Sunny61

Auf der Freigabe gibt es den Punkt > Ordner Offline verfügbar machen. BTW: Auf dem Client sollte man evtl. besser die Offline Datenbank löschen lassen. Suchbegriff: FormatDatabase = 1 > Reboot.

Das Update wird deinstalliert und später kannst Du es wieder zur Installation genehmigen. Der WSUS kann nichts dafür, der hat auch damit nichts, überhaupt nichts zu tun. Der lokale Windows Update Agent ist dafür verantwortlich. Der WSUS stellt nur die Daten zur Verfügung, sonst nichts. Frag das am besten alles direkt MSFT, die haben das so programmiert. ;) Die Benutzereinstellungen greifen nur noch bis incl. W8.1, ab 10 ist das alles gekippt worden. Schau dir die Möglichkeit an, den Wartungsmodus zu nutzen. Und es gibt auch noch die Möglichkeit, nachts die Clients zu wecken, Updates zu installieren und wieder herunterzufahren. Wie weit bist Du mit dem Test gekommen? Gibt es überhaupt schon eine Testumgebung?

Weil es Umgebungen gibt, die nur noch mit z.B. Igel Clients arbeiten, da wird jede SW auf TS/RDP Servern bereitgestellt. Der IGEL ist nur für die Anmeldung des Users an den TS/RDP Server da, keine langwierige Update Installiererei oder Aktualisierung der installierten Software. Kann ich grundsätzlich schon verstehen die Anforderung. Aber auch wenn ein Hersteller das für Remote Apps oder für einen TS freigibt, es fehlt sehr häufig an der Weiterentwicklung. Will man heute die SW auf W2019 installieren, fragen Hersteller dann ganz frech: Warum nicht 2012R2 oder W2016? Warum muss es 2019 sein? Viele laufen der Entwicklung der Betriebssysteme nur nach, nicht auf Augenhöhe.

Auch wenn es die User immer gerne anders sehen, Sicherheit geht vor Bequemlichkeit. In der Beschreibung der Einstellungen findet sich meistens ein passender Hinweis. Z.B. unterstützt auf oder unterstützt auf mindestens. Und natürlich die ADMX-Templates von W1909 verwenden. Dazu entweder die Templates im Central Store aktualisieren oder die GPMC auf einem 1909 installieren und starten. Nur dort dann die GPOs für 1909 bearbeiten. Zum Entfernen genehmigen, dann funktioniert die Deinstallation ohne Reinstallation. Nein, die Updates werden installiert wenn es möglich ist. Die Genauigkeit ist IMO verloren gegangen. Das wichtige ist der Reboot. Grundsätzlich funktioniert das schon sauber. Zur Entfernung genehmigen, dann wird es entfernt, aber auch nicht wieder neu installiert.

Alles etwas unübersichtlich. Nimm doch so viel wie möglich raus aus dem GPO und taste dich langsam voran. Du hast von 6-18 Uhr als Nutzungszeit definiert, aber 18 Stunden als Nutzungsbereich definiert. Das passt nicht zusammen. Auch sehe ich nicht die Computer Option: Zugriff auf WU entfernen. Du hast einen Central Store konfiguriert, d.h. die ADMX-Templates liegen innerhalb des Sysvol. Lies doch dazu diesen Artikel: https://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrative-vorlagen/ Ansonsten solltest Du wirklich nur das konfigurieren, das auch für W10 defeniert ist. Die meisten XP-Einstellungen wertet kein W10 Client mehr aus.

Naja, MSFT tut gut daran, zu warten bis es eine Version gibt, die etwas weniger fehlerbehaftet ist, als die bisherigen. ;) Welche Produkte und Kategorien hast Du denn freigegeben? Evtl. bringt dieser Artikel Licht ins Dunkel. https://www.windowspro.de/news/windows-10-1909-november-2019-update-ist-fertig/04355.html

Weshalb nehmen Firmenrechner am Windows Insider Programm teil? Das ist IMO sehr kontraproduktiv. Es gibt auch noch die Möglichkeit, den Zugriff auf WU komplett auszublenden. Ist eine Computer Einstellung innerhalb von WU. In einem deiner zahllosen Screenshots, die mich persönlich nerven, solltest Du didie dritte Option zum Neustart wegkriegen. Hast Du wirklich alle Einstellungen per GPMC.MSC konfiguriert oder arbeitest Du auch mit GPEDIT.MSC und in der WU-GUI? Hast Du angegeben, dass innerhalb der Nutzungszeit NICHT neu gestartet werden soll? Hast Du das GPO inzwischen komplett mit aktuellen Templates neu erstellt?

Ist die 1909 denn schon in deinem WSUS angekommen? Falls ja, ist die 1909 denn auch schon freigegeben? Falls ja, ist die 1909 auch schon gedownloadet?

BTW: Der SQL Server sollte unbedingt aktualisiert werden. Das letzte CU installieren: https://buildnumbers.wordpress.com/sqlserver/#SQLvNext

Lass das Script doch mal anzeigen, dann siehst Du gleich ob es wirklich das Script ist.

Scripte lokal ablegen und im Script zu Beginn prüfen ob das AD erreichbar ist. Die lokalen Scripte starten dann immer, weil sie ja erreichbar sind. Wenn das AD nicht erreichbar ist, abbruch, fertig.

Nutzungszeit nennt sich die Einstellung. Das hast Du jetzt schon zum dritten Mal gehört. Stell eine Nutzungszeit ein. Wie viele Stunden soll der PC denn in einem undefinierten Zustand verharren? Und wenn User nicht gespeicherten Inhalt auf dem PC haben, ist das nicht dein bzw. des Admins Problem. Jeder User ist verantwortlich für sein Tun. Man kann auch per GPO einen Fake-WSUS angeben, da muss man nicht hinlaufen und das manuell einstellen. Du kannst mit jedem Zustand leben, deine User machen dir das Leben schwer. :) Und ja, es kann natürlich auch passieren, dass so ein Client, warum auch immer, plötzlich mal neu startet. Pech gehabt. Und MSFT ändert sehr gerne mit jeder Build die Art und Weise wie mit Updates umgegangen wird. Aus Sicht der IT-Sicherheit ist das, was Du machst, hochgradig fahrlässig. Solange kein Reboot nach dem Update stattfindet, ist es genauso als wäre das Update nicht installiert.

Dann darfst Du das nicht versuchen mit GPOs zu regeln. Weshalb installierst Du Updates, wenn der Client nicht gestartet werden darf? Wasch mich, aber mach mich nicht nass. So liest sicht das für mich. Gib den Cliens einfach einen Fake-WSUS an den es nicht gibt, dann ziehen sie keine Updates und können auch nicht versehentlich neu starten. BTW: 2 Tage nach der Installation der Updates wird neu gestartet, ob Du willst oder nicht. MSFT ist es egal was du willst, sie wollen einen Reboot nach der Installation. Und nur das zählt für MSFT. Da Du keine Nutzungszeit angegeben hast, in der anderen Einstellung, zieht diese Einstellung natürlich nicht.

Das steht in den GPO-Beschreibungen exakt so drin? Kann ich mir beim besten Willen nicht vorstellen. Nutzungszeit angeben und die Zeit angeben, in der der Client neu gestartet werden darf.

In der Regsitry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate findest Du die Einstellungen, die dafür verantwortlich sein können. Es gibt auch noch in HKCU Einstellungen, die machen aber IMO nichts in Sachen Reboot. Es kann natürlich auch noch jemand mit einem Script oder per GPP eine Regdatei importieren. Du hast im GPO keine Nutzungszeiten definiert. Und wenn Du Nutzungszeiten defeiniert hast, kannst Du Zeiten für den Reboot einstellen. Wenn die im ADMX Template nicht vorhanden sind, dann sind die Templates nicht aktuell. Oder du nimmst dir einen W10 1909 Client, installierst die RSAT-Tools und bearbeitest von dort aus das GPO für die 1909 Clients. Grundsätzlich musst Du dich von den Einstellungsmöglichkeiten wie bei W7 verabschieden, diese Möglichkeiten gibt es nicht mehr in der Art.

Das mit TAB hat nichts mit der PS zu tun, geht auch in der Commandline. In der PS gibst Du start-p ein und drückst die TAB-Taste. Gibt es eine Auswahl, wird die durch weiteres Drücken der TAB-Taste durchlaufen. Dann das - eingeben und die TAB-Taste drücken, mit jedem drücken der TAB-Taste wird eine weitere Option angegeben. Und gib den Pfad zur Powershell.exe vollständig an. Auch hier kann man mit der TAB-Taste arbeiten C:\wind TAB-Taste drücken, \ eingebeben, die ersten Buchstaben des Verzeichnisses angeben und TAB-Taste. Und schau dir die Doku von MSFT an, die ich verlinkt hatte. BTW: Das Beispiel aus dem Blog funktioniert bei dir lokal? Probier es immer zuerst lokal und das Ergebnis sichtbar ausgeben lassen.

Nö, geht in einem Rutsch. Rechtslick auf den Ordner > Erweitert > Besitz übernehmen > neuen Besitzer auswählen, jetzt sofort oben einen Haken setzen und unten die Vererbung unterbrechen. Mit OK bestätigen und erneut öffnen.

Es fehlt zu Beginn das - vor Filepath: Start-Process -filepath. An der Stelle IMMER mit der Tabtaste arbeiten, hilft ungemein. Wenn keine automatische Vervollständigung stattfindet, stimmt etwas nicht. Du weißt wie das geht? Steht alles auch so in der Doku: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/start-process?view=powershell-7 Es ist immer sehr hilfreich so ein Script auch lokal laufen zu lassen, man sieht gleich ob es funktioniert, dann erweitern, Stück für Stück. BTW: In welchem Blog hast Du die Anleitung gefunden? Es ändert sich immer wieder etwas, deshalb ist es fast besser, zu Beginn die Doku des Herstellers zu nutzen.

Besitz übernehmen.

Danke für das Script, jetzt nur den Code noch anonymisieren. ;)

[OT] Ein früherer Kollege hat immer LTP anstatt LPT gesagt und geschrieben. :) [/ot]

Dort gibt es ihn nur, wenn sich mit diesem User schon mal jemand angemeldet hat.

Du kannst einen geplantet Task mit dem o.g. Tool einrichten. Als SYSTEM laufen lassen und alle Profile löschen lassen, die älter 10 Tage sind, oder ähnliches.

Danke für die Korrektur, das ist schon zu lange her, als ich es noch auf dem Schirm hatte. Die gen. sind wohl keine echten Policies, denn dann, so hatte ich das mal gelernt, verschwindet alles aus dem GPO vom Client.

Normalerweise verschwindet das GPO sobald sie gelöscht wird, sofern es sich um echte Policies handelt. Und die SW-Installation für Computer und User ist eine echte Policy, sollte also auch auf den Rechnern verschwinden. Setz dich an so einen Rechner hin und mach als angemeldeter User ein gpupdate /target:user [ENTER]. Reboot und neu anmelden, kommt immer noch eine FM? Du kannst übrigens auch in der GPMC die GUIDs sehen, linke Seite auf alle Gruppenrichtlinienobjekte klicken > rechts dann auf Details. Hier ist die GUID zu finden.