Windows-Update per GPO - nur ein bestimmter User darf Updates installieren

[peterg 15]

Hallo,

 

ich würde gerne folgendes per GPO's über einen Server2008R2 (=DC) steuern.

 

1. Windows Updates sollen automatisch heruntergelanden, aber NICHT installiert werden

-> diese Einstellung habe ich gefunden

 

2. Es soll nur ein spezieller Benutzer (hier "clientadmin") die Updates installieren dürfen

-> wie/wo kann man das einstellen

 

Es geht zunächst nur um Windows 7. 

Alles User sind lokale Admins (muss so sein)

WSUS möchte ich nicht!

 

Es wäre schön, wenn ich ein paar Hilfestellungen bekomme.

 

Wie wäre das mal später mit einem Server 2016 und Windows 10?

 

Gruß,

Pit

[Sunny61 806]

1. Windows Updates sollen automatisch heruntergelanden, aber NICHT installiert werden

-> diese Einstellung habe ich gefunden

Die Benutzer sollen also selbst entscheiden, welches Update und wann installiert wird? Deine Benutzer wären die ersten auf der Welt, die das richtig machen würden.

 

2. Es soll nur ein spezieller Benutzer (hier "clientadmin") die Updates installieren dürfen

-> wie/wo kann man das einstellen

Mit einer Benutzereinstellung funktioniert das. Schau dir die zweite Benutzereinstellung genau an: https://www.wsus.de/images/WSUSGPO.png Diese Einstellung gibst Du allen Benutzern, außer dem clientadmin mit. Dann können die anderen keine Updates installieren, da sie WU nicht aufrufen können und dürfen. Sobald sie allerdings aus einer administrativen Commandline heraus den WU-Dialog aufrufen, können sie wieder installieren.

 

Es geht zunächst nur um Windows 7. 

Alles User sind lokale Admins (muss so sein)

WSUS möchte ich nicht!

Du kannst das mit dem WSUS auch sicherlich fachlich und sachlich begründen, oder? Von den lokalen Admins will ich gar nicht sprechen, denn auch das ist sicherlich nicht anders machbar, gelle? :)

 

Wie wäre das mal später mit einem Server 2016 und Windows 10?

Dabei kannst du nichts mehr so kontrollieren wie unter W7 noch.

bearbeitet 5. Juni 2017 von Sunny61

[peterg 15]

Hallo,

 

die Benutzer sollen doch nicht selbst entscheiden! Wie kommst Du darauf? Das soll ja der Clientadmin machen! Ich möchte nur, dass die empfohlen Updates im Hintergrund gelanden werden und zu einem geeigneten Zeitpunkt meldet sich der Clientandmin an und darf diese installieren. Ich warte eh immer lieber ein paar Wochen bei neuen Updates.

 

Nun zur Benutzereinstellung:

Diese habe ich auch schon gefunden, wenn ich aber den Text lese, dann verstehe ich das so, dass gar keine Updates mehr bei dem User geladen werden. Stimmt das?

 

Wenn Sie diese Einstellung aktivieren, werden alle Windows Update-Funktionen entfernt. Dies umfasst auch die Blockierung des Zugangs zur Windows Update-Website unter "http://windowsupdate.microsoft.com"vom Hyperlink "Windows Update" im Startmenü und im Menü "Extras" des Internet Explorer. Die automatische Aktualisierung von Windows wird ebenfalls deaktiviert; Sie erhalten über Windows Update keine wichtigen Updates und werden auch nicht über neue Updates informiert. Durch diese Einstellung wird auch verhindert, dass der Geräte-Manager automatisch Treiberaktualisierungen von der Windows Update-Website installiert.

 

Ich hätte gerne, dass beim angemeldteten User "Huber" die Updates im Hintergrund geladen werden.

User "Huber" darf diese aber nicht installieren

User "Clientadmin" darf die bereits unter User "Huber" geladenen Updates installieren.

 

 

 

Gruß,

Pit

[NorbertFe 2.027]

Ja und? Das ist doch so.

[MurdocX 949]

Es soll nur ein spezieller Benutzer (hier "clientadmin") die Updates installieren dürfen..

Alles User sind lokale Admins (muss so sein)

 

Ich finde das ja immer so hammer, wenn ich so eine Anforderung lese. Vergleichbar mit einem Auto. Du leihst jemand dein Auto und sagst ihm, dass er nur eine Tür der vier nutzen kann, denn die anderen seien verschlossen, weil du das nun mal so willst. Was genau hindert ihn jetzt nicht einfach das Knöpfchen der anderen Türen hoch zu ziehen und die Türe zu öffnen? Richtig, nichts....

 

Ein Admin ist ein Admin und dem steht nichts im Wege alles mit dem Computer zu tun, was ihm gerade in den Sinn kommt. Ganz zu schweigen von sämtlichen Anwendungen die diese Berechtigung für ihre Zwecke nutzen können.

 

Sorry, wenn ich sowas lese, dann wünsche ich mir immer einen "Führerschein" für Admins...  ;)

[NorbertFe 2.027]

Aber das muss doch so... ;)

[MurdocX 949]

 Aber das muss doch so...  ;)

 

Selbstverständlich  :)

 

Innerlich hegt sich der Widerstand das einfach so stehen zu lassen. Glücklicherweise hat er sich an ein Fachforum gewand, dass sein "muss" kritisch hinterfragt, auch wenn das nicht das Hauptthema ist.  ;)

[Sunny61 806]

die Benutzer sollen doch nicht selbst entscheiden! Wie kommst Du darauf? Das soll ja der Clientadmin machen! Ich möchte nur, dass die empfohlen Updates im Hintergrund gelanden werden und zu einem geeigneten Zeitpunkt meldet sich der Clientandmin an und darf diese installieren. Ich warte eh immer lieber ein paar Wochen bei neuen Updates.

Weshalb dann der Quatsch mit der manuellen Installation? Stell die Option 4 ein, die Clients downloaden die freigegebenen Updates und installieren sie beim nächsten Shutdown oder Reboot.

 

Nun zur Benutzereinstellung:

Diese habe ich auch schon gefunden, wenn ich aber den Text lese, dann verstehe ich das so, dass gar keine Updates mehr bei dem User geladen werden. Stimmt das?

Wenn es stimmen würde hätte ich es dir nicht vorgeschlagen. Und jetzt probier es aus.

[Marco31 33]

Spätestens wenn seine ersten Windows 10 Clients lustige "Funktionsupdates" ziehen und selbständig installieren wird der TO seine Ablehnung gegen den WSUS wohl nochmal überdenken... :p