[English]Ist jemand vom GPO-MMC wsecedit.dll-Fehler in Windows Server 2016 betroffen, der durch Sicherheitsupdate KB4577015 vom 8. September 2020 verursacht wird? Es gibt einen temporären Workaround, um den Absturz zu verhindern. Dieser kann verwendet werden, bis ein Fix von Microsoft bereit steht.
Hintergrund zum GPO-MMC wsecedit.dll-Fehler
Das kumulative Update KB4577015 wurde von Microsoft am 8. September 2020 als Sicherheitsupdate für Windows 10 1607 Enterprise LTSC freigegeben. Das Update ist aber auch für Windows Server 2016 verfügbar. Ich hatte das Update kurz im Beitrag Patchday: Windows 10-Updates (8. September 2020) erwähnt.
Das Sicherheitsupdate KB4577015 vom 8. September 2020 verursacht aber unter Windows Server 2016, die als Domain Controller fungieren, Probleme. Der Gruppenrichtlinieneditor (gpedit.msc) wirft bei Änderungen der Sicherheitsoptionen einen wsecedit.dll-Fehler beim Laden eines MMC-Snap-Ins. Der Fehler tritt auf, wenn man versucht, in den Gruppenrichtlinien folgenden Pfad zu durchlaufen:
Computerkonfiguration > Windows-Einstellung > Sicherheitseinstellungen > lokale Richtlinie > Sicherheitsoptionen
Es erscheint eine gpedit.msc-Fehlermeldung, dass ein MMC-Snap-In nicht geladen werden kann, weil ein wsecedit.dll-Fehler aufgetreten sei.
Der Hinweis, den Gruppenrichtlinieneditor neu zu starten oder den Fehler in der Sitzung zu ignorieren, hilft nicht. Die Funktionen zum Anpassen der Sicherheitsoptionen lassen sich nicht mehr verwenden. Ich hatte das im Blog-Beitrag Windows Server 2016: Update KB4577015 verursacht GPO-MMC wsecedit.dll-Fehler auf das Problem hingewiesen. In Microsofts Q&A gibt es den Post GPMC error for “Security Options” after Updates 2020-09 in Windows Server 2016 Domain Controllers, wo mehrere Nutzer den Fehler bestätigen.
Ein Workaround für den Fehler
In diesem Kommentar weist Blog-Leser Mario Flohrer auf einen Workaround hin. In Microsofts Q&A hat ein Benutzer im Post GPMC error for “Security Options” after Updates 2020-09 in Windows Server 2016 Domain Controllers diesen Workaround gepostet.
The crash can be avoided by deleting the following registry key. Please make sure to export the reg key before deleting anything. Deleting the key will cause the “Interactive logon: Display user information when the session is locked” policy to not appear in the console. (The policy is still effective, but you can’t see it in the UI to edit it). You will need to import the key back later, after the fix has been released.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SecEdit\Reg Values\MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/System/DontDisplayLockedUserId
Man soll also den angegebenen Registrierungsschlüssel exportieren (wird gebraucht, wenn ein Fix von Microsoft bereitsteht) und dann den Schlüssel löschen. Dann unterbleibt die Fehlermeldung. Sobald ein Fix von Microsoft bereitsteht, muss der Schlüssel wieder importiert werden.
Ich kann die Funktionalität dieses Workarounds bestätigen. Da sieht man mal wieder, wie kaputt diese sogenannten Betriebssystem von Microsoft doch sind.
Falls jemand den Schlüssel gelöscht, aber vorher kein Backup gemacht hat:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SecEdit\Reg Values\MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/System/DontDisplayLockedUserId]
"DisplayChoices"=hex(7):31,00,7c,00,40,00,77,00,73,00,65,00,63,00,65,00,64,00,\
69,00,74,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,35,00,39,00,30,00,32,00,35,\
00,00,00,32,00,7c,00,40,00,77,00,73,00,65,00,63,00,65,00,64,00,69,00,74,00,\
2e,00,64,00,6c,00,6c,00,2c,00,2d,00,35,00,39,00,30,00,32,00,36,00,00,00,33,\
00,7c,00,40,00,77,00,73,00,65,00,63,00,65,00,64,00,69,00,74,00,2e,00,64,00,\
6c,00,6c,00,2c,00,2d,00,35,00,39,00,30,00,32,00,37,00,00,00,34,00,7c,00,40,\
00,77,00,73,00,65,00,63,00,65,00,64,00,69,00,74,00,2e,00,64,00,6c,00,6c,00,\
2c,00,2d,00,35,00,39,00,31,00,36,00,37,00,00,00,00,00
"DisplayName"="@wsecedit.dll,-59024"
"DisplayType"=dword:00000003
"ValueType"=dword:00000004
Bei einem Windows Server 2016, der keiner Domäne angehört und eine ’standalone‘-Installation ist, führt der Workaround nicht zum Erfolg.
Es ändert sich nichts am Problem, wenn das kumulative Update KB4577015 deinstalliert ist.