Jump to content

AppLocker greift ohne vorhandene Policies

ogle

Von ogle
in Windows Server Forum

Direkt zur Lösung Gelöst von daabm,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ogle Enthusiast

ogle   0

Geschrieben
Geschrieben (bearbeitet)

Hallo,

hat jemand eine Erklärung dafür, warum nicht mehr vorhandene Policies - da inkl. Gruppenrichtlinien gelöscht - für AppLocker auf einem Windows Server 2012 R2 greifen?

Um das auch zu 100 % ausschließen zu können sind nun alle vorhandenen GPOs deaktiviert. Sobald man jedoch den Service "Anwendungsidentität" startet, dann greifen sofort die Policies die es mal gab. Allein dadurch dass alle vorhandenen GPOs deaktiviert sind dürfte nach meinem Verständnis in der Richtung nichts greifen.

Um die Policies wieder außer Kraft zu setzen hat bis jetzt nur ein deaktivieren des Dienstes und ein anschließender Reboot geholfen.

Gruß

bearbeitet von ogle
Link zu diesem Kommentar
ogle Enthusiast

ogle   0

Geschrieben
  • Autor
Geschrieben

Was spuckt denn "gpresult /r" aus?

Dass keine Gruppenrichtlinienobjekte angewendet wurden. Weder für Computer noch für Benutzer und trotzdem greifen nach start des Service "Anwendungsidentität" die ursprünglichen Policies. Sind die Policies vielleicht noch irgendwo in der Registry hinterlegt und wurden beim Löschen der GPOs nicht mitgelöscht?

Link zu diesem Kommentar
ogle Enthusiast

ogle   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Der AppLocker läuft über den Dienst "Anwendungsidentität" (AppIDSvc). Beende den Dienst  und setze diesen auf "Deaktiviert". Tritt der Fehler dann noch auf?

Nein, dann greifen keine Policies mehr. Nur wenn der Dienst "Anwendungsidentität" gestartet ist. Ich möchte aber den AppLocker einsetzen, nur eben nicht mit diesen nicht mehr vorhandenen Policies die trotzdem greifen sobald der Dienst "Anwendungsidentität" gestartet ist.

 

PS: Nach beenden des Dienstes muss auch der Server neu gestartet werden ansonsten ist das wirkungslos.

bearbeitet von ogle
Link zu diesem Kommentar
ogle Enthusiast

ogle   0

Geschrieben
  • Autor
Geschrieben

Sind noch Richtlinien unter "C:\Windows\System32\GroupPolicy" vorhanden? Wenn ja, entferne diese und starte den Server neu. Greifen nun noch Richtlinien?

Nein, hier gibt es bei mir keine Richtlinien. Die Richtlinien sind bei mir unter "\\server\SYSVOL\domain.local\Policies" da DC. Hier gibt es aber aktuell nur die "Default Domain Policy" und die "Default Domain Controllers Policy" welche aber momentan deaktiviert und nicht verknüpft sind. Daher ist meine Vermutung dass sich der Server die Policies aus der Registry zieht...?

Link zu diesem Kommentar
ogle Enthusiast

ogle   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Deaktiviert weil die Vererbung unterbrochen wurde, oder die Verknüpfung der Beiden komplett entfernt? Letzteres solltest du nicht tun!

 

Probiere es bitte mal mit einer leeren AppLocker Richtlinie. Der AppLocker speichert seine Konfiguration unter "C:\Windows\System32\AppLocker". Es könnte sich lohnen diese testweise zu verschieben. 

Habe die Option "Verknüpfung aktiviert" an der entsprechenden Stelle für die beiden GPOs abgehakt - testweise - warum sollte man das nicht tun? Was hat das fü Auswirkungen bis auf dass die Richtlinien nicht mehr aktiv sind?

 

Die config files unter "C:\Windows\System32\AppLocker" zu löschen war die Lösung.

 

Vielen Dank MurdocX! :)

bearbeitet von ogle
Link zu diesem Kommentar
MurdocX Veteran

MurdocX   949

Geschrieben
Geschrieben

Freut mich das es geklappt hat. Wenn du es noch als Lösung markierst, dann können sich andere das noch durchlesen  ;)

 

 

Habe die Option "Verknüpfung aktiviert" an der entsprechenden Stelle für die beiden GPOs abgehakt - testweise - warum sollte man das nicht tun? Was hat das fü Auswirkungen bis auf dass die Richtlinien nicht mehr aktiv sind?

 

Weil damit die Richtlinien für die ganze Umgebung deaktiviert werden incl. des DomainControllers. Zum Testen solltest du nur an einer TestOu die Vererbung unterbrechen. Schau mal was in denen drin steht  ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...