hercules

Das kannst du weiter vorne nachlesen, dass dies auch nicht geholfen hatten.

Moin,

diesmal habe ich aber wirklich die Lösung für das Problem^^ Die Probleme werden durch das VPN verursacht. So wie ich die Gruppen und Regeln angelegt habe ist alles richtig, sonst würde es ja auch irgendwie gar nicht funktionieren.

Dadurch das die Leute fast alle im HomeOffice sind, sind sie gezwungen im VPN zu arbeiten. Dadurch das erst nach der Anmeldung der VPN Tunnel aufgebaut wird, besteht bei der direkten Anmeldung keine Verbindung zum DC und die Computer bekommen kein neues Sicherheitstoken. Somit blockt Applocker alles was mit einer AD Gruppe freigegeben wurde.

Das Problem und die Lösung dazu kann man hier nachlesen oder kurz Zusammengefasst:

1. CMD starten

2. Taskmanager öffnen

3. explorer.exe beenden

4. explorer.exe über cmd neu aufrufen: RunAs /user:MYDOMAIN\username explorer.exe (Username des betroffenen Benutzers)

Ohne den Zwang eines VPN würde dies durch einen normalen Neustart geregelt sein.

Nur damit es nicht falsch verstanden wird, die Regeln werden ja umgesetzt aber nur wenn sie für jeden erlaubt sind. Nur wenn Regeln per AD Gruppe auf bestimmte User erlaubt werden, dann ist die Regel in der RuleCollection aber wird nicht umgesetzt bzw. erst stark verzögert.

Ich werde da nochmal mit dem Zuständigen AD-Admin sprechen und mich dann nochmal melden

Wir haben hier 10 DC´s und eine Site. Die DC´s stehen teilweise auch im Ausland. Sorry wegen der späten Rückmeldung aber ich war ein paar Tage nicht im Dienst

Das hatte ich ja mit der RuleCollection via Powershell schon geprüft, dass die Einstellungen schon am Computer angekommen sind. Die Synchronistation ist, wie mir mitgeteilt wurde, alle 30min.

Moin, 

das hilft aber auch nicht. Ich habe eben wieder eine Anwendung im scharfen Einsatz freigegeben und dort hilft weder purge mit gpupdate noch ein Neustart. Das wird auch erst morgen laufen...

Moin,

ich habe es nochmal getestet....es war wohl nur Zufall. Aber dennoch als ich es beim ersten mal getestet hatte mit 2 unterschiedlichen Anwendungen, ging es mit gpupdate nicht aber mit gpupdate /force. Das war dann wohl nur ein Zufall, weil als ich es auf deine Nachfrage hin nochmal mit einer dritten Anwendung versuchte ging es wieder nicht. Ich habe aber alles übers Wochenende so stehen gelassen und heute morgen lief diese dritte Anwendung dann auch.

Dann mag es wohl nicht an dem unterschiedlichen update Befehl liegen, sondern an unserer Infrastruktur, dass die Applockerregeln erst stark verzögert umgesetzt werden. 

Um den Neustart zu umgehen, habe ich ja den klist purge befehl und dann das anschließende gpupdate durchgeführt :)

Das Konstrukt ist ja noch ein Test. Deshalb mein Computerkonto dort.

Den Installer aus dem Grund, da es ein Executable File (.exe) ist und das ist perse durch Applocker gesperrt und durch die Aufnahme einer Regel in Applocker soll diese dann erlaubt werden. Das ist für mich das einfachste und schnellste um es zu testen.

Edit: Dein Anstoß mit dem eigentlich benötigten Neustart, hat mich nochmal probieren lassen und mir ist aufgefallen, dass ich bei dem gpupdate das /force vergessen hatte und anscheinend wird es aber benötigt. Somit ist dies des Rätzels Lösung.

vor 13 Stunden schrieb NorbertFe:

Warum keine global group? Wär zumindest mal einen Versuch wert.

Das wurde mir so mitgeteilt, dass die Gruppen so erstellt werden sollen :) aber das hatte ich zwischendurch auch schon ohne Erfolg probiert.

vor 13 Stunden schrieb daabm:

Irgendwas verschweigst Du - oder weißt es selbst nicht... Ich mache schon seit vielen Jahren mit AppLocker "rum", aber das kenne ich nicht. Hast Du irgendeine übersehene Deny-Regel? Hast Du die AppLocker-RuleCollections genauer geprüft?

Das wäre sogar möglich, da ich noch neu in dem Unternehmen bin und daher evtl. das ein oder andere noch nicht weiß. Deny Regeln sind bisher nur ein paar Exceptions in den Default Regeln aber bisher auch nur auf den %WinDir% Ordner bezogen. Dabei habe ich mich an das hier gehalten bzw. orientiert.

Die AppLocker-RuleCollections zeigt mir ja alle Regeln/Anwendungen an die enthalten sind. Und dort steht auch der Unterschied ob für jeden erlaubt oder nur für eine Gruppe.

vor 14 Stunden schrieb Sunny61:

Beschreib doch anhand einer Anwendung genau was Du wann machst, einstellst und verweigerst. Evtl. kann ich das nachstellen.

Ich schrieb ja zuvor, dass ich es nochmal mit der Install von AdobeConnect versuche. Gestern hatte ich eigentlich frei aber ich hatte jetzt alles so wie immer für diese Anwendung eingerichtet. Via Applocker Executable Rules und dann über den Publisher->Product name. Die AD Gruppe als Domainlokale Sicherheitsgruppe und mein Benutzerkonto dort hinzugefügt. In einer Computergruppe meinen Computerkonto hinzugefügt und in der GPO bei Security Filtering hinzugefügt. So wie bei allen anderen zuvor auch. Heute morgen hat es jetzt funktioniert, dass ich den Installer ausführen durfte.

ich hatte zwischendurch nichts mehr geändert aber nachdem ich das so gestern eingerichtet hatte, ging es nicht. Ich hatte, um es zu beschleunigen, klist -li 0x3e7 purge eingegeben und dann gpupdate. Davor hatte ich in die AppLocker-RuleCollections geguckt und es stand nicht drinnen. Nach den Befehlen stand es drin aber die Ausführung der Install wurde verhindert. Ich werde das jetzt nochmal mit einer anderen Datei testen, ob es nach einer gewissen Zeit korrekt angewendet wird aber das kann es ja wohl nicht...ich kann die Leute ja nicht so lange vertrösten und die können einen Tag nicht arbeiten!?

Edit: Kann das Allways-On VPN etwas damit zu tun haben?

Das sind Domainlokale Sicherheitsgruppen. 

Es gibt auch nur eine Domäne 

Moin, 

ich habe endlich Zeit gefunden es nochmal zu testen...naja es klappt nicht. Mit gpresult auf die Computereinstellungen wird alles richtig angezeigt und mit Powershell ebenfalls. Überall steht, dass es erlaubt ist und ich in den der entsprechenden Gruppe eingetragen wurde, um die Anwendung xy zu starten.

Als Beispiel habe ich mir die ConnectShellSetup11.exe für Adobe Connect heruntergeladen und diese in Applocker als Publisher-Freigabe erlaubt.

Nebenbei habe ich noch mal Rücksprache gehalten und alle Anwendungen die wir in Applocker freigaben/erlauben werden auch für jeden erlaubt. Der Aufwand für jede einzelne Person zu untersuchen in welche Gruppen dieser müsste, um die entsprechenden Anwendungen freizugeben ist bei 1200 Mitarbeitern zu hoch. Es wird dann nur geguckt, dass Java nur diejenigen erlaubt bekommen, die es wirklich brauchen und bei ein zwei weiteren Anwendungen.

vor 5 Minuten schrieb Sunny61:

Alles was in %windir%, %programfiles% und %ProgramFiles(x86)% enthalten ist, ist automatisch erlaubt. Denn nur dorthin kann ein Admin etwas installieren. So sind automatisch alle Anwendungen oder ausführbaren Dateien außerhalb nicht erlaubt. Damit kann man schon sehr viel erschlagen.

Ja, dass ist soweit bekannt aber einige Anwendungen laufen ja nicht von Haus aus in diesen Ordnern und die sind ja auch schon alle installiert. Es ist nicht vorgesehen die aktuellen Installationen anzupassen. Über die fertigen Image kann ich persönlich leider nicht viel sagen. Ich weiß nur, dass über den SCCM dann noch fehlende Anwendungen nachinstalliert werden oder der Support sich diesem annimmt.  

Also, wir sind dabei eine Whitelist zu erstellen und alles andere was nicht enthalten ist in der Ausführung zu verhindern.

Aktuell sind nur ausgewählte Computerkonten mit der GPO verknüpft und am Ende fliegen die alle raus und werden durch die Authenticated User ersetzt, damit die GPO auf alle wirkt.

Über die AD Gruppen sollen dann für bestimmte Personen bestimme Anwendungen zugelassen werden. Design, HR, FiBu, ... haben ja alle ihre speziellen Anwendungen.

Edit: Wobei ich noch nicht sicher bin, ob das mit den AD Gruppen so bleiben soll. Ich finde den Aufwand sehr hoch, wenn neue Mitarbeiter kommen oder versetzt werden...dann muss ja in jeder AD Gruppe der User eingetragen werden

Moin,

ich beschäftige mich seit ein paar Wochen mit Applocker unter Windows 10 bzw. Windows Server 2019/2012 R2. Bisher hatte soweit alles wie vorhergesehen geklappt aber jetzt habe ich schon die zweite Anwendung die sich nicht freigeben lässt, wenn der berechtigte User nicht auf "Everyone" steht.

Aktuell befinde ich mich noch in der Testphase und nur eine Handvoll User unterliegt den Restriktionen von Applocker. 

Im AD habe ich für jede Abteilung eine Gruppe angelegt und dort das Computer Konto hinzugefügt. Für jede Anwendung, abgesehen von den Basisprogrammen die jeder braucht, gibt es pro Anwendung eine AD Gruppe in denen die User Konten hinzugefügt werden. Diese Gruppe füge ich bei der Applockerregel als erlauben hinzu. Was anfangs funktionierte, klappt aktuell nicht mehr. 

(Die Computerkonten werden nach dem Ende der Testphase durch "Authenticated Users" ersetzt)

Beim Versuch die Anwendung zu starten, kommt der Hinweis, dass diese Anwendung vom Systemadmin gesperrt wurde. Ersetze ich nun in der Applockerregel die Gruppe der berechtigten User durch "Everyone" funktioniert der Zugriff sofort und die Anwendung lässt sich starten.

Dabei ist es egal, ob eine Freigabe auf einen ganzen Ordner oder eine explizite *.exe erlaubt wird. Durch die aktuelle Lage, arbeiten fast alle im HomeOffice via VPN.

Vielleicht habt ihr ja eine Idee, wo ich einen Knoten im Hirn habe.

MfG

Micha

edit: hat sich doch irgendie eine falsche zahl eingeschlichen! geht nun :)

edit2: konnte den beitrag von gestern nicht editieren!

Sry, das ich erst so spät wieder antworte aber war paar tage nix los gewesen!

cheffe hat mir jetzt auch gesagt er will bzw. brauch kein Jana und das mit dem Passwort ist ihm schnuppe.

so hab heute alles angeschlossen, client kommen auf den server aber wieder kein i-net. weder client noch Server.

hatte an der konfig nix mehr geändert seit dem es das letzte mal einwandfrei funkionierte!! hab immer noch Pras Ras laufen und kann zwar den telekom router Eumex 800V anpingen aber komme nicht ins internet !? Server als auch Client können den Eumex anpingen und ihn konfigurieren aber seitenaufbau ist nicht drinne!

guten morgen,

ich hoffe ich werd nich gleich verhauen, wenn ich den thread missbrauche :D

wie war das nochmal, wenn man den einzelnen oder gruppen benutzerrichtlinien vorschreiben will. Hab das nach fast 3 Jahren vergessen, wie man das zuordnet und einstellt. wollt mind. das die komplexibilität der passwörter für alle user deaktiviert ist!

thx

OK, dann den PRAS gegen Proxy Software austauschen.

Wollt nochmal vielen Dank für deine Hilfe sagen!

aber nachdem du das mit den verschiedenen IPs aus den netzen gesagt hast, viel mir das auch wieder ein.

Ja, bin Neuling im Serverbereich :)

Gäbe es denn noch eine andere Möglichkeit, den Internetverkehr im Auge zu haben, wenn wir PRAS nutzen?

aso, beim DNS ist als Schnittstelle schon die Interne 192.168.0.1 eingetragen.

der I-net Router hat die IP 192.168.2.1 und die steht bei NIC 2 192.168.2.10 als Gateway drinne.

–

so wie es jetzt ist, und der PRAS aktiv ist, brauch ich dem Brwoser auf dem Client nur sagen Proxyeinstellungen selber ermitteln und er ist drinne im netzwerl, allerdings zeichnet jana nicht auf :-|

den ersten Teil hab ich hinbekommen.

"Im DNS-Server nur die interne Karte als Abhörer einstellen. Du musst auf der externen Seite natürlich auch noch die Adressierung des Routers anpassen ..."

das allerdings nicht.

Das letzte mal wo ich so eine Konfiguration aufgebaut habe, ging es irgendwie einfacher :suspect:

so siehts aus:

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : skt-server

Primäres DNS-Suffix . . . . . . . : SKT.local

Knotentyp . . . . . . . . . . . . : Broadcast

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : SKT.local

Ethernet-Adapter LAN-Verbindung 2:

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Intel® 82566DM-2 Gigabit Network Connec

tion

Physikalische Adresse . . . . . . : 00-15-17-27-7C-CD

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.2.10

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.1

DNS-Server . . . . . . . . . . . : 192.168.0.1

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Intel® PRO/1000 MT Network Connection

Physikalische Adresse . . . . . . : 00-15-17-27-7C-CB

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.1

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.10

DNS-Server . . . . . . . . . . . : 127.0.0.1

aber mit dem PRAS konnte der Client den I-net Router anpingen, was ohne PRAS nicht geht.

Also der Client kann jetzt beide NIC´s anpingen und der Server auch den Client.

Hab wie du meintest die IP der 2. NIC geändert!

ja, überwacht wird mit jana 2, das hab ich auch schon drauf. denke manchmal zu schnell und vergess dann evtl. wichtige dinge zu erwähnen :D

ADC, DNS, DHCP is auch alles drauf auf dem Server.

Ins Intetnet gelande ich trotzdem nicht, hab aber den PRAS / NAT noch nicht aktiv. Teste das auch gleich

danke für die schnellen Antworten!

das heisst, dass ich der 2. NIC einfach eine andere IP geben soll aus einem anderen Netz?!

das soll so aufgebaut werden, das man über den einen zentralen Server den Internetverkehr überwachen kann.

thx

Hallo Leute,

ich hab ein kleines Problem beim einrichten eines Win 2k3 Netzwerkes.

Hab hier einen Intel Xeon Quad Core mit Intel 3210SHxx Board stehen.

So mein Problem:

Server hat onboard 2 NIC´s. NIC 1 soll die verbindung zwischen Client - Server regeln und NIC 1 die verbindung von Server - Internet

Client kann sich erfolgreich an dem Server anmelden und der Server kommt erfolgreich ins WWW

Wenn jetzt aber der Client auf das WWW zugreifen soll, bzw mit dem Browser surfen will geht das nicht.

Bei Pinganfragen kommt der Client max. bis zur 1. NIC und das wars. Sprich er wird nicht auf die 2. geroutet.

Der Server kann den Client aber auch nicht anpingen!

NIC 1 IP: 192.168.0.1 Gateway: 192.168.0.2

NIC 2 IP: 192.168.0.2 Gateway: 192.168.0.6

I-net Router IP: 192.168.0.6

so is das auch bei den NIC´s eingetragen.

kann mir einer von euch vll. weiterhelfen was ich noch beachten muss oder sollte!!??

THX

steh damit auch bischen unter Zeitdruck :-|