходит так :
Элемент предпочтения пользователь «PRN101-xxxxx» в объекте групповой политики «Terminal_Policies
Элемент предпочтения пользователь «PRN102-xxxxx» в объекте групповой политики «Terminal_Policies
Принтеры работают все нормально.
Диспетчер IIS плохие данные. Ошибку 0x80090005
когда я попытался установить учетные данные физического пути в расширенных настройках, у меня появилось сообщение об ошибке следующим образом:
Internet Information Services (IIS) Manager
Неверные Данные. (Исключение из HRESULT: 0x80090005)
и это мешает мне установить конкретного пользователя на доступ к общей сетевой папке.
странно, у меня есть другой сервер с той же конфигурацией, он работает нормально, но этот вызвал ошибку. Есть идеи?
4 ответов
Если вы скопировали файл applicationhost.config, вам нужно экспортировать и импортировать также учетные записи, зашифрованные через WAS.
что я сделал (взято из здесь):
затем скопируйте снова applicationhost.конфиг снова работает!
Я видел эту проблему, когда ключи шифрования были неправильно настроены, обычно из-за ApplicationHost.config был скопирован с другого компьютера (без импорта ключей шифрования) или ключи шифрования были неправильно переопределить.
причина, по которой вы получаете эту ошибку, заключается в том, что всякий раз, когда пароль хранится (например, пользователь виртуального каталога/pwd), он хранится с помощью шифрования, и это приведет к сбою.
благодаря хорошему ответу Матье Шато, я обнаружил, что applicationHost.файл конфигурации можно редактировать вручную, чтобы избежать необходимости экспортировать и импортировать машинный ключ, используемый для кодирования. Я просто вручную установил все идентификаторы пула приложений на идентификатор пула приложений по умолчанию следующим образом:
я обновил список пулов приложений в интерфейсе диспетчера IIS, и все, казалось, работали нормально, включая возможность редактирования параметров пула приложений для другого идентификатора. Я бы ожидайте, что любое другое изменение свойств также будет работать нормально.
простое исправление для меня: Если вы используете общую конфигурацию для IIS, повторно добавьте учетные данные пользователя для сетевого расположения, где файл applicationHost является общим. Это позволит удалить ранее зашифрованные учетные данные из файла конфигурации и заменить его обновленным.
Не применен по причине ошибки с кодом 0x80090005 плохие данные эта ошибка была отключена
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Есть проблемма с созданием или копированием файлов с помощью GPP.
Проблемма в следующем, есть домен 2003, клиенсткие компьютера есть Windosx XP Pro или Windows 7.
На всех компьютерах установлено расширение для GPP.
Пытаюсь организовать копирование/создание ярлыков на рабочем столе у пользователей с помощью GPP.
Создаю в «Конфигурация пользователя>Настройка>Конфигурация Windows>Файлы» элемент, который должен скопировать файл из сетевой папки на рабочий стол. Если в источнике в конце указано *.* то нормально копируются все файлы из папки.
Но если указать конкретный файл, то на клиентском компьютере появляется ошибка:
Элемент предпочтения пользователь «Ярлыки» в объекте групповой политики «test <31AEBCC1-DFA4-4399-A743-CE137B6249DF>» не применен по причине ошибки с кодом «0x80070005 Отказано в доступе.» Эта ошибка была отключена.
Если я делаю «Конфигурация пользователя>Настройка>Конфигурация Windows>Ярлыки» создать ярлык на рабочем столе, то возникает ошибка:
Элемент предпочтения пользователь «УПП_82» в объекте групповой политики «test <31AEBCC1-DFA4-4399-A743-CE137B6249DF>» не применен по причине ошибки с кодом «0x80070002 Не удается найти указанный файл.» Эта ошибка была отключена.
Проверял и на XP и на Viste.
Не могу понять в чём проблемма, может кто сталкивался?
ИСПРАВИТЬ: Enterprise Single Sign-On вызывает событие 10536 и код ошибки 0x80090005
Обновленные рекомендации
Симптомы
Рассмотрим следующий сценарий:
Был установлен компонент версии 5 корпоративного единого входа (SSO), включенный в Microsoft BizTalk Server 2013 R2 или узла Integration Server 2013.
В одном из следующих сценариев восстановления главного ключа из файла резервной копии:
При установке кластера SSO в сети предприятия
Во время корпоративного единого входа аварийного восстановления
Когда повышение роли сервер корпоративного единого входа для сервера главный секрет (MSS)
Во время миграции с более ранней версии SSO в сети предприятия
Во время обновления на месте с более ранней версии SSO в сети предприятия
При выполнении нескольких V5 единого входа предприятия восстановления и резервного копирования последовательности
После восстановления главного ключа в любой из этих сценариев, SSO в сети предприятия не удается расшифровать данные, содержащиеся в базе данных SSO в сети предприятия. В этой ситуации SSO в сети предприятия регистрирует следующие события в журнале приложений:
Код события: 10536
Источник: ENTSSO
Уровень: предупреждение
АУДИТА функция единого входа: Идентификатор трассировки GetConfigInfo (<11111111-6055-4cda-89CD-389E8A2B1640>): b084f15b-43fd-474e-a075-398943753c91 клиентский компьютер: имя компьютера (имя: PID исполняемый) пользователь клиента: имя пользователя имя приложения: имя приложения код ошибки: 0x80090005, неверные данные.
Кроме того может быть зарегистрировано следующее всплывающее сообщение об ошибке, при открытии оснастки MMC администрирования BizTalk Server:
Администрирования BizTalk Server
Неверные данные.
(WinMgmt)
Кнопки:
Хорошо
Причина
V5 единого входа предприятия добавляет метку времени главный секретный ключ для ограничения продолжительности использования ключа. Кроме того проверка была добавлена для определения, содержит ли главный секретный ключ штамп времени. Служба единого входа предприятия неправильно определяет, что отсутствует отметка времени при восстановлении главного ключа возникает проблема, описанная в разделе «Проблема». Так как восстановленный главный секретный ключ был добавлен штамп времени, восстановленный ключ не соответствует ключ, используемый для шифрования данных в базе данных единого входа предприятия. Поэтому не удается расшифровать данные, и это вызывает сообщения об ошибках, описанные выше.
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Это исправление ко всем системам V5 единого входа предприятия для предотвращения этой проблемы, а также для всех систем, которые уже испытывают проблемы. Для установки исправления требуется не дополнительных действий для предотвращения и устранения проблемы.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этого раздела нет, отправьте запрос в службу технической поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт:
Примечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Для установки этого исправления необходимо иметь корпоративного единого входа V5 (9.0.2096) установлен.
Сведения о перезагрузке компьютера
Может потребоваться перезагрузить компьютер после установки данного исправления.
Сведения о файлах
Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку часовой пояс элемента Дата и время панели управления.