Gruppenrichtlinie um nicht gepatchte System die Anmeldung zu verweigern

[Dutch_OnE 39]

Moin,

 

weiß jemand ob es eine solche GPO oder andere Möglichkeit gibt, um Windows Clients die 2004 oder kleiner installiert haben, die Anmeldung zu verweigern?

Oder gibt es eine Möglichkeit Funktionsupdates auch automatisch zu installieren, ohne das der Anwender diese erst auswählen muss? mit oder ohne WSUS.

 

Gruß DO

[Sunny61 816]

Wenn es MSU-Dateien sind, dann kannst Du sie mit der WUSA.exe automatisiert, z.B. per Taskplaner, installieren lassen.

 

BTW: Enterprise und Education haben einen längeren Supportzeitraum, als die Pro Versionen.

[MurdocX 965]

Hi,

 

mit einem passenden WMI-Filtern und den richtigen Sicherheitseinstellungen lässt sich sowas bauen. Dadurch steigt der Supportaufwand und die Mitarbeiter können nicht arbeiten. Deshalb führt das nicht zwangsläufig zum gewollten Ziel. Besser: Geräte identifizieren und den Vorgang Remote anstoßen.

[Dutch_OnE 39]

Ich habe zum Teil einen WSUS im Einsatz. Dort gebe ich die Updates frei. Kann es sein, dass bei den W10 Clients die Funktionsupdates 20H2, 21H1 dann nicht mehr optional sondern "normal" angezeigt werden und die sich dann mit installieren?

[Dutch_OnE 39]

Kann ich WUSA auch Remote einrichten, also z.B. auf einen Server ausführen, um die Updates auf einem Client durchzuführen? (in einer Domäne)

[Sunny61 816]

vor einer Stunde schrieb Dutch_OnE:

Ich habe zum Teil einen WSUS im Einsatz. Dort gebe ich die Updates frei. Kann es sein, dass bei den W10 Clients die Funktionsupdates 20H2, 21H1 dann nicht mehr optional sondern "normal" angezeigt werden und die sich dann mit installieren?

Möglich, probier es aus. Wir geben immer nur ein OS via Baramundi als InPlace Upgrade frei. Die User können sich das dann via Kiosk manuell downloaden und den Installationszeitpunkt selbst aussuchen, ab dem Zeitpunkt x wird es gepusht, dann gibt es keinen Aufschub mehr.

[Dutch_OnE 39]

Danke für den Tipp. Das schaue ich mir mal an.

[Sunny61 816]

vor 29 Minuten schrieb Dutch_OnE:

Kann ich WUSA auch Remote einrichten, also z.B. auf einen Server ausführen, um die Updates auf einem Client durchzuführen? (in einer Domäne)

Die WUSA.EXE liegt auf jedem Client/Server, sinnvollerweise spricht man die WUSA.EXE des lokalen Client an, auf dem man das Update installieren möchte. Ich hab den Eindruck, Du dokterst an Lösungen herum ohne hier zu schreiben was genau das Problem ist. Und zwar nur das Problem und keinen Lösungesweg.

[Dutch_OnE 39]

Ich würde gerne möglichst ohne User Interaktivität die Windows Updates einspielen. Außerdem am liebsten auch ohne auf den Rechner mich aufzuschalten.

[Sunny61 816]

Updates oder InPlace Upgrades? Bei den Updates hilft es die richtigen Einstellungen im GPO zu setzen, dann wird installiert und der User bekommt nur angezeigt wenn die Maschine fertig ist und neu gestartet werden kann. Alternativ einen geplanten Task per GPP ausrollen und für zwar für jedes Update manuell.

 

Beim InPlace Upgrade ist auch ein geplanter Task eine Möglichkeit die Setup.exe auf einer Freigabe mit entsprechenden Parametern starten zu lassen. Wenn man will, kann man dem User auch die Möglichkeit geben, den Task selbst auszuführen. Oder aber über den WSUS zur Installation freigeben.

[MurdocX 965]

Microsoft hat erstmals "Best Practices" für Windows Update herausgegeben. Das sind Richtlinien an denen du dich orientieren kannst. Hierbei sollen auch selten ans Netz angesteckte Notebook zuverlässig Updates installieren. Ich hab die Richtlinien gerade noch im Test. 

 

Download Microsoft Security Compliance Toolkit 1.0 from Official Microsoft Download Center

[Dutch_OnE 39]

Super, ich danke Euch für die Antworten