hercules

Das kannst du weiter vorne nachlesen, dass dies auch nicht geholfen hatten.

Moin, diesmal habe ich aber wirklich die Lösung für das Problem^^ Die Probleme werden durch das VPN verursacht. So wie ich die Gruppen und Regeln angelegt habe ist alles richtig, sonst würde es ja auch irgendwie gar nicht funktionieren. Dadurch das die Leute fast alle im HomeOffice sind, sind sie gezwungen im VPN zu arbeiten. Dadurch das erst nach der Anmeldung der VPN Tunnel aufgebaut wird, besteht bei der direkten Anmeldung keine Verbindung zum DC und die Computer bekommen kein neues Sicherheitstoken. Somit blockt Applocker alles was mit einer AD Gruppe freigegeben wurde. Das Problem und die Lösung dazu kann man hier nachlesen oder kurz Zusammengefasst: 1. CMD starten 2. Taskmanager öffnen 3. explorer.exe beenden 4. explorer.exe über cmd neu aufrufen: RunAs /user:MYDOMAIN\username explorer.exe (Username des betroffenen Benutzers) Ohne den Zwang eines VPN würde dies durch einen normalen Neustart geregelt sein.

Nur damit es nicht falsch verstanden wird, die Regeln werden ja umgesetzt aber nur wenn sie für jeden erlaubt sind. Nur wenn Regeln per AD Gruppe auf bestimmte User erlaubt werden, dann ist die Regel in der RuleCollection aber wird nicht umgesetzt bzw. erst stark verzögert. Ich werde da nochmal mit dem Zuständigen AD-Admin sprechen und mich dann nochmal melden

Wir haben hier 10 DC´s und eine Site. Die DC´s stehen teilweise auch im Ausland. Sorry wegen der späten Rückmeldung aber ich war ein paar Tage nicht im Dienst

Das hatte ich ja mit der RuleCollection via Powershell schon geprüft, dass die Einstellungen schon am Computer angekommen sind. Die Synchronistation ist, wie mir mitgeteilt wurde, alle 30min.

Moin, das hilft aber auch nicht. Ich habe eben wieder eine Anwendung im scharfen Einsatz freigegeben und dort hilft weder purge mit gpupdate noch ein Neustart. Das wird auch erst morgen laufen...

Moin, ich habe es nochmal getestet....es war wohl nur Zufall. Aber dennoch als ich es beim ersten mal getestet hatte mit 2 unterschiedlichen Anwendungen, ging es mit gpupdate nicht aber mit gpupdate /force. Das war dann wohl nur ein Zufall, weil als ich es auf deine Nachfrage hin nochmal mit einer dritten Anwendung versuchte ging es wieder nicht. Ich habe aber alles übers Wochenende so stehen gelassen und heute morgen lief diese dritte Anwendung dann auch. Dann mag es wohl nicht an dem unterschiedlichen update Befehl liegen, sondern an unserer Infrastruktur, dass die Applockerregeln erst stark verzögert umgesetzt werden.

Um den Neustart zu umgehen, habe ich ja den klist purge befehl und dann das anschließende gpupdate durchgeführt :) Das Konstrukt ist ja noch ein Test. Deshalb mein Computerkonto dort. Den Installer aus dem Grund, da es ein Executable File (.exe) ist und das ist perse durch Applocker gesperrt und durch die Aufnahme einer Regel in Applocker soll diese dann erlaubt werden. Das ist für mich das einfachste und schnellste um es zu testen. Edit: Dein Anstoß mit dem eigentlich benötigten Neustart, hat mich nochmal probieren lassen und mir ist aufgefallen, dass ich bei dem gpupdate das /force vergessen hatte und anscheinend wird es aber benötigt. Somit ist dies des Rätzels Lösung.

Das wurde mir so mitgeteilt, dass die Gruppen so erstellt werden sollen :) aber das hatte ich zwischendurch auch schon ohne Erfolg probiert. Das wäre sogar möglich, da ich noch neu in dem Unternehmen bin und daher evtl. das ein oder andere noch nicht weiß. Deny Regeln sind bisher nur ein paar Exceptions in den Default Regeln aber bisher auch nur auf den %WinDir% Ordner bezogen. Dabei habe ich mich an das hier gehalten bzw. orientiert. Die AppLocker-RuleCollections zeigt mir ja alle Regeln/Anwendungen an die enthalten sind. Und dort steht auch der Unterschied ob für jeden erlaubt oder nur für eine Gruppe. Ich schrieb ja zuvor, dass ich es nochmal mit der Install von AdobeConnect versuche. Gestern hatte ich eigentlich frei aber ich hatte jetzt alles so wie immer für diese Anwendung eingerichtet. Via Applocker Executable Rules und dann über den Publisher->Product name. Die AD Gruppe als Domainlokale Sicherheitsgruppe und mein Benutzerkonto dort hinzugefügt. In einer Computergruppe meinen Computerkonto hinzugefügt und in der GPO bei Security Filtering hinzugefügt. So wie bei allen anderen zuvor auch. Heute morgen hat es jetzt funktioniert, dass ich den Installer ausführen durfte. ich hatte zwischendurch nichts mehr geändert aber nachdem ich das so gestern eingerichtet hatte, ging es nicht. Ich hatte, um es zu beschleunigen, klist -li 0x3e7 purge eingegeben und dann gpupdate. Davor hatte ich in die AppLocker-RuleCollections geguckt und es stand nicht drinnen. Nach den Befehlen stand es drin aber die Ausführung der Install wurde verhindert. Ich werde das jetzt nochmal mit einer anderen Datei testen, ob es nach einer gewissen Zeit korrekt angewendet wird aber das kann es ja wohl nicht...ich kann die Leute ja nicht so lange vertrösten und die können einen Tag nicht arbeiten!? Edit: Kann das Allways-On VPN etwas damit zu tun haben?

Das sind Domainlokale Sicherheitsgruppen. Es gibt auch nur eine Domäne

Moin, ich habe endlich Zeit gefunden es nochmal zu testen...naja es klappt nicht. Mit gpresult auf die Computereinstellungen wird alles richtig angezeigt und mit Powershell ebenfalls. Überall steht, dass es erlaubt ist und ich in den der entsprechenden Gruppe eingetragen wurde, um die Anwendung xy zu starten. Als Beispiel habe ich mir die ConnectShellSetup11.exe für Adobe Connect heruntergeladen und diese in Applocker als Publisher-Freigabe erlaubt. Nebenbei habe ich noch mal Rücksprache gehalten und alle Anwendungen die wir in Applocker freigaben/erlauben werden auch für jeden erlaubt. Der Aufwand für jede einzelne Person zu untersuchen in welche Gruppen dieser müsste, um die entsprechenden Anwendungen freizugeben ist bei 1200 Mitarbeitern zu hoch. Es wird dann nur geguckt, dass Java nur diejenigen erlaubt bekommen, die es wirklich brauchen und bei ein zwei weiteren Anwendungen.

Ja, dass ist soweit bekannt aber einige Anwendungen laufen ja nicht von Haus aus in diesen Ordnern und die sind ja auch schon alle installiert. Es ist nicht vorgesehen die aktuellen Installationen anzupassen. Über die fertigen Image kann ich persönlich leider nicht viel sagen. Ich weiß nur, dass über den SCCM dann noch fehlende Anwendungen nachinstalliert werden oder der Support sich diesem annimmt.

Also, wir sind dabei eine Whitelist zu erstellen und alles andere was nicht enthalten ist in der Ausführung zu verhindern. Aktuell sind nur ausgewählte Computerkonten mit der GPO verknüpft und am Ende fliegen die alle raus und werden durch die Authenticated User ersetzt, damit die GPO auf alle wirkt. Über die AD Gruppen sollen dann für bestimmte Personen bestimme Anwendungen zugelassen werden. Design, HR, FiBu, ... haben ja alle ihre speziellen Anwendungen. Edit: Wobei ich noch nicht sicher bin, ob das mit den AD Gruppen so bleiben soll. Ich finde den Aufwand sehr hoch, wenn neue Mitarbeiter kommen oder versetzt werden...dann muss ja in jeder AD Gruppe der User eingetragen werden

Moin, ich beschäftige mich seit ein paar Wochen mit Applocker unter Windows 10 bzw. Windows Server 2019/2012 R2. Bisher hatte soweit alles wie vorhergesehen geklappt aber jetzt habe ich schon die zweite Anwendung die sich nicht freigeben lässt, wenn der berechtigte User nicht auf "Everyone" steht. Aktuell befinde ich mich noch in der Testphase und nur eine Handvoll User unterliegt den Restriktionen von Applocker. Im AD habe ich für jede Abteilung eine Gruppe angelegt und dort das Computer Konto hinzugefügt. Für jede Anwendung, abgesehen von den Basisprogrammen die jeder braucht, gibt es pro Anwendung eine AD Gruppe in denen die User Konten hinzugefügt werden. Diese Gruppe füge ich bei der Applockerregel als erlauben hinzu. Was anfangs funktionierte, klappt aktuell nicht mehr. (Die Computerkonten werden nach dem Ende der Testphase durch "Authenticated Users" ersetzt) Beim Versuch die Anwendung zu starten, kommt der Hinweis, dass diese Anwendung vom Systemadmin gesperrt wurde. Ersetze ich nun in der Applockerregel die Gruppe der berechtigten User durch "Everyone" funktioniert der Zugriff sofort und die Anwendung lässt sich starten. Dabei ist es egal, ob eine Freigabe auf einen ganzen Ordner oder eine explizite *.exe erlaubt wird. Durch die aktuelle Lage, arbeiten fast alle im HomeOffice via VPN. Vielleicht habt ihr ja eine Idee, wo ich einen Knoten im Hirn habe. MfG Micha

edit: hat sich doch irgendie eine falsche zahl eingeschlichen! geht nun :) edit2: konnte den beitrag von gestern nicht editieren!