Atualização de criadores interrompe o trabalho de mapeamento de unidade de GPO entre domínios ('0x80090005 dados incorretos)

3

Estamos testando a Atualização do Windows 10 Creators (Build 15063) aqui. Até agora, este é o único problema insolúvel que encontramos.

Este problema é exclusivo para criadores: usuários e GPOs idênticos trabalham bem no Windows 10 Anniversary (Build 14393) e no Windows 7 SP1, todos com as atualizações mais recentes do Windows em execução

Temos dois domínios aqui, sem relação de confiança entre eles. Para obter uma determinada unidade mapeada, adicionamos o nome de usuário e a senha usando as preferências de política de grupo (usadas para serem feitas com um script de login, mas alteradas para suportar o controle de conta do usuário) para autenticar cruzado. Aqui está uma captura de tela (redigida) das opções de preferência no GPO:

Quando a política é executada em 10 criadores, o mapa da unidade do outro, mas o M: Drive não está lá. Olhando para o visualizador de eventos dá este erro:

O item de preferência 'M:' do usuário nos 'Mapeamentos de unidade de GPO {C65A2351-20C1-42D4-BF2B-AE604CD9DC0A}' Objeto de Diretiva de Grupo não se aplica porque falhou com o código de erro '0x80090005 Dados incorretos'. Este erro foi suprimido.

O usuário pode mapear manualmente a mesma unidade, adicionando as credenciais do outro domínio quando solicitado. Eles também podem fazer isso usando o comando net use.

Eu tentei pesquisar o Mapeamento de GPOs, Criadores do Windows 10 e Dados Ruins 0x80090005, mas não encontrei nada relevante.

    
por Dave 12.05.2017 / 17:53

2 respostas

1

Eu criei uma solução, mas na verdade não é bonita: The Old is New novamente.

Background: Passamos de usar um simples script de login do CMD para unidades mapeadas do GPO quando passamos do Windows XP para o Windows 8, e o controle de Conta de Usuário parou o mapeamento de unidades funcionando, devido a tokens padrão e administrativos conflitantes (consulte a nota do TechNet aqui )

Como a atualização para criadores de conteúdo removeu a capacidade de salvar credenciais na política de grupo, não consegui obter a política de grupo para adicionar os detalhes ao Credential Manager local (tentei usar esse script , mas parece que ele não funcionará com o Controle de Conta de Usuário e permitindo scripts não assinados), ativei a chave do Registro EnableLinkedConnections e mapeou essa unidade usando o comando old skool net use.

Detalhes completos:

Etapa 1 Crie um novo Filtro WMI especificamente para detectar a atualização de criadores (isso reduz a área de cobertura de segurança inferior apenas para as máquinas que precisam):

select * from Win32_OperatingSystem WHERE Version like "10.0.15063%" AND ProductType="1"

Etapa 2 Adicione o filtro WMI a um novo GPO, que:

  • Define a chave de registro DWORD \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ EnableLinkedConnections como 1
  • Adicionar um script de login cmd na pasta Sysvol

Etapa 3

No login script, adicione o seguinte código:

net use m: /delete /y
net use m: \[Server]\[Share]\ /user:[Server FQDN]\[Username] [Password] /PERSISTENT:YES

Como uma notificação, isso afeta somente os usuários que são administradores locais nos sistemas de atualização do Criador: se você tiver a opção de remover os direitos de administrador, poderá remover a etapa EnableLinkedConnections no GPO, o que melhora a segurança do outras unidades mapeadas pelo GPO (embora a unidade em questão ainda tenha um script de senha de texto sem formatação), mas estou trabalhando com um Programa herdado que precisava que os direitos de mapeamento e administração de vários domínios funcionassem.

Saiba que isso é menos do que ideal, pois remonta aos dias de XP de ter uma senha de texto simples em um arquivo não muito difícil de localizar, mas é a única solução que encontrei até agora para essa edição da Atualização de criadores: um sentimento de programação Credential Manager via GPO ou um script de login do PowerShell é a resposta correta, mas eu simplesmente não consigo fazê-lo funcionar: Se alguém pode melhorar esta resposta indo para o trabalho, então é para isso que eu vou .

    
por 21.09.2017 / 15:23
2

Então, eu sou um dos 10 ou mais MVPs do GP da Microsoft.

Resumindo: isso não é suportado. @Twisty está certo: essa falha de segurança foi fechada pelos GPMCs modernos e não é mais permitida. O KB:

link

Eu tenho duas soluções possíveis:

1: Tente REMOVER o trailing \ no final. Então, a interface do usuário correta seria

\\ server \ share e não \\ servidor \ compartilhamento \

2: Sem testá-lo, uma solução alternativa pode valer a pena ser testada. Experimente a configuração de diretiva (em ONE MACHINE usando GPedit.msc):

Computador | Modelos de administração | Sistema | Diretiva de Grupo | Permitir política de usuário entre florestas e perfis de usuários móveis

Basta definir ONE máquina localmente com essa política .. (GPedit.msc LOCALMENTE em uma caixa de edição do Win10 1703 / creators) .. não enlouquecer e habilitá-lo em todos os lugares ainda.

Em seguida, reinicie e teste novamente.

Isso funcionou?

Se sim, sim. Se não, isso é tudo que tenho a oferecer.

- Jeremy Moskowitz, MVP de 15 anos da Group Policy de GPanswers.com

    
por 19.07.2017 / 02:22