Automatischer Neustart trotz aktiver GPO mit Option "Keinen automatischen Neustart..."

[diekotte 0]

Guten Morgen,

ich bin relativ neu hier im Unternehmen und die User klagen, dass Sie morgens kurz nach dem Hochfahren der Rechner schon gezwungen werden, Ihre Rechner neu zu starten, aufgrund von Updates.
Nun habe ich mir mal die vorhandenen Gruppenrichtlinie angesehen und festgestellt, dass dies eigentlich gar nicht sein kann, da hier die Option "Keinen automatischen Neustart...." aktiviert ist.
Es gibt auch keine anderen Gruppenrichtlinien die dazwischen haken könnten. Ich habe alle kontrolliert und überall sind die Einstellungen für Windows Updates nicht konfiguriert

Die Richtlinie hängt direkt unter der Domäne(Verknüpft). In allen OU's ist die Vererbung aktiv. In der Delegierung ist die Gruppe Authentifizierte Benutzer mit Leserechten eingetragen.
Die Richtlinie wird auch gezogen.
Die Eintragungen in der Registry unter sind auch korrekt vorhanden: "NoAutoRebootWithLoggedOnUsers - Wert 1"

Ich bin übrigens in einer anderen OU und bei mir tritt das Problem nicht auf. Ich kann aber nicht feststellen, welche Unterschiede dafür verantwortlich sein könnten.
Ich habe mal einmal ein gpresult von mir und von einem betreffenden User angehängt.
Was auffällt: Die User bekommen noch die Richtlinie der lokalen Gruppe. Bei mir wird die abgelehnt. Warum?

Könnt ihr mir einen Tipp geben, was da schief läuft?

Vielen Dank schon mal für eure Hilfe

Viele Grüße
Maria

Mein GPRESULT (OU - Domänen-Administratoren)

RSOP-Daten für DOMÄNE\admin.ABC auf XYZ025: Protokollmodus
Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 10.0.18363
Standortname: Nicht zutreffend
Roamingprofil:Nicht zutreffend
Lokales Profil: C:\Users\admin.ABC
Langsame Verbindung? Nein


BENUTZEREINSTELLUNGEN
CN=Admin M. ABC,OU=Administration,OU=Benutzer,DC=DOMÄNE,DC=LOCAL
Letzte Gruppenrichtlinienanwendung: 25.05.2020, um 12:32:17
Gruppenrichtlinieanwendung von: DOMÄNE-DC-01.DOMÄNE.LOCAL
Schwellenwert für langsame Verbindung:500 kbps
Domänenname: DOMÄNE
Domänentyp: Windows 2008 oder höher

Angewendete Gruppenrichtlinienobjekte
Default Domain Policy

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
Domänen-Benutzer
Jeder
Benutzer
Administratoren
INTERAKTIV
KONSOLENANMELDUNG
Authentifizierte Benutzer
Diese Organisation
LOKAL
ESX Admins
Domänen-Admins
Von der Authentifizierungsstelle bestätigte ID
Abgelehnte RODC-Kennwortreplikationsgruppe
Hohe Verbindlichkeitsstufe



GPRESULT eines betroffenen Users

C:\Users\M.LMN>gpresult /r

Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
© 2019 Microsoft Corporation. Alle Rechte vorbehalten.

Am ‎25.‎05.‎2020 um 10:46:56 erstellt


RSOP-Daten für DOMÄNE\M.LMN auf OPQ010: Protokollmodus
Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 10.0.18363
Standortname: Nicht zutreffend
Roamingprofil:Nicht zutreffend
Lokales Profil: C:\Users\M.LMN
Langsame Verbindung? Nein


BENUTZEREINSTELLUNGEN
CN=LMN\, M.,OU=Benutzer,OU=Barsbuettel,DC=DOMÄNE,DC=LOCAL
Letzte Gruppenrichtlinienanwendung: 25.05.2020, um 10:45:35
Gruppenrichtlinieanwendung von: DOMÄNE-DC-01.DOMÄNE.LOCAL
Schwellenwert für langsame Verbindung:500 kbps
Domänenname: DOMÄNE
Domänentyp: Windows 2008 oder höher

Angewendete Gruppenrichtlinienobjekte
p-Benutzer
Default Domain Policy
Richtlinien der lokalen Gruppe

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
Domänen-Benutzer
Jeder
Administratoren
Benutzer
INTERAKTIV
KONSOLENANMELDUNG
Authentifizierte Benutzer
Diese Organisation
LOKAL
Von der Authentifizierungsstelle bestätigte ID
Hohe Verbindlichkeitsstufe

[Sunny61 806]

Zeig doch lieber das was in der Registry auf den Clients ankommt:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

 

BTW: Du arbeitest mit einem Domain Admin an einem Client? Und ein Benutzer ist Mitglied der lokalen Administratoren?

[zahni 550]

Automatische Neustarts kann man Windows 10 nicht  mehr  verhindern. Es ist  nur  möglich ein Zeitfenster zu konfigurieren, in dem keine Neustarts erfolgen. Ich meine, das Fenster darf max. 12h lang sein.

 

[Nobbyaushb 1.464]

vor 1 Stunde schrieb zahni:

Automatische Neustarts kann man Windows 10 nicht  mehr  verhindern. Es ist  nur  möglich ein Zeitfenster zu konfigurieren, in dem keine Neustarts erfolgen. Ich meine, das Fenster darf max. 12h lang sein.

Aus genau diesem Grund wecken wir unsere (Büro)-Rechner um 18:15h auf, lassen die Updates machen, shutdown und um 21:00h kommt ein weiterer Wake-Call mit shutdown.

Läuft seit Monaten völlig Störungsfrei, und die User können unser Geld verdienen (und lassen uns in Ruhe...)

[Sunny61 806]

Mit den Nutzungszeiten und dem Reboot außerhalb der Nutzungszeiten kann man die User schon konfrontieren. Sie sollen schon etwas mitkriegen. So manche User warten immer auf die Updates, denn dann wissen sie das sie zuhause auch Updates installieren können/sollen. ;)

[diekotte 0]

vor 15 Stunden schrieb Sunny61:

Zeig doch lieber das was in der Registry auf den Clients ankommt:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

 

BTW: Du arbeitest mit einem Domain Admin an einem Client? Und ein Benutzer ist Mitglied der lokalen Administratoren?

Das passt schon. da hatte ich alles kontrolliert. Wsus steht korrekt drin und alle Einstellungen die ich per GPO übergeben habe, sind auch so eingetragen.

Mein Beispiel aus der Registry ist ja auch genau aus diesem Registry -Pfad:

"Die Eintragungen in der Registry unter sind auch korrekt vorhanden: "NoAutoRebootWithLoggedOnUsers - Wert 1""

 

vor 14 Stunden schrieb zahni:

Automatische Neustarts kann man Windows 10 nicht  mehr  verhindern. Es ist  nur  möglich ein Zeitfenster zu konfigurieren, in dem keine Neustarts erfolgen. Ich meine, das Fenster darf max. 12h lang sein.

 

Wenn ich das Zeitfenster auf "täglich, zwischen 07 und 19 uhr" lege, dürfte er dann doch nicht mehr rebooten oder?

Oder bootet er dann trotzdem, wenn seine "Maximalfrist" verstrichen ist?

Wo genau lege ich dieses Zeitfenster fest? 

vor 12 Stunden schrieb Nobbyaushb:

Aus genau diesem Grund wecken wir unsere (Büro)-Rechner um 18:15h auf, lassen die Updates machen, shutdown und um 21:00h kommt ein weiterer Wake-Call mit shutdown.

Läuft seit Monaten völlig Störungsfrei, und die User können unser Geld verdienen (und lassen uns in Ruhe...)

Macht ihr das scriptgesteuert?

[Sunny61 806]

Zeitfenster legt man auch im GPO fest. Kontrolliere ob Du mit den richtigen ADMX-Templates arbeitest. Bei einem Central Store musst Du die ADMX-Templates der verwendeten W10 Version in den Central Store kopieren. Falls ihr keinen Central Store habt, kannst Du die GPMC.MSC auf einem passenden Client installieren und dort aus die Versionsabhängigen GPO-Einstellungen setzen.

[Nobbyaushb 1.464]

vor 21 Minuten schrieb diekotte:

Macht ihr das scriptgesteuert?

Ja, das läuft auf einem kleinem Dienstserver (VM), der macht noch andere Kleinigkeiten, bestimmte Files kopieren usw
Die Liste der Rechner steht in einem Textfile mit IP und MAC
Einige Rechner wachen per Wake-On-LAN nicht auf, da wir da keine überflüssige Arbeit investieren wollten, steht der Boot im BIOS - das Ergebnis zählt.

[zahni 550]

vor 20 Stunden schrieb Nobbyaushb:

Aus genau diesem Grund wecken wir unsere (Büro)-Rechner um 18:15h auf, lassen die Updates machen, shutdown und um 21:00h kommt ein weiterer Wake-Call mit shutdown.

Läuft seit Monaten völlig Störungsfrei, und die User können unser Geld verdienen (und lassen uns in Ruhe...)

Wir installieren die Updates einfach um 12:00 und fertig. Wenn er dann heruntergefahren wird, ist es ok, sonst eben "vollautomatisch".

Bei SSDs bekommt die Installation überhaupt nicht mit.

[xrated2 15]

Am 25.5.2020 um 16:39 schrieb zahni:

Automatische Neustarts kann man Windows 10 nicht  mehr  verhindern. Es ist  nur  möglich ein Zeitfenster zu konfigurieren, in dem keine Neustarts erfolgen. Ich meine, das Fenster darf max. 12h lang sein.

 

Max. 18Std. ausser man schränkt die Nutzungszeit ein