none
WSUS AD integration, PC per Script unterteilen RRS feed

  • Frage

  • Hallo zusammen,

    ist seitens MS auch wieder einmal ein WSUS update geplant? Viele Kunden leiden ja schon länger an Kleinigkeiten. zb. kann man keine IE 8,9,10 Updates weglassen bzw. ausblenden. Selbes mit Itanium, wir haben im Unternehmen keine Itanium.

    Nun zu meiner Frage: wir stellen demnächst einige PC auf Windows 10 um. Die PC sind im AD in einer eigenen OU. In einer MS-Access Inventaranwendung sind sie auch unterteilt. Derzeit ist es im WSUS manuelle Handarbeit, jeden PC der Windows 10 hat in eine eigenen Computergruppe zu verschieben, da künftige große Microsoft Upgrades nur auf diese PC angewendet werden dürfen. Ein Win10 Upgrade geht ja leider auch auf Windows 7. Dies wäre bei uns schlimm, da über Nacht dann alle Win7 PC upgegradet wäre.

    Wie kann man jetzt per Script (wsus oder Powershell) oder AD die PCs automatisch im WSUS einer Gruppe zuordnen?

     


    Chris

    Montag, 11. April 2016 06:53

Antworten

  • Hallo  Chris,

    dein WSUS interessiert sich nicht für AD und OUs.

    Du hast allerdings zwei Möglichkeiten die Clients auf dem WSUS in Gruppen einzuteilen:

    1. wie du es bisher machst, manuell den Client so bald er am WSUS in "Nicht zugewiesene Computer" auftaucht in die richtige Gruppe schieben. Dazu gehört im WSUS unter "Optionen" - "Computer" die Einstellung "Update Services-Konsole verwenden"
    2. oder du sagst dem Client mittels einem geeigneten GPO (oder REG-Eintrag) zu welcher WSUS Computergruppe er gehören soll - und stellst am WSUS unter "Optionen" - "Computer" auf "Gruppenrichtlinie oder Registrierungseinstellung auf Computern verwenden"
      Im GPO findest du das unter "Windowsupdate" - "Clientseitige Zielzuordnung aktivieren".

    Die Struktur wie deine OUs, GPOs, Filterung, Genehmigungsrichtlinie aussehen muss um die richtigen Rechner zu treffen ist "von Außen" schwer zu beurteilen - das müsstest du dir selbst überlegen.

    Gruß TechnikSC885

    • Als Antwort markiert -- Chris -- Montag, 18. April 2016 07:54
    Freitag, 15. April 2016 11:57
  • Am 15.04.2016 schrieb chris__2012:

    habe es leider noch nicht ganz verstanden. Mir fehlt der Zusammenhang AD GPO und WSUS ComputerGruppe.

    wir haben im AD zb. zwei OUs

    WIN10

    WIN7

    Wenn ich nun zwei WSUS GPO (mit WSUS Servername und Port) eine unter Win10 erstelle und eine unter Win7 habe, laden trotzdem alle vom Win7 (in der GPO kann ich ja nur Servername und Port angeben) auch die Patches vom WSUS und somit auch für Win10 sofern approved?

    Du erstellst 3 GPOs. In einem GPO definierst Du den WSUS und weitere
    Dinge. Ein GPO nur mit dem Gruppennamen für W7, ein weiteres GPO nur
    mit Gruppennamen für W10. Das GPO für W7 auf die OU für W7 verlinken,
    das GPO für W10 auf die OU für W10. Du kannst natürlich auch die
    beiden GPOs auf der Domain verlinken, dann solltest Du aber entweder
    einen WMI-Filter in den GPOs verwenden, oder mit Sicherheitsgruppen
    arbeiten.

    Wie weiß der WSUS und der approved Patch das er nur für PC im AD unter Win10 angewendet werden darf?

    Wenn die Clients sauber in den Gruppen einsortiert werden und Du nur
    für die jeweiligen Gruppen im WSUS die Updates freigibst, funktioniert
    es wie gewünscht.

    Ich darf auf keinen Fall Win10 Upgrades (diese gelten ja auch für Win7) auf alle Windows 7 Client verteilen! Das wäre der Horror wenn Montags alle 1000 Rechner auf Windows 10 wären. Zig Anwendungen würden sicher nicht gehen.

    Dann heißt es sauber und ordentlich testen. Aber bei 1000 Rechnern
    solltest Du vielleicht mit einem anderen Tool arbeiten.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    • Als Antwort markiert -- Chris -- Montag, 18. April 2016 07:54
    Freitag, 15. April 2016 19:56

Alle Antworten

  • Am 11.04.2016 schrieb chris__2012:

    ist seitens MS auch wieder einmal ein WSUS update geplant? Viele Kunden leiden ja schon länger an Kleinigkeiten. zb. kann man keine IE 8,9,10 Updates weglassen bzw. ausblenden. Selbes mit Itanium, wir haben im Unternehmen keine Itanium.

    Kommt auf das OS an, auf dem der WSUS installiert ist. Wenn das ein
    W2008R2 ist, hast Du verloren. Bei einem W2012 und höher hast Du die
    Möglichkeit einen Hotfix zu installieren, der dir anschließend
    Upgrades für W10 als Klassifikation bringt.

    Nun zu meiner Frage: wir stellen demnächst einige PC auf Windows 10 um. Die PC sind im AD in einer eigenen OU. In einer MS-Access Inventaranwendung sind sie auch unterteilt. Derzeit ist es im WSUS manuelle Handarbeit, jeden PC der Windows 10 hat in eine eigenen Computergruppe zu verschieben, da künftige große Microsoft Upgrades nur auf diese PC angewendet werden dürfen. Ein Win10 Upgrade geht ja leider auch auf Windows 7. Dies wäre bei uns schlimm, da über Nacht dann alle Win7 PC upgegradet wäre.

    Wie kann man jetzt per Script (wsus oder Powershell) oder AD die PCs automatisch im WSUS einer Gruppe zuordnen?

    Das geht recht einfach mit Hilfe eines GPOs. In den Einstellungen zu
    Windows Update hast Du ja die Möglichkeit eine Gruppe mit anzugeben.
    Du erstellst dir also ein GPO in dem es nur diese eine W10 Gruppe
    gibt, dieses GPO verlinkst Du auf die OU in der die W10 Clients sind.
    Schon bekommen nur die W10 Clients nur diese Gruppe per GPO, für die
    anderen OUs kannst Du natürlich eigene GPOs mit diesen Einstellungen
    machen und passend verlinken.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Montag, 11. April 2016 16:35
  • Hallo Winfried,

    danke für die INFOs und für den Tipp. Sorry für die Rückfrage, aber kannst du mir das bitte nochmals genauer beschreiben?

    Im WSUS habe ich unter Option - Computer den Punkt "User Group Policy or registry Settings on Computer" gefunden. Der gehört vermutlich aktiviert.

    bei Updates Approv oder Optionen Classification habe ich nicht gefunden wo ich eine GPO angeben könnte.

    GPO erstellen ist klar dann eine W10 Windows NT Security Group - oder?


    Chris

    Dienstag, 12. April 2016 06:22
  • Im WSUS habe ich unter Option - Computer den Punkt "User Group Policy or registry Settings on Computer" gefunden. Der gehört vermutlich aktiviert.

    bei Updates Approv oder Optionen Classification habe ich nicht gefunden wo ich eine GPO angeben könnte.

    GPO erstellen ist klar dann eine W10 Windows NT Security Group - oder?

    Use Group Policy mußt Du dann in den Optionen aktivieren. Aber Achtung! Du mußt dann sicherstellen, dass jeder Computer in der Registry die passende Gruppe drin stehen hat!

    Du kannst natürlich das GPO mittels Sicherheitsgruppe filtern, Du kannst das GPO auch direkt auf die OU verlinken, in der die W10 Clients sind. Oder liegen in der OU noch andere OS-Syteme?


    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 12. April 2016 10:44
  • habe es leider noch nicht ganz verstanden. Mir fehlt der Zusammenhang AD GPO und WSUS ComputerGruppe.

    wir haben im AD zb. zwei OUs

    WIN10

    WIN7

    Wenn ich nun zwei WSUS GPO (mit WSUS Servername und Port) eine unter Win10 erstelle und eine unter Win7 habe, laden trotzdem alle vom Win7 (in der GPO kann ich ja nur Servername und Port angeben) auch die Patches vom WSUS und somit auch für Win10 sofern approved?

    Wie weiß der WSUS und der approved Patch das er nur für PC im AD unter Win10 angewendet werden darf?

    Ich darf auf keinen Fall Win10 Upgrades (diese gelten ja auch für Win7) auf alle Windows 7 Client verteilen! Das wäre der Horror wenn Montags alle 1000 Rechner auf Windows 10 wären. Zig Anwendungen würden sicher nicht gehen.


    Chris

    Freitag, 15. April 2016 10:37
  • Hallo  Chris,

    dein WSUS interessiert sich nicht für AD und OUs.

    Du hast allerdings zwei Möglichkeiten die Clients auf dem WSUS in Gruppen einzuteilen:

    1. wie du es bisher machst, manuell den Client so bald er am WSUS in "Nicht zugewiesene Computer" auftaucht in die richtige Gruppe schieben. Dazu gehört im WSUS unter "Optionen" - "Computer" die Einstellung "Update Services-Konsole verwenden"
    2. oder du sagst dem Client mittels einem geeigneten GPO (oder REG-Eintrag) zu welcher WSUS Computergruppe er gehören soll - und stellst am WSUS unter "Optionen" - "Computer" auf "Gruppenrichtlinie oder Registrierungseinstellung auf Computern verwenden"
      Im GPO findest du das unter "Windowsupdate" - "Clientseitige Zielzuordnung aktivieren".

    Die Struktur wie deine OUs, GPOs, Filterung, Genehmigungsrichtlinie aussehen muss um die richtigen Rechner zu treffen ist "von Außen" schwer zu beurteilen - das müsstest du dir selbst überlegen.

    Gruß TechnikSC885

    • Als Antwort markiert -- Chris -- Montag, 18. April 2016 07:54
    Freitag, 15. April 2016 11:57
  • Am 15.04.2016 schrieb chris__2012:

    habe es leider noch nicht ganz verstanden. Mir fehlt der Zusammenhang AD GPO und WSUS ComputerGruppe.

    wir haben im AD zb. zwei OUs

    WIN10

    WIN7

    Wenn ich nun zwei WSUS GPO (mit WSUS Servername und Port) eine unter Win10 erstelle und eine unter Win7 habe, laden trotzdem alle vom Win7 (in der GPO kann ich ja nur Servername und Port angeben) auch die Patches vom WSUS und somit auch für Win10 sofern approved?

    Du erstellst 3 GPOs. In einem GPO definierst Du den WSUS und weitere
    Dinge. Ein GPO nur mit dem Gruppennamen für W7, ein weiteres GPO nur
    mit Gruppennamen für W10. Das GPO für W7 auf die OU für W7 verlinken,
    das GPO für W10 auf die OU für W10. Du kannst natürlich auch die
    beiden GPOs auf der Domain verlinken, dann solltest Du aber entweder
    einen WMI-Filter in den GPOs verwenden, oder mit Sicherheitsgruppen
    arbeiten.

    Wie weiß der WSUS und der approved Patch das er nur für PC im AD unter Win10 angewendet werden darf?

    Wenn die Clients sauber in den Gruppen einsortiert werden und Du nur
    für die jeweiligen Gruppen im WSUS die Updates freigibst, funktioniert
    es wie gewünscht.

    Ich darf auf keinen Fall Win10 Upgrades (diese gelten ja auch für Win7) auf alle Windows 7 Client verteilen! Das wäre der Horror wenn Montags alle 1000 Rechner auf Windows 10 wären. Zig Anwendungen würden sicher nicht gehen.

    Dann heißt es sauber und ordentlich testen. Aber bei 1000 Rechnern
    solltest Du vielleicht mit einem anderen Tool arbeiten.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    • Als Antwort markiert -- Chris -- Montag, 18. April 2016 07:54
    Freitag, 15. April 2016 19:56