Jump to content

GPO wird erst nach gpupdate angewandt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi zusammen,

 

ich habe eine kleine Herausforderung mit einer GPO. Ich will über die GPO ein MSI Paket von TrendMicro an die Clients verteilen.
Nun ist es so, wenn ich den PC Neustarte wird die GPO nicht angewandt. Sobald ich allerdings ein "gpupdate /force" auf dem PC durchführe kommt sofort die Meldung, dass neue Daten bereit stehen und ein Neustart angefordert wird.

 

- Die GPO ist auf der richtigen OU verknüpft (Clients)

- Die Authentifizierten User haben lese REcht auf die GPO

- Die einzelnen PCs auf denen TM installiert werden soll ist in einer Sicherheitsgruppe und hat das GPO übernehmen Recht

 

Dies funktioniert ja auch alles sauber, wenn ich ein gpupdate durchführe.

Hat jemand eine Idee, wieso es erst nach einem gpupdate und nicht nach einem Neustart vom Rechner funktioniert?

 

Danke euch.

 

Grüße

Phil

Link zu diesem Kommentar

Weil der Rechner zu schnell startet. Handbremse anziehen, dann sollte es funktionieren. https://www.gruppenrichtlinien.de/artikel/ssd-zu-schnell-synchroner-startvorgang-nicht-moeglich/

 

Alternativ auf den WSUS Packager Publisher in Kombination mit dem WSUS umsteigen, dann funktioniert das ohne gpupdate und reboot. https://www.wsus.de/

> WSUS Package Publisher

Link zu diesem Kommentar

@Sunny61

Danke dir für die Antwort.

 

Jetzt vllt noch eine blöde Frage:

Sollte für die Wartezeit eine eigene GPO konfiguriert werden oder in die GPO mit der Verteilung mit eingefügt werden?


Wenn ich nun die GPO mit der Wartezeit konfiguriere, wird diese überhaupt gezogen? :D

Wenn die bisherige GPO für die Computerrichtlinie nicht gezogen wird, wird doch auch diese für die Wartezeit nicht gezogen, oder?

 

P.S. ES geht hier wirklich nur um eine MSI. WSUS wäre hier zu viel des guten. 

bearbeitet von Gerber
Link zu diesem Kommentar

Wir hatten das bei einem früheren AG mit W8.1 und SSDs gemacht, 30 Sekunden Wartezeit eingestellt, ab diesem Zeitpunkt gab es keine Reklamationen mehr in Sachen Laufwerke nicht vorhanden oder ähnliches. Das waren allerdings auch nur Desktop Rechner, die wurden auch nur einmal am Tag eingeschaltet. Da konnte man schon die 30 Sekunden warten.

Link zu diesem Kommentar
vor 1 Stunde schrieb NorbertFe:

Nee das geht bei halbwegs sinnvoller Konfiguration schon länger nicht mehr. Jedenfalls nicht ohne Dienste und Firewall zu konfigurieren

Schon lange nicht mehr angefasst.

Liegt wohl daran, das jeder Clientrechner durch die IT vorbereitet wird und da kommen die Basics automatisch per Install-Script mit, inclusive AV (bei uns TM bzw. Inzwischen ApexOne)

Link zu diesem Kommentar

Danke euch für die Unterstützung.

Euren Antworten gibt es natürlich nichts hinzuzufügen ;-).

Gerne würde ich dies natürlich auch über z.B. einen WSUS machen, aber für Verteilung einer einzigen Software bin ich mir momentan noch nicht sicher ob ich einen WSUS wirklich aufsetzten will.

Würdet ihr dann den WSUS Server nur zur Softwareverteilung nutzen und weiterhin die Updates übers Internet ziehen lassen?

 

Grüße

Phil
 

Link zu diesem Kommentar

Hi,

vor 46 Minuten schrieb Gerber:

Würdet ihr dann den WSUS Server nur zur Softwareverteilung nutzen und weiterhin die Updates übers Internet ziehen lassen?

dann würde ich die Updates auch entsprechend über den WSUS bereitstellen.

 

Wenn das einmalig ist oder nur selten zum Einsatz kommen soll, wäre halt auch PowerShell ein Ansatz. In ganz grob:

$Package = Get-Package -ProviderName MSI | where { $_.Name -eq "<dein Paket>" }

# ggfs. die Versionsprüfung mittels [long]$Package.Version.Replace(".","") wandeln und mittels -lt prüfen, damit nicht neuere Versionen mit einer alten überschrieben werden
if($Package.Version -ne "<neue Version>"{
	Uninstall-Package $Package
  	# ggfs. auch per msiexec.exe deinstallieren
	$InstallProc = Start-Process -FilePath $($env:windir + "\system32\msiexec.exe") -ArgumentList $("/i <Pfad zum MSI> /qb- <ggfs. Parameter> /L*v <Pfad zum Log> < ggfs. /norestart>") -PassThru -Wait
  	do{
		#Warten...	
  		Start-Sleep -Seconds 5  
  	}until($InstallProc.HasExited)
  	# An dieser Stelle bspw. mit Switch-Case den $InstallProc.ExitCode auswerten und reagiern und/oder das Logfile nach Erfolg / Misserfolg / Reboot durchforsten
}

Das lässt sich dann per StartUp-Script und/oder Aufgabe zum / auf den Client bringen und ausführen. Mit ein wenig Kreativität lässt sich die neue Version bspw. zum Paket in eine CSV legen und somit hättest du eine "kleine Softwareverteilung".

 

Generell sollte natürlich noch ein wenig (besser mehr) Logging ins Script und bspw. auch erfasst werden, falls ein Client bereits aktuell ist.

 

Gruß

Jan

bearbeitet von testperson
Link zu diesem Kommentar
vor einer Stunde schrieb Gerber:

Gerne würde ich dies natürlich auch über z.B. einen WSUS machen, aber für Verteilung einer einzigen Software bin ich mir momentan noch nicht sicher ob ich einen WSUS wirklich aufsetzten will.

Dann nimm doch den WSUS/WPP her um damit auch andere Software bereit zu stellen.

 

BTW: Es heißt aufsetzen.

vor einer Stunde schrieb Gerber:

Würdet ihr dann den WSUS Server nur zur Softwareverteilung nutzen und weiterhin die Updates übers Internet ziehen lassen?

Hä? Wie genau sieht denn jetzt dein Konzept zum patchen der Systeme aus? Jeder macht was er will? Mit einem WSUS hast Du Kontrolle und holst alle Updates nur einmal. Aber dazu solltest Du einen eigenen neuen Thread eröffnen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...