Resolução do problema com a aplicação de Políticas de Grupo após atualização MS16-072

broken_screen_microsoft_windowsNo passado 14 de Junho a Microsoft lançou a atualização de segurança MS16-072 (MS16-072: Security update for Group Policy: June 14, 2016, link: https://support.microsoft.com/en-us/kb/3163622).

Esta atualização permite resolver certas vulnerabilidades na forma em que as políticas de grupo são obtidas dos controladores de domínio.

Uma das consequências desta atualização, que já deverá ter sido instalada pela maioria dos sistema com Windows 10 Pro, é que as políticas de grupo que usam algum tipo de filtro de segurança (por exemplo quando se aplicam só a certos grupos de utilizadores) deixam de ser aplicadas.

Isto é muito grave por quanto as políticas de grupo são usadas pelos administradores para controlar a funcionalidade duma rede, mapeando unidades de rede no início, executando scripts ou limitando o acesso a certas áreas nos computadores, entre outros.

Sendo uma situação tão recente (dias), muitos administradores poderão ter sido apanhados de surpresa e perder muitas horas tentando resolver o problema da mesma forma como se resolvem os típicos problemas com as políticas de grupo. Por exemplo, ao utilizar o comando gpresult /r observarão que as políticas não são aplicadas com “Motivo desconhecido” com única justificação (a Microsoft a comportar-se como a Microsoft). Em inglês, a mensagem é “The following GPOs were not applied because they were filtered out” Filtering:  “Not Applied (Unknown Reason)”.

Abreviando, a parte relevante do artigo é:

Symptoms

All user Group Policy, including those that have been security filtered on user accounts or security groups, or both, may fail to apply on domain joined computers.

Cause

This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group.

Resolution

To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:
Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
If you are using security filtering, add the Domain Computers group with read permission.

Portanto, para resolver o problema temos que ir ao editor de políticas de grupo e para cada GPO, no separador “Delegação”, adicionar os principais “Utilizadores autenticados” e “Computadores do domínio” com a permissão de leitura.

Só resta agradecer o utilizador “yagmoth555” por indicar o caminho em http://serverfault.com/questions/784615/gpos-fail-to-apply-reason-inaccessible-empty-or-disabled-server-2012-r2-and.