Введение
Начну данную статью с того, что сегодня в мире ИТ значимое событие – пакет обновлений 1 (Service Pack, SP) для операционных систем Windows 7 и Windows Server 2008 R2 стал доступен для загрузки подписчикам TechNet и MSDN. Помимо таких основных нововведений в серверной операционной системе Windows Server 2008 R2, как RemoteFX и Dynamic Memory, в данный пакет обновлений включены более 620 обновлений, которые выходили для операционных систем на протяжении всего жизненного цикла. Так как список изменений довольно-таки большой, я выбрал все обновления, которые относятся к функционалу групповых политик. За все время было выпущено 28 обновлений, при помощи которых был исправлен ряд ошибок, связанный с групповыми политиками. В этой статье я рассмотрю каждое из этих обновлений, то есть в здесь вы найдете объяснения ошибок, которые были обнаружены в групповых политиках и узнаете о том, какое именно обновление позволяет исправить конкретную уязвимость. Статью на подобную тематику вы можете найти также на блоге MVP по групповым политикам Алана Барчилла. Также отмечу, что для написания текущей статьи использовались описания обновлений, которые можно найти на сайте службы поддержки Microsoft.
Список обновлений с подробным описанием неисправности
Обновление 969867
Данное обновление исправляет ошибку, которая возникала в том случае, если при помощи оснастки «Управление групповой политикой» для создания резервной копии экспортировались или копировались отдельные групповые политики с ненужным атрибутом dSCorePropagationData. Данный атрибут предназначен для внутреннего использования и не может быть импортирован. Воспроизводилась данная ошибка довольно-таки просто. Для этого нужно было выполнить следующие действия:
В оснастке «Управление групповой политикой» нужно было создать и настроить объект групповой политики. После этого нужно было экспортировать и скопировать созданный ранее объект GPO и попробовать его импортировать или вставить в текущий или новый домен. В итоге, вы увидите, что все объекты групповой политики успешно импортировались, однако некоторые параметры групповых политик, например, «Политики проводной сети IEEE 802.3» отсутствуют в импортированных объектах GPO. Данное обновление позволяет решить этот неприятный нюанс.
Обновление 970840
До выпуска данного обновления вы могли обнаружить проблемы в работе предпочитаемых групповых политик. Для этого достаточно было в оснастке «Редактор управления групповыми политиками» развернуть узел Конфигурация пользователя\Настройка\Параметры панели управления\Параметры обозревателя и создать предпочитаемую политику для Internet Explorer 7 или Internet Explorer 8. Если указать в диалоговом окне «Новые свойства Internet Explorer 7(8)» на вкладке «Дополнительные параметры связи» следующие параметры «Сбор размера шрифтов к среднему значению при масштабировании» и «Возврат масштаба к значению 100% для новых окон и вкладок», а также некоторые параметры на вкладке «Безопасность», то данные параметры не будут применяться к браузерам Internet Explorer для операционных систем Windows Vista, Windows 7, а также Windows Server 2008/2008 R2. Данное обновление позволяет исправить эту неполадку.
Обновление 972069
Ошибка, которая связана с текущим обновлением, имеет отношение к серверу терминалов под операционной системой Windows Server 2008/2008 R2. При включении и применении параметра групповой политики «Группа безопасности сервера лицензий» на сервере лицензий сервера терминалов, группа компьютеров автоматически создавалась, но если домен сервера терминалов работал в смешанном режиме, данному серверу не удавалось получить лицензии терминала на сервере лицензий. Данное обновление позволяет исправить текущую ошибку.
Обновление 976398
До появления текущего обновления, настройки в предпочитаемых групповых политиках с применением фильтров LDAP не вступали в силу. Для этого достаточно было в объекте групповой политики настроить предпочитаемые параметры групповой политики, для данных настроек применить фильтр LDAP и попробовать применить к компьютерам под управлением операционных систем Windows 7 или Windows Server 2008 R2.
Обновление 976399
Данное обновление исправляет ошибку, возникающую при попытке применения параметров групповой политики на компьютерах с операционными системами Windows 7 или Windows Server 2008 R2 при использовании фильтров. Воспроизвести такую ошибку можно было очень просто. Для этого достаточно было создать объект групповой политики с параметрами предпочитаемых групповых политик и настроить фильтр, который проверяет, принадлежит ли определенный компьютер к конкретной группе безопасности. В итоге, параметры, указанные в данном объекте групповой политики будут применены к компьютеру под управлением операционной системы Windows 7 или Windows Server 2008 R2, которые не принадлежат к указанной вами группе.
Обновление 977353
Текущее обновление решает проблему с предпочитаемыми групповыми политиками с настроенными назначенными заданиями под операционной системой Windows 7 и Windows Server 2008 R2. Для воспроизведения такой ошибки достаточно было просто создать в объекте групповой политики параметр предпочитаемой групповой политики для назначенного задания Windows Vista или более поздней версии и попробовать применить такой объект групповой политики для компьютеров под управлением операционной системы Windows 7 или Windows Server 2008 R2. В итоге на конечном компьютере вы увидите, что задание присутствует в списке, но не выполняется в указанное время.
Обновление 977695
Это обновление позволяет исправить ошибку, которая связана с регистрацией событий SceCli 1202 при обновлении параметров «Назначение прав пользователей». Такие события регистрировались из-за того, что при изменении параметра «Назначение прав пользователей» для имен служб преобразовывались идентификаторы безопасности SID и оснастка «Редактор управления групповыми политиками» не добавляла префикс "Служба NT" или "IIS AppPool" в имена службы. После этого при обработке такого объекта групповой политики не удавалось разрешить имя службы.
Обновление 977944
При помощи текущего обновления можно исправить ошибку, связанную с тем, что параметр групповой политики «Фоновый рисунок рабочего стола» не применялся на компьютерах под операционной системой Windows 7 или Windows Server 2008 R2, причем, при выполнении пользователем входа в систему и, соответственно, применении групповой политики, на рабочем столе пользователь мог увидеть вместо своего фонового изображения экран черного цвета или же фоновый рисунок просто не изменялся.
Обновление 978489
До выхода данного обновления, после применения объекта групповой политики со сценариями выхода из системы на компьютеры под управлением операционных систем Windows 7 и Windows Server 2008 R2, у пользователей переставала работать функция выхода из системы. Такая ошибка возникала только в том случае, если на пользовательском компьютере была запущена служба ввода планшетного ПК. Во время попытки выхода из системы, графический интерфейс приложения начинал выполняться без интерфейса пользователя и, соответственно, клиентский компьютер переставал отвечать на запросы.
Обновление 978837
При изменении политик NRTP оснастка «Редактор управления групповыми политиками» закрывалась с ошибкой. Эта ошибка была связана с тем, что параметр политики NRTP сохраняется в системном реестре в виде типа данных MULTI_SZ, а этот тип данных требует наличие двух символов NULL в качестве завершающих символов. Оснастка «Редактор управления групповыми политиками» при сохранении параметра политики не добавляла эти символы и, соответственно, оснастка падала с ошибкой при попытке сохранения этого параметра. Данное обновление позволяет исправить эту ошибку.
Обновление 978838
Текущее обновление исправляет ошибку, которая возникала при использовании командлетов Windows PowerShell «Get-GPPermissions или «Set-GPPermissions» с указанием принципала безопасности. Данная ошибка возникала в связи с тем, что суффикс «_ploc» неправильно добавлялся к имени принципалов безопасности.
Обновление 979039
Это обновление позволяет исправить ошибку, которая возникала при попытке просмотра или изменения объектов групповых политик, мигрированных на компьютер с операционной системой Windows Server 2008 R2 с компьютера под управлением Windows Server 2003. Эта проблема возникала в связи с тем, что оснастка «Редактор управления групповыми политиками» неправильно проверяла ADMX-файл в том случае, если несколько атрибутов имели пустое значение.
Обновление 979383
При помощи данного обновления решается неисправность, связанная с тем, что объекты, к которым была применена WMI-фильтрация, не применялись к компьютерам под операционной системой Windows 7 или Windows Server 2008 R2.
Обновление 979731
Данное обновление исправляет ошибку, связанную с применением предпочитаемых групповых политик на компьютерах, работающих под операционными системами Windows Vista, Windows 7, а также Windows Server 2008/2008 R2. При возникновении данной ошибки, не применяются только некоторые параметры групповой политики, причем, в журнале приложений регистрируется событие с кодом 8194. Эта ошибка воспроизводилась в том случае, когда расширения групповой политики для загрузки файла журнала, которые хранятся в папке «Users\All Users\Microsoft\Group Policy\History\\Preferences» были повреждены или недоступны.
Обновление 980259
Текущее обновление позволяет исправить ошибку, из-за которой после обновления групповых политик служба SNMP прекращала отвечать на запросы SNMP. Данная ошибка возникала после обновления параметров групповой политики из-за того, что служба SNMP не могла получить доступ к некоторым разделам системного реестра во время задержки между удалением и созданием определенных разделов реестра. После этого служба SNMP не регистрировала уведомление об изменении значения в реестре, и из-за этого ей не удавалось прочитать эти разделы реестра.
Обновление 980628
Без данного обновления на компьютерах с операционными системами Windows 7 и Windows Server 2008 R2 не корректно применялся параметр политики «Загрузить определенные темы». После создания объекта групповой политики с применением данного параметра, изменения не распространялись для новых пользователей, которые выполняли вход в домен на компьютерах под управлением операционными системами Windows 7 и Windows Server 2008 R2.
Обновление 981054
Это обновление позволяет исправить ошибку, связанную с нацеливанием на уровень элемента предпочитаемых групповых политик для операционных систем Windows 7 и Windows Server 2008 R2, работающих в сеансе терминала. Возникала ошибка в следующей ситуации: создавался объект групповой политики с параметрами предпочитаемых политик для компьютеров, на которые выполняется вход через службу терминалов. После выполнения входа в систему на данный терминальный компьютер, элементы нацеливания на уровне элементов не правильно применялись.
Обновление 981177
При помощи текущего обновления решается проблема, связанная с тем, что пользователи под операционными системами Windows 7 и Windows Server 2008 R2 могли отключать программы с панели задач при включенном параметре групповой политики «Не разрешать закрепление программ на панели задач». Несмотря на то, что при включении данного параметра у пользователей не должно быть возможности отключить приложения, зафиксированные на панели задач, для пользователей, работающих под операционными системами Windows 7 и Windows Server 2008 R2 данный параметр не распространялся.
Обновление 981265
Данное обновление позволяет решить проблему, которая возникала на контроллерах домена только для чтения, работающих под операционными системами Windows Server 2008 R2 при попытке обновления данных параметров групповой политики установки программного обеспечения. Расширение клиентской стороны не проверяло, является ли контроллер домена, контроллером домена только для чтения и пыталось выполнять обновление в доменных службах Active Directory.
Обновление 981750
Текущее обновление предназначено для исправления ошибки, связанной с использованием неверной функции извлечения значения записи реестра типа MULTI_SZ параметра групповой политики ограниченного использования программ в операционной системе Windows 7 и Windows Server 2008 R2. Вопросизводилась данная проблема при открытии в оснастке «Управление групповой политикой» вкладки «Параметры» с последующим просмотром элемента Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ.
Обновление 982606
Это обновление позволяет исправить ошибку, которая возникает из-за того, что драйвер параметров групповой политики использовал неправильный синтаксис при настройке задания параметров групповой политики, что приводило к перезаписи значения «State» элемента системного реестра. Воспроизводилась текущая ошибка после изменения значения параметра реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust с последующим использованием параметра групповой политики «Проверка подписи для загруженных программ». В этом случае все приложения и службы, основанные на значении элемента «State» прекращали свою работу.
Обновление 982709
Без данного обновления, после настройки параметра групповой политики «Добавить ссылку «Поиск в Интернете» в меню «Пуск»», в операционных системах Windows 7 и Windows Server 2008 R2 выполнялось только первое условие поиска.
Обновление 983618
При помощи текущего обновления исправляется ошибка, из-за которой в отчете результирующей групповой политики не отображались некоторые параметры групповой политики в операционных системах Windows Vista, Windows 7, а также Windows Server 2008/2008 R2. Возникала данная проблема из-за установленного обновления 979293 на компьютерах под управлением Windows Vista и Windows Server 2008 или обновления 979039 на компьютерах под управлением Windows 7 или Windows Server 2008 R2. Также данная проблема могла воспроизводиться из-за того, что несколько атрибутов файла ADMX могли иметь пустое значение.
Обновление 2028960
Данное обновление исправляет ошибку, связанную с тем, что при использовании параметра групповой политики «Ограничить размер дискового пространства, используемого автономными файлами» его значение не применялось на компьютеры под управлением операционной системы Windows 7. После того как вы при помощи соответствующего параметра групповой политики укажите общий размер автономных файлов, а также размер автоматически кэшируемых файлов, пользователь может изменить данные параметры при помощи графического интерфейса.
Обновление 2096902
Текущее обновление решает проблему в том случае, когда виртуальные машины в середе VDI не откатываются, если при помощи групповой политики отключить параметр «Задать ограничение по времени для отключенных сеансов», который можно найти в узле Конфигурация компьютера\Административные шаблоны\Конфигурация Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Ограничение сеансов по времени. Данная проблема возникала потому, что виртуальная машина не правильно обрабатывала событие выхода при выходе пользователя из системы при отключении.
Обновление 2254754
Это обновление позволяет исправить ошибку, которая возникала при формировании отчета групповой политики в оснастке «Управление групповой политикой» в локализованных версиях Windows 7 и Windows Server 2008 R2. Проблема возникала потому, что оснастка GPMC использовала имя настройки языкового стандарта с указанием размера исходного буфера в 128 байт. Поэтому, если размер имен настройки языкового стандарта был больше 128 байт, возникала ошибка.
Обновление 2258620
При помощи этого обновления исправляется ошибка, связанная с отсутствием кнопок «Найти сейчас», «Остановить» и «Очистить все» в оснастке «Управление групповой политикой» на компьютерах под управлением операционной системой Windows 7 и Windows Server 2008 R2. Эта проблема появлялась после изменения параметра групповой политики «Нацеливание на уровень элемента» при выборе подразделения как элемент нацеливания.
Обновление 2284538
Данное обновление позволяет исправить ошибку, когда в объекте групповой политики с предпочитаемой групповой политикой с установленной опцией «Применить один раз и не применять повторно» параметр политики не применялся на компьютерах под управлением операционной системой Windows 7 и Windows Server 2008 R2. Данная проблема возникала в связи с тем, что идентификатор GUID RunOnce на клиентском компьютере создавался независимо от того, применялись ли параметры предпочитаемой групповой политики или нет.
Заключение
В этой статье я рассказал об обновлениях, связанных с функционалом групповых политик, которые включены в пакет обновлений 1 для операционных систем Windows 7 и Windows Sever 2008 R2, а также о самих ошибках, которые были обнаружены в групповых политиках. Как вы, скорее всего, заметили, большинство ошибок было связано с предпочитаемыми групповыми политиками. Если вы хотите ознакомиться с полным списком обновлений, вошедших в пакет обновлений 1 для операционных систем Windows 7 и Windows Server 2008 R2, вы можете загрузить соответствующие документы, перейдя по следующей ссылке.