Gruppenrichtlinien remote einstellen

[TheFlyer 10]

Ich hätte da gern mal ein Problem...

 

Und zwar geht es darum, die Gruppenrichtlinien-Einstellungen auf Rechnern im Netzwerk einzustellen. Ich möchte die neuen Windows Server Update Services (WSUS) in unserem Netzwerk einsetzen. Dazu ist ja auf den angeschlossenen Rechnern eine Anpassung der Gruppenrichtlinien für das Windows AutoUpdate notwendig (z.B. IP des Servers, Zielgruppenname u.s.w.)

 

Die automatische Einstellung mit dem Group Policy Editor funktioniert allerdings nur in einer Domäne, die bei uns nicht eingerichtet ist. Wir haben ein domänenloses Netzwerk mit Win XP und Win 2k - Rechnern. Als WSUS-Server soll ein Win Server 2003 dienen.

 

Da wir uns momentan noch in der Evaluierungsphase befinden läuft auch nur eine W2k3 Enterprise Trial Version auf einem Rechner.

 

Ich bin mit meinen Bemühungen momentan auf folgendem Stand:

• Die Verteilung des aktuellen Update-Clients sowit der wuau.adm für die GPO's erfolgt per Novell-Logon-Script
  
• Die zur Zeit an den WSUS angebundenen Rechner wurden manuell (per Hand) konfiguriert
  

 

Nun möchte ich aber nicht alle 130 Rechner in unserem Netz von Hand einstellen müssen, sondern möchte das irgendwie automatisiert erledigen. Leider reicht nach meiner Erfahrung das Verändern der Registry nicht aus, um die GPO-Einstellungen anzupassen. Kann mir da jemand weiterhelfen?

 

Grüße

Dennis

[grizzly999 11]

Schau dir doch mal das Tool reg.exe (bei XP integriert an), mit dem kann man remote Registryänderungen vornehmen. Das Ganze noch in eine Batch mit FOR....DO Schleife, ist die Sache schnell erledigt.

 

 

grizzly999

[TheFlyer 10]

Das Problem ist aber, dass die Registry-Änderung alleine nicht ausreicht.

 

Ich habe schon ein .reg-File geschrieben, dass die angeblich nötigen Änderungen vornimmt und dies über Logon-Script in die Registry eingebunden. Aber das zeigt nicht den nötigen Effekt. Die GPO bleiben weiterhin "nicht konfiguriert", wenn ich sie mir anschliessend betrachte.

[edv-olaf 10]

Die GPO bleiben weiterhin "nicht konfiguriert", wenn ich sie mir anschliessend betrachte.

Geänderte GPO haben Auswirkung auf die Registry.

Eine geänderte Registry hat aber keine Auswirkungen auf die GPO.

 

Das funzt schon mit den richtigen Reg-Einrägen, selbst ausprobiert!

 

Grüße

Olaf

[TheFlyer 10]

Das funzt schon mit den richtigen Reg-Einrägen, selbst ausprobiert!

 

Hast du das beim WSUS oder anderweitig probiert? Ich habe das jetzt schon auf mehreren Rechnern getestet, also mit Änderung der Registry, aber keiner dieser Rechner hat daraufhin den WSUS-Server kontaktiert. Also scheint das hier nicht zu funktionieren.

 

Ich poste hier mal meine .reg-Datei, vieleicht ist da ja auch dein Fehler drin.

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://192.168.80.15:8530"
"WUStatusServer"="http://192.168.80.15:8530"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Evaluation"
"ElevateNonAdmins"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000c
"UseWUServer"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000000e
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:0000003c

[edv-olaf 10]

Im Gegenzug mal meine Reg-Einträge, ich habe keine Portnummer hinter der WSUS-Adresse.

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000001
"WUServer"="http://ntserver-2"
"WUStatusServer"="http://ntserver-2"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU]
"AutoInstallMinorUpdates"=dword:00000001
"NoAUShutdownOption"=dword:00000000
"NoAUAsDefaultShutdownOption"=dword:00000000
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:000005a0
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001d
"UseWUServer"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000001
[/Code]

[Kolath 10]

ja... die portadresse ist unnötig.

 

hast du mal geprüft, ob die änderungen, die das reg-file aus dem logonscript machen sollen, auch übernommen werden? kann ja auch daran liegen, dass der benutzer, der sich anmeldet, gar keine rechte hat, diesen reg-schlüssel zu ändern.

[TheFlyer 10]

ja... die portadresse ist unnötig.

 

Falsch, die Portadresse ist nötig, wenn der WSUS nicht auf Post 80 arbeitet, was er in unserer Umgebung tut, da Port 80 in der Firewall gesperrt ist.

 

Ja, die Reg-Änderungen werden auch eingetragen, da ich das per Logon-Script mit Admin-Rechten ache. Aber das löst mein Problem nicht. Die Rechner, die per .reg-Datei die Änderungen übernehmen, führen keine Kontaktaufnahme zum WSUS aus. Ändere ich die Einträge zusätzlich in den GPO, verändern sich die Reg-Einträge zwar nicht, aber die Kontaktierung funktioniert. Ich bin ratlos!

[TheFlyer 10]

Hat denn keiner eine Möglichkeit, wie ich das sonst noch einstellen kann?? Bin schon echt am Verzweifeln...!