Sunny61

Was sagt eigentlich der Hersteller/Programmierer der uns unbekannten Software dazu?

Und bei den Software Restriction Policys gibst Du die Dateien an, die außerhalb von %programfiles%, %programfiles (x86)% und %windir% ausgeführt werden sollen. Nicht mehr und nicht weniger.

Dann würde ich den Dienstleister anrufen und ihn seine Arbeit machen lassen.

Gibt es einen Proxy oder ist schon ein WSUS auf dem Client eingetragen? Wenn letzteres, dann lösche den WSUS aus der Registry, net stop wuauserv && net start wuauserv [ENTER] auf einer administrativen Commandline, jetzt .Net Framework installieren, gpupdate /target:computer [ENTER] und anschließend neu starten. Jetzt sollte der WSUS wieder drin stehen.

Wow, ab 3 Rechner rentiert sich ein WSUS schon, auch wenn die Internanbindung gut ist. Aber jeder wie er mag. :) Danke auf jeden Fall für die Rückmeldung. ;)

Die automatische Freigabe muss man ja nicht aktivieren. :) Vielleicht kriegt MSFT das nochmal hin, die einzelnen Build in die Produkte aufzunehmen, wäre sicherlich nicht verkehrt. Ja ich weiß, es gäbe dann wieder viele die genau damit ein Problem haben, aber die gibt es immer.

Ja, aber wenn Du das noch im Update Cache liegen hast, wird das immer wieder mit installiert. Wir hatten auf 4 (von 650) Clients das Problem des BSOD, ging recht einfach zu beheben.

Welche Funktion kann MSFT streichen? Mir wäre es auch lieber, wenn wir einzelne Builds aktivieren/deaktivieren könnten.

Dann sollte man das in Zukunft tun. :p Die anderen erforderlichen Updates manuell aus dem Update Catalog downloaden, den Update Cache leeren und jetzt ein Update nach dem anderen installieren. Und immer einen Reboot dazwischen. Bei KB4041691 handelt es sich doch um das DELTA-Update, das hat MSFT sowieso zurück gezogen. Also einfach mal den Windows Update Cache leeren und neu nach Updates suchen lassen.

Im WSUS ablehnen, dann den Windows Update Cache leeren und wieder nach Updates suchen lassen. Jetzt sollte das Update nicht mehr angeboten werden.

Nur für die 1607 kannst Du nicht eingrenzen. Du kriegst alles und kannst es später ablehnen. Besser noch, nur die Updates genehmigen, die auch von den Clients angefordert werden. An so ein Szenario denkt bei MSFT niemand, deshalb gibt es auch keine Empfehlung dazu. ;) Kritische Updates, Sicherheitsupdates und evtl. Updates sollte ausreichen.

Wenn es zuerst nur 1 TS war und jetzt alle 5, dann könnte es schon an einem Update liegen. Aber bei der Fülle an Informationen die von dir kommen, ist es nicht möglich die relevanten heraus zu filtern.

Sind die beiden FixIt öffentlich oder geheim? Falls öffentlich, darfst Du gerne die KB-Nummer veröffentlichen, Danke.

Mit Subdomains würde ich nicht arbeiten, lieber OUs pro Standort, dort dürfen dann die Standort Admins tun was immer sie tun müssen. Und auf die TLD, also das .local, ist doch gesch... Egal ob da .local oder .intra steht. Sieht eh kein Mensch, außer den Admins. Und für Exchange Split DNS nutzen, schon ist das Problem gelöst und du kannst mit gekauften Zertifikaten arbeiten.

Rein in die Domäne und sich selbst via GPO verwalten lassen.

Keine Produkte, Klassifizierungen. Updates bzw. Sicherheitsupdates. In https://support.microsoft.com/de-de/help/894199/software-update-services-and-windows-server-update-services-changes-in findest Du die Updates des Jahres 2017. Such dir das richtige aus, da steht auch die Klassifizierung dabei. EDIT: Ganz unten sind die KB-Artikel Nummern der vergangenen Jahre zu finden.

Benutzer passend einschränken, Software Restriction Policy oder Applocker einsetzen ist eine zusätzliche Stütze.

Wenn er hier sucht, aber nicht das findet was er sucht, liegt es an der Suchfunktion oder an den Suchbegriffen. Aber was nützt die beste Suchfunktion wenn sie nichts findet. Was man braucht ist eine *Findefunktion*, suchen kann jeder. :)

Genau den meinte ich. Etwas mehr Eigeninitiative *VOR* dem absetzen eines Posts kann nicht schaden.

Wenn man die Suchfunktion hier im Board nutzt, findet man einen Thread exakt zu dem Thema. Ist auch noch nicht älter als 4 Wochen.

Erstell bitte einen neuen eigenen Thread, der ist aus dem Jahr 2012, Du kannst kein annäherndes Problem haben. Fremde und alte Threads kapert man nicht, man lässt sie in Ruhe, Danke.

Qualitätsprüfung lässt zu wünschen übrig, sofern es überhaupt so etwas gibt. :)

Danke, aber ich nehme lieber die ADMX-Templates aus dem laufenden System. Wir wissen nicht was der Installer zu tun hat, das mußt Du schon MSFT selbst fragen. Wenn Du unbedingt mit dem Central Store arbeiten möchtest, dann kopier von einem W10 1607 oder einer anderen Version die ADMX-Templates aus dem passenden Ordner in den Central Store. Hier nochmal ein HwoTo dafür: https://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrative-vorlagen/ Ansonsten bleibe ich dabei, für jede W10 Version die es gibt im jeweiligen LAN, eine eigene VM betreiben. GPOs passend benennen und mit WMI-Filter ausstatten. MSFT nimmt Einstellungen weg, die findest Du auch nicht mehr, sie bleiben aber auf den Clients vorhanden und können Fehlverhalten hervorrufen.

Nein, ist es nicht. Zumindest nicht bis in die 1703.

Keys hab ich auch genug, hast Du auch genug Nachweise (Rechnungen) im Schrank? Hält das alles einer Überprüfung der Lizenzen stand?