HeizungAuf5 13 Geschrieben Samstag um 15:37 Melden Teilen Geschrieben Samstag um 15:37 Hallo zusammen, ich versuche aktuell in unserer Testumgebung etwas in die Thematik Applocker rein zu kommen. Allerdings bekomme ich das ganze nicht wirklich zum laufen. Zum aktuellen Test-Aufbau: - DC (Windows Server 2022, AD Ebene 2016) - Terminalserver (Server 2022 Datacenter) Aufgebaut habe ich das System nach dieser Anleitung. Soweit ich das nachvollziehen kann, auch erfolgreich (Dienst Anwendungsintegrität läuft auch, Regeln sind erzwungen). Als ersten Versuch habe ich versucht, die Benutzer aus der Windows Dienstverwaltung und dem RDS Lizenzierungsmanager auszusperren: Die drei unteren Regeln sind die Standardregeln, die beim Anlagen der GPO erzeugt werden. In der AD Gruppe "TS_Terminal01" sind die User drin, die sich an dem TS anmelden dürfen (keine Admins). Nach meiner Auffassung dürften die Benutzer, welche Teil der Gruppe "TS_Terminal01" sind die beiden Anwendungen nicht mehr aufrufen. Allerdings können die Benutzer die Teil der Gruppe sind weiterhin beide Anwendungen aufrufen. Was mir noch aufgefallen ist, bei einem "gpresult" wird die Applocker GPO gar nicht angezeigt. Wo hab ich einen Denkfehler drin? Grüße! Zitieren Link zu diesem Kommentar
daabm 1.314 Geschrieben Samstag um 17:01 Melden Teilen Geschrieben Samstag um 17:01 Wenn die GPO nicht angezeigt wird, stimmt was mit der Verlinkung nicht. Zitieren Link zu diesem Kommentar
Sunny61 805 Geschrieben Samstag um 20:20 Melden Teilen Geschrieben Samstag um 20:20 Du hast das GPO auch auf die OU verlinkt, in der die Terminalserver liegen? Zitieren Link zu diesem Kommentar
HeizungAuf5 13 Geschrieben Sonntag um 11:50 Autor Melden Teilen Geschrieben Sonntag um 11:50 Hallo zusammen, ich habe mir die Regelanwendung angesehen. Scheinbar wird die Applocker GPO - teilweise - angewendet, wenn auch sie nicht in einem "gpresult" angezeigt wird. So habe ich als leichte Abweichung zur Anleitung das Starten des Anwendungsidentität-Dienstes nicht als eigene GPO angelegt, sondern mit in die GPO, welche auch die Applocker Regeln beinhaltet. Der Teil wurde angewendet, der Dienst läuft. Auch ist mir durch Zufall aufgefallen, dass nach Anlegen der GPO promt das Startmenü nicht mehr ging. Irgendwas scheint somit zu funktionieren, wenn auch nicht ganz. vor 15 Stunden schrieb Sunny61: GPO auch auf die OU verlinkt, in der die Terminalserver liegen? Ja. Die GPO liegt in der OU, in der auch der TS - nicht die User - liegen. Andere GPOs, welche ebenfalls dort liegen, werden auch angewendet. Grüße! Zitieren Link zu diesem Kommentar
cj_berlin 1.296 Geschrieben Sonntag um 11:53 Melden Teilen Geschrieben Sonntag um 11:53 Moin, "erste Gehversuche" immer im Audit-Modus beginnen und die Logs auswerten. Erst dann scharf schalten Zitieren Link zu diesem Kommentar
HeizungAuf5 13 Geschrieben Sonntag um 12:09 Autor Melden Teilen Geschrieben Sonntag um 12:09 vor 9 Minuten schrieb cj_berlin: Moin, Hi, vor 10 Minuten schrieb cj_berlin: "erste Gehversuche" immer im Audit-Modus beginnen Ich habe die Richtlinie eben mal testweise auf nur Audit umgestellt. In der Ereignisanzeige des Benutzers wird der Startversuch dann auch entsprechend protokolliert Funfact: Die GPO wird unter gpresult weiterhin nicht angezeigt. Zitieren Link zu diesem Kommentar
MurdocX 932 Geschrieben Sonntag um 17:31 Melden Teilen Geschrieben Sonntag um 17:31 Am 12.10.2024 um 17:37 schrieb HeizungAuf5: Was mir noch aufgefallen ist, bei einem "gpresult" wird die Applocker GPO gar nicht angezeigt. Das sollte Sie schon. Ich würde mal das GPO neu erstellen und dann erneut versuchen. Bei Problemen AppLocker zurücksetzen. Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben Montag um 05:29 Melden Teilen Geschrieben Montag um 05:29 vor 17 Stunden schrieb HeizungAuf5: Funfact: Die GPO wird unter gpresult weiterhin nicht angezeigt. Mal ein Wild guess nur ums auszuschließen, weil mir das ständig passiert: Du hast gpresult nicht zufällig in einem CMD Fenster, welches als Administrator bzw. in einem anderen Nutzerkontext gestartet wurde ausgeführt? Zitieren Link zu diesem Kommentar
HeizungAuf5 13 Geschrieben Montag um 16:26 Autor Melden Teilen Geschrieben Montag um 16:26 Hallo zusammen, nachdem die Applocker Policy im Audit Modus korrekt die Einträge in der Ereignisanzeige erstellt, habe ich diese testweise wieder auf Blockieren umgestellt. Seither scheint die Policy zu funktionieren, die Anwendungen können nicht mehr gestartet werden, Bei einem gpresult wird diese allerdings weiterhin nicht angezeigt. vor 10 Stunden schrieb Gu4rdi4n: Du hast gpresult nicht zufällig in einem CMD Fenster, welches als Administrator bzw. in einem anderen Nutzerkontext gestartet wurde ausgeführt? Nein. Das CMD Fenster wurde unter dem "normalen" User gestartet. Mein Testuser, besitzt auch keine Admin Rechte. Andere GPOs kann ich auch problemlos sehen. Zitieren Link zu diesem Kommentar
daabm 1.314 Geschrieben Montag um 16:28 Melden Teilen Geschrieben Montag um 16:28 "Unter dem normalen User" - hat der Admin-Rechte? Sonst fehlen Computereinstellungen... 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.