Jump to content

Applocker verhindert trotz Freigabe die Ausführung


Go to solution Solved by hercules,

Recommended Posts

Posted (edited)

Um den Neustart zu umgehen, habe ich ja den klist purge befehl und dann das anschließende gpupdate durchgeführt :)

 

Das Konstrukt ist ja noch ein Test. Deshalb mein Computerkonto dort.

 

Den Installer aus dem Grund, da es ein Executable File (.exe) ist und das ist perse durch Applocker gesperrt und durch die Aufnahme einer Regel in Applocker soll diese dann erlaubt werden. Das ist für mich das einfachste und schnellste um es zu testen.

 

Edit: Dein Anstoß mit dem eigentlich benötigten Neustart, hat mich nochmal probieren lassen und mir ist aufgefallen, dass ich bei dem gpupdate das /force vergessen hatte und anscheinend wird es aber benötigt. Somit ist dies des Rätzels Lösung.

Edited by hercules
Link to post

Moin,

 

ich habe es nochmal getestet....es war wohl nur Zufall. Aber dennoch als ich es beim ersten mal getestet hatte mit 2 unterschiedlichen Anwendungen, ging es mit gpupdate nicht aber mit gpupdate /force. Das war dann wohl nur ein Zufall, weil als ich es auf deine Nachfrage hin nochmal mit einer dritten Anwendung versuchte ging es wieder nicht. Ich habe aber alles übers Wochenende so stehen gelassen und heute morgen lief diese dritte Anwendung dann auch.

 

Dann mag es wohl nicht an dem unterschiedlichen update Befehl liegen, sondern an unserer Infrastruktur, dass die Applockerregeln erst stark verzögert umgesetzt werden. 

Link to post
vor 1 Stunde schrieb hercules:

Dann mag es wohl nicht an dem unterschiedlichen update Befehl liegen, sondern an unserer Infrastruktur, dass die Applockerregeln erst stark verzögert umgesetzt werden. 

Reboot, reboot und nochmal reboot.

Link to post

Moin, 

 

das hilft aber auch nicht. Ich habe eben wieder eine Anwendung im scharfen Einsatz freigegeben und dort hilft weder purge mit gpupdate noch ein Neustart. Das wird auch erst morgen laufen...

Link to post

Sind die neuen Einstellungen denn schon am Computer angekommen? Evtl. ist die AD-Synchronisation so eingestellt, dass erst in der Nacht synchronisiert wird. Wir wissen nicht wie was wo bei euch konfiguriert ist.

Link to post

Das hatte ich ja mit der RuleCollection via Powershell schon geprüft, dass die Einstellungen schon am Computer angekommen sind. Die Synchronistation ist, wie mir mitgeteilt wurde, alle 30min.

Link to post

Ok. Da ist dann die AD-Replikation (und deren Topologie und möglicherweise noch Sitelink-spezifische Replikationseinstellungen) in der Tat ein Faktor, den Du berücksichtigen mußt.

Edit: Ich seh grad "nur eine Site" - dann wäre das Überprüfen der Replikationseinstellungen ja relativ einfach :-)

Ich hab's noch nie erlebt, daß Applocker eine Anwendung blockiert, wenn die entsprechende Regel lokal auf dem Rechner in der RuleCollection vorhanden ist.

Edited by daabm
Link to post

Nur damit es nicht falsch verstanden wird, die Regeln werden ja umgesetzt aber nur wenn sie für jeden erlaubt sind. Nur wenn Regeln per AD Gruppe auf bestimmte User erlaubt werden, dann ist die Regel in der RuleCollection aber wird nicht umgesetzt bzw. erst stark verzögert.

Ich werde da nochmal mit dem Zuständigen AD-Admin sprechen und mich dann nochmal melden

Link to post

Ok - da gebe ich zu, daß ich am Ende meiner Erfahrung bin. Die einzigen 2 Gruppen, die wir für AppLocker je genutzt haben, sind Everyone und Administrators... Asche auf mein Haupt :scream: Ist das wieder so ein "Gag" von MS, daß nur DL oder nur GlobalGroups funktionieren? (Gefunden hab ich dazu auf die Schnelle nichts...)

Link to post
  • 2 weeks later...
  • Solution
Posted (edited)

Moin,

 

diesmal habe ich aber wirklich die Lösung für das Problem^^ Die Probleme werden durch das VPN verursacht. So wie ich die Gruppen und Regeln angelegt habe ist alles richtig, sonst würde es ja auch irgendwie gar nicht funktionieren.

Dadurch das die Leute fast alle im HomeOffice sind, sind sie gezwungen im VPN zu arbeiten. Dadurch das erst nach der Anmeldung der VPN Tunnel aufgebaut wird, besteht bei der direkten Anmeldung keine Verbindung zum DC und die Computer bekommen kein neues Sicherheitstoken. Somit blockt Applocker alles was mit einer AD Gruppe freigegeben wurde.

 

Das Problem und die Lösung dazu kann man hier nachlesen oder kurz Zusammengefasst:

 

1. CMD starten

2. Taskmanager öffnen

3. explorer.exe beenden

4. explorer.exe über cmd neu aufrufen: RunAs /user:MYDOMAIN\username explorer.exe (Username des betroffenen Benutzers)

 

Ohne den Zwang eines VPN würde dies durch einen normalen Neustart geregelt sein.

 

Edited by hercules
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...