xxdarkangelxx
Goto Top

GPO aktiv trotz Deaktivierung

Hallo liebe IT-Freunde face-smile
ich habe da mal ein Problem.....
Auf einen unserer Terminalserver (Server 2008 R2) ist der Applocker per GPO eingerichtet.
Jetzt wollte ich den Applocker entfernen, ich habe den Pfad der Anwendung angepasst bzw. gelöscht.
Aber der Applocker scheint trotzdem noch im Server fest zu sitzen ?!
Habe die GPO deaktiviert, Xmal den Server neugestartet, mit gpupdate /force
habe die beiden DC's neugestartet.
Ich habe den Server in einer OU geschoben, wo KEINE Richtlinie greift,
egal was ich tue, der Server sperrt mit trotzdem die Anwendung...
Was kann ich noch tun? Setzt sich der Eintrag irgendwo in der Registry fest ?
Ich brauche HIIILFE!!

Content-ID: 322628

Url: https://administrator.de/forum/gpo-aktiv-trotz-deaktivierung-322628.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

DerWoWusste
DerWoWusste 01.12.2016 um 19:56:33 Uhr
Goto Top
Hi.

Auch applocker hat ein Logfile, siehe https://technet.microsoft.com/en-us/library/ee791749(v=ws.10).aspx
Du solltest auch per Powershell simulieren können, ob die Anwendung anhand bestehender Regeln geblockt werden müsste.
Stelle auch sicher, dass nicht noch parallel software restriction policies greifen.
emeriks
emeriks 01.12.2016 um 20:06:42 Uhr
Goto Top
Hi,
schau mal hiermit: Löschen einer AppLocker-Regel

E.
XxDarkAngelxX
XxDarkAngelxX 02.12.2016 um 07:46:25 Uhr
Goto Top
Da ist doch zum Löschen Lokaler Regeln...
Der Server bekommt die übern DC zugeteilt... face-sad
XxDarkAngelxX
XxDarkAngelxX 02.12.2016 um 07:48:17 Uhr
Goto Top
Ja im Logfile steht, dass die Applocker-Regel noch zieht.. face-sad
Hast du einen Plan, wie ich die raus bekomme??
Laut Gruppenrichtlinienverwaltung sollte der Server die Applocker nicht mehr beziehen..
im gpresult steht die auch nicht mehr drin, aber Anwendungen werden trotzdem geblockt...
DerWoWusste
DerWoWusste 02.12.2016 um 08:21:59 Uhr
Goto Top
Benutze mal powershell um rauszufinden, welche Regel das ist.
Schau auch in den lokalen gpedit.msc
Und ja, die Einstellungen kommen in die Registry. Lies das gpo reference Excel Sheet.
XxDarkAngelxX
XxDarkAngelxX 02.12.2016 um 08:52:56 Uhr
Goto Top
Dann musst du mir bitte erzählen, wie ich das über die Powershell mache.....
In der lokalen gpedit steht nichts.
DerWoWusste
DerWoWusste 02.12.2016 um 09:12:14 Uhr
Goto Top
Zunächst einmal schau in die Registry unter
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2
Zur Powershell:
Get-AppLockerPolicy listet Policies
Test-AppLockerPolicy testet, ob eine im Argument enthaltene Anwendung geblockt würde und sagt, anhand welcher Regel das entschieden wurde. Weitere Doku siehe Microsoft.