Cossack 10 Geschrieben 16. April 2012 Melden Geschrieben 16. April 2012 Hallo, wir haben bei uns den WSUS im EInsatz. Nun kam die Anforderung dass die Benachrichtigung "PC muss neugestartet werden" dem normalen Benutzer nicht angezeigt werden soll. Dieser soll von dem Updateprozess möglichst nichts mitbekommen. Unter Benutzerkonfiguration --> Administrative Vorlagen --> Windows Komponenten --> Windows Update ist folgendes konfiguriert: Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen [b][u]Aktiviert [/u][/b] Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen [b][u]Aktiviert [/u][/b] Zugriff auf alle Windows Update-Funktionen entfernen [b][u]Aktiviert[/u][/b] Benachrichtigungen konfigurieren: [b][u]0 - Keine Benachrichtigungen anzeigen [/u][/b] Die erste Frage: Werden mit diesen Einstellungen die Updates wie gewünscht im Hintergrund installiert und der Benutzer erhält keine Meldung dass etwas installiert wurde oder ein Neustart notwendig ist? Die Gruppenrichtlinie haben wir dann auf eine OU angewandt in welche unsere normalen Benutzer liegen. In dieser OU liegen nur benutzerobjekte. Leider wird die GPO nicht angewandt und taucht auch mittels rsop.msc nicht auf. Wenden wir die GPO auf die OUs mit den Computern an, dann sind die Einstellungen vorhanden. Problem dabei ist dass wir mit den Administrationsaccounts Zugriff auf die WSUS Funktionen brauchen um kurzfristig über die Befehlszeile Updates vom WSUS laden zu lassen (Administrationsaccounts sind in anderer OU als normale benutzer). Meine Frage ist nun, warum? Es sind doch Benutzereinstellungen und sollten doch eigentlich auch auf Benutzerobjekte angewandt werden können. Zitieren
Stefan W 14 Geschrieben 16. April 2012 Melden Geschrieben 16. April 2012 Hi, welche Positionen hast du in der Sicherheitsfilterung und in der WMI-Filterung drinnen? Was erscheint bei einem gpresult /v bei " Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet." ? lg Zitieren
Sunny61 819 Geschrieben 16. April 2012 Melden Geschrieben 16. April 2012 wir haben bei uns den WSUS im EInsatz. Nun kam die Anforderung dass die Benachrichtigung "PC muss neugestartet werden" dem normalen Benutzer nicht angezeigt werden soll. Dieser soll von dem Updateprozess möglichst nichts mitbekommen. Die zweite Benutzereinstellung aus der Beispiel GPO suchst Du: http://www.wsus.de/images/WSUSGPO.png Unter Benutzerkonfiguration --> Administrative Vorlagen --> Windows Komponenten --> Windows Update ist folgendes konfiguriert: Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen [b][u]Aktiviert [/u][/b] Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen [b][u]Aktiviert [/u][/b] Zugriff auf alle Windows Update-Funktionen entfernen [b][u]Aktiviert[/u][/b] Benachrichtigungen konfigurieren: [b][u]0 - Keine Benachrichtigungen anzeigen [/u][/b] Die erste Frage: Werden mit diesen Einstellungen die Updates wie gewünscht im Hintergrund installiert und der Benutzer erhält keine Meldung dass etwas installiert wurde oder ein Neustart notwendig ist? Richtig. Die Gruppenrichtlinie haben wir dann auf eine OU angewandt in welche unsere normalen Benutzer liegen. In dieser OU liegen nur benutzerobjekte. Leider wird die GPO nicht angewandt und taucht auch mittels rsop.msc nicht auf. Wenden wir die GPO auf die OUs mit den Computern an, dann sind die Einstellungen vorhanden. Problem dabei ist dass wir mit den Administrationsaccounts Zugriff auf die WSUS Funktionen brauchen um kurzfristig über die Befehlszeile Updates vom WSUS laden zu lassen (Administrationsaccounts sind in anderer OU als normale benutzer). Meine Frage ist nun, warum? Es sind doch Benutzereinstellungen und sollten doch eigentlich auch auf Benutzerobjekte angewandt werden können. Was ist sonst noch in der GPO eingestellt? Loopbackmode? Habt ihr sicher die Einstellungen auch nur im Benutzerteil konfiguriert? Zitieren
Cossack 10 Geschrieben 17. April 2012 Autor Melden Geschrieben 17. April 2012 @sweigl in der Sicherheitsfilterung sind nur "Authentifizierte Benutzer" enthalten. Bei gpresult /v steht die Richtlinie nicht, sie taucht aber auch gar nicht auf (auch nicht bei angewendet). @Sunny61 In der GPO ist kein Loopbackverarbeitungsmodul konfiguriert und es sind auch nur diese WSUS Einstellungen unter Benutzerkonfiguration gesetzt. Zitieren
Sunny61 819 Geschrieben 17. April 2012 Melden Geschrieben 17. April 2012 @Sunny61 In der GPO ist kein Loopbackverarbeitungsmodul konfiguriert und es sind auch nur diese WSUS Einstellungen unter Benutzerkonfiguration gesetzt. Dann muss die GPO greifen. Ist die Vererbung deaktiviert? In welcher OU liegen die Clients? Gibt es dort irgendwelche veränderten Einstellungen? Erstelle eine neue leere OU, ohne irgendwelche Vererbungen oder Einstellungen direkt in der Root der Domain. Testbenutzerobjekte hinein, WSUs GPO verlinken und an einem Client anmelden. Funktioniert es jetzt? Wenn nein, verschieb doch auch den Testclient in die OU, gpupdate /force ausführen und zweimal neu starten. Jetzt anmelden. Fehlermeldungen im Eventlog auf dem Client? Habt ihr mehrere DCs im Einsatz? Wenn ja, wurde die GPO auch ordentlich auf alle DCs repliziert? Zitieren
Cossack 10 Geschrieben 17. April 2012 Autor Melden Geschrieben 17. April 2012 Wenn der Client und der User in der OU mit der GPO liegen funktioniert es. Aber sobald sich ein Admin anmeldet hat auch dieser keinen Zugriff auf die WSUS Funktionen. Wenn wir die GPOs auf unsere bisherigen PCs anwenden, funktioniert es, aber Admins haben keinen Zugriff auf die WSUS Funktionen, obwohl die Admins nicht in der Benutzer-OU sind, auf welche die GPO angewendet wird. Eigentlich sollte die GPO doch dann nur auf die Benutzerobjekte angewendet werden die in der OU liegen auf welche die GPO zeigt, oder? Warum muss ich diese GPO zusätzlich noch auf die Computerobjekte anwenden (wodurch scheinbar die Einstellungen für alle Benutzer gelten, die sich am PC anmelden), obwohl darin nur die Benutzerkonfiguration gesetzt ist? Zitieren
Sunny61 819 Geschrieben 17. April 2012 Melden Geschrieben 17. April 2012 Wenn der Client und der User in der OU mit der GPO liegen funktioniert es.Aber sobald sich ein Admin anmeldet hat auch dieser keinen Zugriff auf die WSUS Funktionen. Was sagt ein RSOP.MSC? Bzw. ein gpresult /v auf der Commandline. Wenn wir die GPOs auf unsere bisherigen PCs anwenden, funktioniert es, aber Admins haben keinen Zugriff auf die WSUS Funktionen, obwohl die Admins nicht in der Benutzer-OU sind, auf welche die GPO angewendet wird. Da muss es etwas geben. Ist der Loopback Modus aktiviert? Eigentlich sollte die GPO doch dann nur auf die Benutzerobjekte angewendet werden die in der OU liegen auf welche die GPO zeigt, oder? Richtig. Warum muss ich diese GPO zusätzlich noch auf die Computerobjekte anwenden (wodurch scheinbar die Einstellungen für alle Benutzer gelten, die sich am PC anmelden), obwohl darin nur die Benutzerkonfiguration gesetzt ist? Loopback Modus macht das. Zitieren
Cossack 10 Geschrieben 19. April 2012 Autor Melden Geschrieben 19. April 2012 Hallo, ich poste hier mal das gpresult eines Testrechners: Betriebssystemtyp: Microsoft Windows XP Professional Betriebssystemversion: 5.1.2600 Dom„nentyp: Windows 2000 Zwischengespeichertes Profil: Lokales Profil: C:\Dokumente und Einstellungen\test_user_2 Langsame Verbindung? Nein COMPUTEREINSTELLUNGEN ---------------------- CN=NB002,OU=WSUS-Test,OU=Domain Computers,DC=Augsburg,DC=sup Zeit der letzten Gruppenrichtlinienanwendung: 19.04.2012 at 17:44:35 Gruppenrichtlinie wurde angewendet von: sup-dc01.Augsburg.sup Angewendete Gruppenrichtlinienobjekte -------------------------------------- GPO-WSUS-Clients Domain Computers XP Systemwiederherstellung deaktivieren GPO-Remotezugriff GPO-Modemoptionen setzen GPO-Windows-Search-4.0 GPO-Servergespeicherte-Profile GPO-IE8 GPO-Office2010 GPO-Windows-MediaPlayer GPO-Bildschirmsperrung GPO-Domain-User Windows Update Deaktivieren GPO-Standardlaufwerke-verbinden Default Domain Policy Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden. -----------------------------------------------------------------------GPO-Datevlaufwerk Filterung: Nicht angewendet (Leer) Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Computer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Administratoren Jeder SophosAdministrator SophosUser Benutzer NETZWERK Authentifizierte Benutzer NB002$ X_Intranet Dom„nencomputer BENUTZEREINSTELLUNGEN ---------------------- CN=test_user_2,OU=Intranet,OU=Domain Benutzer,DC=Augsburg,DC=sup Zeit der letzten Gruppenrichtlinienanwendung: 19.04.2012 at 17:44:35 Gruppenrichtlinie wurde angewendet von: sup-dc01.Augsburg.sup Angewendete Gruppenrichtlinienobjekte -------------------------------------- GPO-WSUS-Clients Domain Computers GPO-IE8 GPO-Office2010 GPO-Bildschirmsperrung GPO-Domain-User GPO-Standardlaufwerke-verbinden GPO-Datevlaufwerk Default Domain Policy Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden. -----------------------------------------------------------------------Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Windows Update Deaktivieren Filterung: Nicht angewendet (Leer) GPO-Modemoptionen setzen Filterung: Nicht angewendet (Leer) GPO-Windows-Search-4.0 Filterung: Nicht angewendet (Leer) XP Systemwiederherstellung deaktivieren Filterung: Nicht angewendet (Leer) GPO-Servergespeicherte-Profile Filterung: Nicht angewendet (Leer) GPO-Windows-MediaPlayer Filterung: Nicht angewendet (Leer) GPO-Remotezugriff Filterung: Nicht angewendet (Leer) Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Dom„nen-Benutzer Jeder SophosAdministrator SophosUser Benutzer Hauptbenutzer INTERAKTIV Authentifizierte Benutzer LOKAL SuP_WTS01 SuP_WP-Bereich RDS-Datev-Update RDS_SuP-WTS05 RDS_SuP-WTS10 RDS_Datev-Partner X_Intranet SuP_Adobe_Acrobat WTS_Pluto SuP SP-WP RDS_Datev-Intern RDS_WP-Auáendienst RDS_Non-Datev-WTS-Server X_Datev SuP_Alle Mitarbeiter WTS_Metis RDS_SuP-WTS09 GRP-RDS-User SophosUser Rechner und User (test_user_2) sind in den entsprechenden OUs. Die Richtlinie für die Benutzer heißt "GPO-WSUS-Info". Diese taucht aber nicht auf. In der Richtlinie ist der Loopback-Modus nicht gesetzt. Zitieren
Sunny61 819 Geschrieben 20. April 2012 Melden Geschrieben 20. April 2012 Was passiert in der GPO Windows Update Deaktivieren? Wenn die GPO leer ist, kannst Du sie auch gleich löschen. Die GPO ist auch auf die OU verlinkt, in der sich das Benutzerobjekt befindet? Wenn ja, habt ihr mehrere DCs? Wenn ja, funktioniert die Replikation zwischen den DCs einwandfrei? Eventlog dazu überprüfen. In der GPMC kannst Du dich zu anderen DCs verbinden. Prüf auf dem Client nach, welchen %LOGONSERVER% der Client verwendet hat. Siehst Du mit SET auf der Commandline. Zu diesem DC verbindest Du dich in der GPMC, ist dort die GPO auf die OU verlinkt? Das gleiche machst Du auch mit der DSA.MSC, auch hier prüfen ob die Objekte in der richtigen OU sind. Zitieren
Cossack 10 Geschrieben 10. Mai 2012 Autor Melden Geschrieben 10. Mai 2012 Hallo, sorry für die späte Rückmeldung. Allerdings musste ich das Thema etwas auf Eis legen. @sunny es treten keine Fehler auf. Habe es wie du geschrieben hast getestet. Habe die Einstellungen nun auch mal testhalber in eine andere GPO eingefügt, die auf der selben Hierarchie liegt. Sobald ich die Einstellungen dort einpflege werden sie übernommen (und angezeigt in rsop.msc). In der GPO werden die Laufwerke verbunden (über die neuen Funktionen des Server 2008) Ich habe dann auf die WSUS-Info GPO gelöscht und neu angelegt, erfolglos. Auch als "Erzwungen" markieren oder die Reihenfolge verändern bringt nichts. Woran könnte es denn liegen dass die Einstellungen als separate GPO nicht übernommen werden (nicht mal angezeigt), aber wenn in anderer GPO konfiguriert, diese übernommen werden? Zitieren
Sunny61 819 Geschrieben 11. Mai 2012 Melden Geschrieben 11. Mai 2012 Erstell eine neue leere OU direkt auf der Root. Testrechner und Testuser rein. Neue GPO für Windows Update erstellen und darauf verlinken. Keine andere GPO darauf verlinken. Replikation zwischen den DCs kontrollieren. Client neu starten und mit dem Testuser anmelden. Was passiert? Welche Fehlermeldungen findest Du im Eventlog auf dem Client? Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.