Applocker verhindert trotz Freigabe die Ausführung

[hercules 10]

Um den Neustart zu umgehen, habe ich ja den klist purge befehl und dann das anschließende gpupdate durchgeführt :)

 

Das Konstrukt ist ja noch ein Test. Deshalb mein Computerkonto dort.

 

Den Installer aus dem Grund, da es ein Executable File (.exe) ist und das ist perse durch Applocker gesperrt und durch die Aufnahme einer Regel in Applocker soll diese dann erlaubt werden. Das ist für mich das einfachste und schnellste um es zu testen.

 

Edit: Dein Anstoß mit dem eigentlich benötigten Neustart, hat mich nochmal probieren lassen und mir ist aufgefallen, dass ich bei dem gpupdate das /force vergessen hatte und anscheinend wird es aber benötigt. Somit ist dies des Rätzels Lösung.

bearbeitet 6. Mai 2021 von hercules

[daabm 1.354]

Hm - /force ist i.d.R. überflüssig. War das wirklich die Lösung?

[hercules 10]

Moin,

 

ich habe es nochmal getestet....es war wohl nur Zufall. Aber dennoch als ich es beim ersten mal getestet hatte mit 2 unterschiedlichen Anwendungen, ging es mit gpupdate nicht aber mit gpupdate /force. Das war dann wohl nur ein Zufall, weil als ich es auf deine Nachfrage hin nochmal mit einer dritten Anwendung versuchte ging es wieder nicht. Ich habe aber alles übers Wochenende so stehen gelassen und heute morgen lief diese dritte Anwendung dann auch.

 

Dann mag es wohl nicht an dem unterschiedlichen update Befehl liegen, sondern an unserer Infrastruktur, dass die Applockerregeln erst stark verzögert umgesetzt werden. 

[Sunny61 806]

vor 1 Stunde schrieb hercules:

Dann mag es wohl nicht an dem unterschiedlichen update Befehl liegen, sondern an unserer Infrastruktur, dass die Applockerregeln erst stark verzögert umgesetzt werden. 

Reboot, reboot und nochmal reboot.

[hercules 10]

Moin, 

 

das hilft aber auch nicht. Ich habe eben wieder eine Anwendung im scharfen Einsatz freigegeben und dort hilft weder purge mit gpupdate noch ein Neustart. Das wird auch erst morgen laufen...

[Sunny61 806]

Sind die neuen Einstellungen denn schon am Computer angekommen? Evtl. ist die AD-Synchronisation so eingestellt, dass erst in der Nacht synchronisiert wird. Wir wissen nicht wie was wo bei euch konfiguriert ist.

[hercules 10]

Das hatte ich ja mit der RuleCollection via Powershell schon geprüft, dass die Einstellungen schon am Computer angekommen sind. Die Synchronistation ist, wie mir mitgeteilt wurde, alle 30min.

[daabm 1.354]

Wie viele DCs und ggf. wie viele Sites hast Du?

[hercules 10]

Wir haben hier 10 DC´s und eine Site. Die DC´s stehen teilweise auch im Ausland. Sorry wegen der späten Rückmeldung aber ich war ein paar Tage nicht im Dienst

[daabm 1.354]

Ok. Da ist dann die AD-Replikation (und deren Topologie und möglicherweise noch Sitelink-spezifische Replikationseinstellungen) in der Tat ein Faktor, den Du berücksichtigen mußt.

Edit: Ich seh grad "nur eine Site" - dann wäre das Überprüfen der Replikationseinstellungen ja relativ einfach

Ich hab's noch nie erlebt, daß Applocker eine Anwendung blockiert, wenn die entsprechende Regel lokal auf dem Rechner in der RuleCollection vorhanden ist.

bearbeitet 20. Mai 2021 von daabm

[hercules 10]

Nur damit es nicht falsch verstanden wird, die Regeln werden ja umgesetzt aber nur wenn sie für jeden erlaubt sind. Nur wenn Regeln per AD Gruppe auf bestimmte User erlaubt werden, dann ist die Regel in der RuleCollection aber wird nicht umgesetzt bzw. erst stark verzögert.

Ich werde da nochmal mit dem Zuständigen AD-Admin sprechen und mich dann nochmal melden

[daabm 1.354]

Ok - da gebe ich zu, daß ich am Ende meiner Erfahrung bin. Die einzigen 2 Gruppen, die wir für AppLocker je genutzt haben, sind Everyone und Administrators... Asche auf mein Haupt Ist das wieder so ein "Gag" von MS, daß nur DL oder nur GlobalGroups funktionieren? (Gefunden hab ich dazu auf die Schnelle nichts...)

[hercules 10]

Moin,

 

diesmal habe ich aber wirklich die Lösung für das Problem^^ Die Probleme werden durch das VPN verursacht. So wie ich die Gruppen und Regeln angelegt habe ist alles richtig, sonst würde es ja auch irgendwie gar nicht funktionieren.

Dadurch das die Leute fast alle im HomeOffice sind, sind sie gezwungen im VPN zu arbeiten. Dadurch das erst nach der Anmeldung der VPN Tunnel aufgebaut wird, besteht bei der direkten Anmeldung keine Verbindung zum DC und die Computer bekommen kein neues Sicherheitstoken. Somit blockt Applocker alles was mit einer AD Gruppe freigegeben wurde.

 

Das Problem und die Lösung dazu kann man hier nachlesen oder kurz Zusammengefasst:

 

1. CMD starten

2. Taskmanager öffnen

3. explorer.exe beenden

4. explorer.exe über cmd neu aufrufen: RunAs /user:MYDOMAIN\username explorer.exe (Username des betroffenen Benutzers)

 

Ohne den Zwang eines VPN würde dies durch einen normalen Neustart geregelt sein.

 

bearbeitet 2. Juni 2021 von hercules

[NorbertFe 2.034]

vor 36 Minuten schrieb hercules:

Das Problem und die Lösung dazu kann man hier nachlesen oder kurz Zusammengefasst:

 

http://woshub.com/how-to-refresh-ad-groups-membership-without-user-logoff/
 

sollte einfacher sein ;)

[hercules 10]

Das kannst du weiter vorne nachlesen, dass dies auch nicht geholfen hatten.