el.com 10 Geschrieben 24. April 2008 Melden Teilen Geschrieben 24. April 2008 Hallo zusammen, ich habe in der Firma einen WSUS auf einem Windows 2003 Server aufgesetzt. Clientseitige Zuordnung ist aktiviert. Bisher wurde der Dienst zum ausführlichen Test nur auf die IT-Abteilung beschränkt. Nun ist die Sache so: Mein Chef möchte gerne, dass ein angemeldeter User am Client (auch wenn er nicht über lokale Adminrechte verfügt) die zu installierenden Updates noch selbst bestimmen kann. Ich selber finde das zwar nicht gerade sinnvoll, da dadurch dem Patch-Management-System der eigentliche Sinn genommen wird (Admin soll ja eigentlich die volle Kontrolle über die Patchverteilung haben), aber Anweisung ist nunmal Anweisung. Da der WSUS ja nicht zwischen Admingruppen und Clientgruppen unterscheidet, bietet sich mir aktuell nicht die Möglichkeit, dass der User die zur Verfügung stehenden (vom WSUS-Admin genehmigten) Updates bei der Installation selber bestimmen kann. Die Updates sind im Installationsfenster grau markiert, die Auswahl kann nicht geändert werden (Siehe --> Screenshot) Daher erstmal die Frage: Bietet der WSUS rein technisch gesehen überhaupt die Möglichkeit, das wie gewünscht zu konfigurieren? Ich war mit meinen Recherchen bisher erfolglos. Aktuell gehe ich sogar davon aus, dass es nicht möglich ist, wollte aber hier nochmal nachfragen, ob es vielleicht doch geht, oder es andere Lösungsansätze für das beschriebene Problem gibt. Falls es nicht geht: Kennt jemand Produkte, die dieses Feature überhaupt unterstützen? Schonmal im Voraus vielen Dank für eure Mühen und Gruß, el.com Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 24. April 2008 Melden Teilen Geschrieben 24. April 2008 Nicht-Administratoren gestatten, Updatebenachrichtigungen zu erhalten hast Du aktiviert? Zitieren Link zu diesem Kommentar
el.com 10 Geschrieben 24. April 2008 Autor Melden Teilen Geschrieben 24. April 2008 Ja, ist aktiviert. GPOs sind wie folgt konfiguriert: Computerkonfiguration Automatische Updates konfigurieren: 3 (Autom. Herunterladen und vor der Installation benachrichtigen) Automatische Updates sofort installieren: Aktiviert Clientseitige Zielzuordnung aktivieren: Aktiviert Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen: Deaktiviert Erneut zu einem Neustart für geplante Installationen auffordern: Aktiviert (240 min) Internen Pfad für den Microsoft Updatedienst angeben: Aktiviert (http:// servername : port) Keinen automatischen Neustart für geplante Installationen durchführen: Aktiviert Neustart für geplante Installationen verzögern: Aktiviert (30 min) Nicht-Administratoren gestatten, Updatebenachrichtigungen zu erhalten: Aktiviert Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen: Deaktiviert Suchhäufigkeit für automatische Updates: Deaktiviert Zeitplan für geplante Installationen neu erstellen: Aktiviert (15 min) Benutzerkonfiguration Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen: Deaktiviert Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen: Deaktiviert Zugriff auf alle Windows Update-Funktionen entfernen: Deaktiviert Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 24. April 2008 Melden Teilen Geschrieben 24. April 2008 Nun ist die Sache so: Mein Chef möchte gerne, dass ein angemeldeter User am Client (auch wenn er nicht über lokale Adminrechte verfügt) die zu installierenden Updates noch selbst bestimmen kann. Was die Chefs immer wollen. Gibts dafür auch eine vernünftige Begründung? Ich selber finde das zwar nicht gerade sinnvoll, da dadurch dem Patch-Management-System der eigentliche Sinn genommen wird (Admin soll ja eigentlich die volle Kontrolle über die Patchverteilung haben), aber Anweisung ist nunmal Anweisung. Naja, aber etwas Aufklärung kann in dem Fall wohl nicht schaden. Bietet der WSUS rein technisch gesehen überhaupt die Möglichkeit, das wie gewünscht zu konfigurieren? Ich war mit meinen Recherchen bisher erfolglos. Aktuell gehe ich sogar davon aus, dass es nicht möglich ist, wollte aber hier nochmal nachfragen, ob es vielleicht doch geht, oder es andere Lösungsansätze für das beschriebene Problem gibt. AFAIK geht das nicht. Und ist IMHO auch nicht sinnvoll, daß die User selbst entscheiden, ob ein Update installiert wird oder nicht. Wenn er sich auf einer Website infiziert, wer trägt dann die Schuld? Falls es nicht geht: Kennt jemand Produkte, die dieses Feature überhaupt unterstützen? Das glaub ich kaum, daß es sowas gibt. Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 24. April 2008 Melden Teilen Geschrieben 24. April 2008 Nun ist die Sache so:Mein Chef möchte gerne, dass ein angemeldeter User am Client (auch wenn er nicht über lokale Adminrechte verfügt) die zu installierenden Updates noch selbst bestimmen kann. Das geht nicht. Der User kann bei nicht vorhandenen lokalen Adminrechten keine Auswahl treffen. Deine Meinung dazu ist schon korrekt. Also sag deinem Chef, dass es nicht geht, bzw. nur wenn alle lokale Admins sind. Und das will er nicht. Falls es nicht geht:Kennt jemand Produkte, die dieses Feature überhaupt unterstützen? Nein, denn es ist Sinn und Zweck des Patchmanagements, dass ein fachkundiger Mitarbeiter die Auswahl trifft und die entsprechenden Patches zuweist. Nicht, dass Willy Buchhalter der Meinung ist, er brauche dieses oder jenes Update nicht. Bye Norbert Zitieren Link zu diesem Kommentar
el.com 10 Geschrieben 25. April 2008 Autor Melden Teilen Geschrieben 25. April 2008 Genau das und nichts anderes habe ich auch erwartet. Ich habe auch versucht meinem Chef das mit der gleichen Begründung zu erklären, aber so ganz verstehen wollte er es wohl immer noch nicht. Dann werde ich es wohl auf ein neues versuchen müssen, in der Hoffnung, dass er es diesmal schnallt. @NorbertFe: Nach meinen Tests hier muss ich sogar dazu sagen, dass es selbst MIT lokalen Adminrechten nicht funktioniert. Hier in der IT haben wir alle lokale Adminrechte, und trotzdem hat man bei der Installation keinen Einfluss auf die Auswahl des Updates. Dass andere Produkte die gewünschte Funktion auch nicht bieten kann ich mir auch gut vorstellen, weil das ja schließlich - wie bereits gesagt - dem Patch-Management den eigentlichen Sinn nimmt. Trotzdem mal vielen Dank für eure Hilfe. Gruß, el.com Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 25. April 2008 Melden Teilen Geschrieben 25. April 2008 Nach meinen Tests hier muss ich sogar dazu sagen, dass es selbst MIT lokalen Adminrechten nicht funktioniert. Hier in der IT haben wir alle lokale Adminrechte, und trotzdem hat man bei der Installation keinen Einfluss auf die Auswahl des Updates.Dass andere Produkte die gewünschte Funktion auch nicht bieten kann ich mir auch gut vorstellen, weil das ja schließlich - wie bereits gesagt - dem Patch-Management den eigentlichen Sinn nimmt. Trotzdem mal vielen Dank für eure Hilfe. Gruß, el.com :) OK, wenn ich es mir recht überlege, hab ich das wohl mit Windows Update verwechselt, oder es hängt vom jeweiligen Update ab. Muß ich mal irgendwann testen. Im Endeffekt kommt aber immer die Frage nach "Patchmanagement" ;) Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 25. April 2008 Melden Teilen Geschrieben 25. April 2008 Genau das und nichts anderes habe ich auch erwartet. Ich habe auch versucht meinem Chef das mit der gleichen Begründung zu erklären, aber so ganz verstehen wollte er es wohl immer noch nicht. Hmm, kommt mir bekannt vor. ;) Dann werde ich es wohl auf ein neues versuchen müssen, in der Hoffnung, dass er es diesmal schnallt. Genau, die Hoffnung stirbt zuletzt. ;) Nach meinen Tests hier muss ich sogar dazu sagen, dass es selbst MIT lokalen Adminrechten nicht funktioniert. Hier in der IT haben wir alle lokale Adminrechte, und trotzdem hat man bei der Installation keinen Einfluss auf die Auswahl des Updates. WOWEREIT! :) Zitieren Link zu diesem Kommentar
el.com 10 Geschrieben 25. April 2008 Autor Melden Teilen Geschrieben 25. April 2008 Irgendwie versteh ich das nicht ganz... Schaut euch mal folgenden Screenshot an, der hier vor wenigen Minuten angefertigt wurde: http://img247.imageshack.us/img247/8957/installationjg1.png Plötzlich kann das Update doch ausgewählt werden... Der einzige Unterschied dieses Updates, im Vergleich zu den vorher genehmigten (Siehe Screenshot aus dem Eröffnungspost) ist der, dass ich für dieses Update keinen Stichtag gesetzt habe. Ich habe das Update erstmal nicht installiert, dem Benutzerkonto meines Kollegen die lokalen Adminrechte entzogen und ihn mal neuangemeldet. Auch danach konnte er die Auswahl des Updates weiterhin beeinflussen. Erst als ich die GPO "Nicht-Administratoren gestatten, Updatebenachrichtigungen zu erhalten" auf Deaktiviert gesetzt habe, war die Auswahl nicht mehr möglich (das Fenster zur manuellen Installation war weg, sodass die Updates ohne Auswahlmöglichkeit nur noch beim Herunterfahren installiert werden können). Hat das ganze also tatsächlich nur etwas mit der Stichtagfunktion zu tun? Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 25. April 2008 Melden Teilen Geschrieben 25. April 2008 Hat das ganze also tatsächlich nur etwas mit der Stichtagfunktion zu tun? Wenn das Deine Tests bestätigen, dann ja. Ich hab die Stichtagfunktion noch nie benutzt, aber wenn man kurz darüber nachdenkt, dann macht das schon Sinn, so wie das bisher Deine Tests ergeben haben. EDIT: Sagtst Du das jetzt auch Deinem Chef? ;) Zitieren Link zu diesem Kommentar
el.com 10 Geschrieben 25. April 2008 Autor Melden Teilen Geschrieben 25. April 2008 EDIT: Sagtst Du das jetzt auch Deinem Chef? ;) Wenn es jetzt wirklich bei anderen Updates auch funktioniert, werde ich wohl einen kleinen Fehler eingestehen müssen :( Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 25. April 2008 Melden Teilen Geschrieben 25. April 2008 Wenn es jetzt wirklich bei anderen Updates auch funktioniert, werde ich wohl einen kleinen Fehler eingestehen müssen :( Ich würde trotzdem auf die vorherige Variante beharren. Was soll denn das für ein Patchmanagment sein, wenn jeder User für sich selbst entscheiden kann, ob er den Patch installieren will oder nicht. Da gäbe es für mich keine Diskussionsgrundlage. Und ich mit bestimmt nicht allein mit dieser meiner Meinung. Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 27. April 2008 Melden Teilen Geschrieben 27. April 2008 @el.com Konntest Du das Update nur auswählen ? Oder hast du es auch installieren können ? Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 27. April 2008 Melden Teilen Geschrieben 27. April 2008 Konntest Du das Update nur auswählen ? Oder hast du es auch installieren können ? Er will es ja gar nicht installieren, nur einfach abwählen/deaktivieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 27. April 2008 Melden Teilen Geschrieben 27. April 2008 Wenn es jetzt wirklich bei anderen Updates auch funktioniert, werde ich wohl einen kleinen Fehler eingestehen müssen :( Wieso? Ist doch super. Du stellst erstmal die Deadline nicht ein. Das bedeutet, jeder kann aussuchen was er will. Dann schaust du nach 7 Tage nochmal rein und siehst genau welche Patches noch nicht installiert wurden. Für die definierst du jetzt eine Deadline, und niemandem fällts auf. :D Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.