Gast imebro Geschrieben 10. September 2009 Melden Teilen Geschrieben 10. September 2009 Hallo an Alle! Seit ein paar Tagen nutze ich WSUS über unseren Server für rund 20 Client-PCs. Im Grunde läuft alles recht gut (soweit ich es nach 2 Tagen beurteilen kann). Im WSUS ist alles so eingestellt, dass die Updates automatisch auf die Clients verteilt werden und die entsprechenden Genehmigungen für die Updates habe ich auch gesetzt. Allerdings fiel mir heute Morgen auf, dass die Client-PCs verschiedene Updates auch über WSUS nur installieren können, wenn man dort als Admin angemeldet ist. Somit muss ich mich - wie bisher auch - an jedem Client-PC ab und zu als Admin anmelden und diese Updates dort installieren lassen. Gerade das wollte ich ja durch WSUS verhindern. Gibt es eine Möglichkeit, über WSUS einzustellen, dass auch diese Admin-Updates automatisch geladen UND installiert werden... also mit Admin-Anmeldung? Danke für Eure Mühe! Gruss Ingo Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 10. September 2009 Melden Teilen Geschrieben 10. September 2009 Seit ein paar Tagen nutze ich WSUS über unseren Server für rund 20 Client-PCs. Im Grunde läuft alles recht gut (soweit ich es nach 2 Tagen beurteilen kann). Der WSUS ist ja ein recht einfaches Tool. ;) Im WSUS ist alles so eingestellt, dass die Updates automatisch auf die Clients verteilt werden und die entsprechenden Genehmigungen für die Updates habe ich auch gesetzt. Wo genau willst Du das eingestellt haben? Der WSUS ist dumm und verteilt gar nichts. Die Intelligenz ist der lokale WU-Agent in Verbindung mit einer GPO und deren Einstellungen. Nur so zur Klarstellung, nicht das flasche Vorstellungen aufkommen. ;) Allerdings fiel mir heute Morgen auf, dass die Client-PCs verschiedene Updates auch über WSUS nur installieren können, wenn man dort als Admin angemeldet ist. Von welchen Updates sprichst Du genau? Somit muss ich mich - wie bisher auch - an jedem Client-PC ab und zu als Admin anmelden und diese Updates dort installieren lassen. Gerade das wollte ich ja durch WSUS verhindern. Der PC muß nur gestartet sein, egal ob einer User, ein Admin oder niemand angemeldet ist. Gibt es eine Möglichkeit, über WSUS einzustellen, dass auch diese Admin-Updates automatisch geladen UND installiert werden... also mit Admin-Anmeldung? Nicht über den WSUS zu erreichen, sondern für eine GPO. Schau dir diese Beispiel-GPO doch mal an: http://www.wsus.de/images/WSUSGPO.png Das wichtigste ist die zweite Benutzereinstellung, die verhindert, das ein normaler Benutzer mit Meldungen zum fälligen Neustart belästigt wird. Ist ein Benutzer gleichzeitig lokaler Admin, dann werden nach setzen der Einstellung die Updates trotzdem installiert, er bekommet davon nichts mit. Welche Einstellungen hast Du genau gesetzt? Zitieren Link zu diesem Kommentar
Gast imebro Geschrieben 11. September 2009 Melden Teilen Geschrieben 11. September 2009 Hallo Sunny61, vielen Dank für Deine detaillierte Antwort! Ich hatte die Einstellungen gemäß einer Anleitung aus dem Internet vorgenommen. Eben habe ich mal meine Einstellungen mit denen aus Deinem LINK verglichen und ein paar Abweichungen gefunden: A.) Unter "Computerkonf.\Admin.Vorlagen\Win-Komp.\Win-Update" habe ich bei "Clientseitige Zielzuordnung aktivieren" AKTIVIERT angehakt. Dort steht ja u.a.: 1) "Wenn der Status auf "Deaktiviert" oder "Nicht konfiguriert" festgelegt ist, werden keine Zielgruppeninformationen an den Microsoft Updatedienst im Intranet gesendet...". -> Ich würde ja eher vermuten, dass AKTIVIERT richtig ist. Oder wie ist Deine Meinung? 2) "Wenn durch den Microsoft Updatedienst mehrere Zielgruppen unterstützt werden, können durch diese Richtlinie mehrere, durch Semikolons getrennte Gruppennamen angegeben werden. Andernfalls muss eine einzelne Gruppe angegeben werden." -> Dort habe ich "Nicht zugewiesene Computer" eingetragen. Da ich aber auch eine zusätzliche Gruppe "Server" habe... sollte ich die auch noch zusätzlich eintragen? B.) Unter "Benutzerkonf.\Admin-Vorl.\Win-Komp.\Win-Update" habe ich unter der Option "Updates inst. und herunterfahren im Dialogfeld Windows herunterfahren nicht anzeigen" NICHT KONFIGURIERT angehakt. Dort steht ja u.a.: 1) "Durch Aktivieren dieser Richtlinieneinstellung wird die Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht angezeigt, auch wenn Updates zum Installieren verfügbar sind und der Benutzer die Option "Herunterfahren" im Startmenü auswählt." 2) "Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" angezeigt, falls Updates verfügbar sind, wenn der Benutzer die Option "Herunterfahren" im Startmenü auswählt." -> Da würde ich doch auch eher vermuten, dass NICHT KONFIGURIERT richtiger wäre, als AKTIVIERT, wie es dort (siehe Link) angegeben wurde. Was denkst Du? Ich hoffe, dass ich alles einigermaßen verständlich angeben konnte und bin nun gespannt auf Deine Antwort. Danke & schöne Grüße, Ingo Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 11. September 2009 Melden Teilen Geschrieben 11. September 2009 A.) Unter "Computerkonf.\Admin.Vorlagen\Win-Komp.\Win-Update" habe ich bei "Clientseitige Zielzuordnung aktivieren" AKTIVIERT angehakt. Dort steht ja u.a.: 1) "Wenn der Status auf "Deaktiviert" oder "Nicht konfiguriert" festgelegt ist, werden keine Zielgruppeninformationen an den Microsoft Updatedienst im Intranet gesendet...". -> Ich würde ja eher vermuten, dass AKTIVIERT richtig ist. Oder wie ist Deine Meinung? Wenn Du die Einstellung aktivierst, mußt Du auch Gruppennamen angeben, die bereits genauso auf dem WSUS existieren. Und auf dem WSUS mußt Du in den Optionen das auch so einstellen: http://www.grurili.de/Bilder/WSUS3_48.gif 2) "Wenn durch den Microsoft Updatedienst mehrere Zielgruppen unterstützt werden, können durch diese Richtlinie mehrere, durch Semikolons getrennte Gruppennamen angegeben werden. Andernfalls muss eine einzelne Gruppe angegeben werden." -> Dort habe ich "Nicht zugewiesene Computer" eingetragen. Da ich aber auch eine zusätzliche Gruppe "Server" habe... sollte ich die auch noch zusätzlich eintragen? Nicht zugewiesene Computer ist eine Default Gruppe im WSUS. Die solltest Du an dieser Stelle nicht angeben. Wenn die Clients in die Gruppe Server eingeordnet werden sollen, dann trag die Gruppe Server ein. Ansonsten sind die Clients ja auch recht schnell manuell in die passenden Gruppen verschoben. Ausser Du hast tausende, aber das glaub ich jetzt mal nicht. ;) B.) Unter "Benutzerkonf.\Admin-Vorl.\Win-Komp.\Win-Update" habe ich unter der Option "Updates inst. und herunterfahren im Dialogfeld Windows herunterfahren nicht anzeigen" NICHT KONFIGURIERT angehakt. Dort steht ja u.a.: 1) "Durch Aktivieren dieser Richtlinieneinstellung wird die Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht angezeigt, auch wenn Updates zum Installieren verfügbar sind und der Benutzer die Option "Herunterfahren" im Startmenü auswählt." 2) "Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" angezeigt, falls Updates verfügbar sind, wenn der Benutzer die Option "Herunterfahren" im Startmenü auswählt." -> Da würde ich doch auch eher vermuten, dass NICHT KONFIGURIERT richtiger wäre, als AKTIVIERT, wie es dort (siehe Link) angegeben wurde. Was denkst Du? Das mußt Du wissen. Ich geh davon aus, die Benutzer achten nicht drauf was da steht und klicken einfach auf OK. Wenn dann noch Updates installiert werden, klingelt das Telefon. Deshalb gibts das bei mir gar nicht. Bei mir ist die Einstellung aktiviert. Zitieren Link zu diesem Kommentar
Gast imebro Geschrieben 14. September 2009 Melden Teilen Geschrieben 14. September 2009 @ Sunny61 Danke für die weitere Erklärung. Die Einstellung in den WSUS-Optionen habe ich genauso getroffen, wie auf Deinem Bild vorgeschlagen. Das mit der Default-Gruppe (Nicht zugewiesene Computer) verstehe ich nicht so ganz. Das ist doch auch eine normale Gruppe. Ob ich diese jetzt z.B. "Clients" nenne und eine andere dazu noch "Server" oder ob sie einfach mit dem Namen so bestehen bleibt, dürfte doch egal sein... Bei mir sind die Clients in "Nicht zugewiesene Computer" und die Server in einer Gruppe "Server". Somit können beide Gruppen auch unterschiedliche Updates erhalten. Mir war nur nicht klar, ob ich nun beide Gruppen durch Semikolon getrennt dort eintragen MUSS oder nicht? :-) Beim letzten Punkt habe ich noch Fragen: Wenn ich "Updates inst. und herunterfahren" nun aktiviere und diese Option dann an den Clients beim herunterfahren NICHT mehr angezeigt wird - werden dann die Updates dennoch installiert... erst am nächsten Tag installiert... oder wie/wann? ;-) Danke nochmals, Ingo Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 18. September 2009 Melden Teilen Geschrieben 18. September 2009 Die Einstellung in den WSUS-Optionen habe ich genauso getroffen, wie auf Deinem Bild vorgeschlagen. Gut. Das mit der Default-Gruppe (Nicht zugewiesene Computer) verstehe ich nicht so ganz. Das ist doch auch eine normale Gruppe. Ob ich diese jetzt z.B. "Clients" nenne und eine andere dazu noch "Server" oder ob sie einfach mit dem Namen so bestehen bleibt, dürfte doch egal sein... Bei mir sind die Clients in "Nicht zugewiesene Computer" und die Server in einer Gruppe "Server". Somit können beide Gruppen auch unterschiedliche Updates erhalten. Mir war nur nicht klar, ob ich nun beide Gruppen durch Semikolon getrennt dort eintragen MUSS oder nicht? :-) Wenn ein Client Mitglied in 2 Gruppen sein soll, dann mußt Du die beiden Gruppen getrennt durch ein Semikolon in der GPO angeben. Ansonsten mußt Du 2 GPOs erstellen und auf die entsprechenden OUs mit den Objekten verlinken. Beim letzten Punkt habe ich noch Fragen: Wenn ich "Updates inst. und herunterfahren" nun aktiviere und diese Option dann an den Clients beim herunterfahren NICHT mehr angezeigt wird - werden dann die Updates dennoch installiert... erst am nächsten Tag installiert... oder wie/wann? ;-) Es gibt 2 Möglichkeiten die Updates zu installieren. 1. Beim Herunterfahren Updates installieren. Beim nächsten Reboot werden dann die Dateien getauscht und der Rechner ist sicherer geworden. 2. Zu einem vorgegebenen Zeitpunkt per Option 4 installieren. Die Installation hat zwar stattgefunden, aber um auch die gewünschte Sicherheit zu bekommen, muß der Rechner gebootet werden. Erst beim nächsten Booten ist der Rechner sicherer. Such dir eine Möglichkeit aus. Wer die Wahl hat, hat die Qual. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.