Remove From My Forums

Windows Updates wenn User in anderer Location

Frage
0

Anmelden

Hallo Usergemeinde,

wir haben eine Domäne mit 2 Locations. Auf beiden Seiten DC und WSUS. Eine Site ist in DE und die Andere in China. Beide Standorte sind über VPN Site-to-Site verbunden. Wenn sich jetzt ein DE-User in der China-Location befindet, soll er keinerlei Windows Updates ziehen. Wie kann ich das Konfigurieren? Oder hat jemand eine bessere Idee? Von dem WSUS in China soll er keine Updates ziehen, sonst müsste ich dort vermutlich alle Updates ja auch in deutsch zur Verfügung stellen.

Gruß Alex

Freitag, 3. Mai 2019 13:26

Antworten

|

Zitieren

Antworten

1

Anmelden
Moin,

ich nehme an, mit "User" meinst Du in Wirklichkeit ein "Rechner" aus DE ist in China, denn Updates haben mit dem User normalerweise eher weniger zu tun.

Ich sähe da zwei Strategien:

tatsächlich alle DE-Updates in China mit bereitstellen (was kostet schon Platte?) und die GPO für die WSUS-URLs an den AD-Standort binden. Gerade wenn sich Maschinen über einen längeren Zeitraum im "fremden" Standort aufhalten, wäre es fahrlässig, nicht zu patchen.
wenn Du wirklich darauf bestehst, im fremden Standort nicht zu patchen, kannst Du die Policy für das *verhalten* von WSUS an den Standort binden. Dabei machst Du die Einstellung nicht im Richtlinien-Teil, sondern als Registry-Hack und nutzt das Item-Level-Targeting auf Computer-Namen, Gruppenmitgliedschaft oder Betriebssystemsprache.

Wenn man das geschickt spielt, kann man erreichen, dass alle Maschinen jeweils an ihren "heimischen" WSUS reporten (im Zweifel über VPN), aber die Updates entweder von dem ziehen, der näher ist, oder halt nur, wenn sie sich im eigenen Standort befinden.

Evgenij Smirnov

http://evgenij.smirnov.de
- Bearbeitet Evgenij Smirnov Samstag, 4. Mai 2019 21:02
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Dienstag, 18. Juni 2019 14:19
Samstag, 4. Mai 2019 18:03

Antworten

|

Zitieren
1

Anmelden
Am 06.05.2019 schrieb Alex_08:

Okay, wenn ich das am IIS vom WSUS abfangen möchte,

konfiguriere ich das bei IP and Domain Restrictions?

Da wäre es IMO an der richtigen Stelle. Lies doch mal diesen Thread
hier, ist zwar schon etwas älter aber so wie es aussieht, immer noch
aktuell.
https://groups.google.com/forum/?hl=en#!topic/microsoft.public.de.german.windows.gruppenrichtlinien/OvdWpGGB71M
Ist ja nur 12 Jahre alt. :)

Wenn Du nur Content blockierst, kann der Client nicht downloaden,
reportet wird trotzdem noch. Probier es bitte aus und gib hier
Rückmeldung, Danke.
Ein andere Variante ist noch der BITS, der Intelligente
Hintergrundübertragungsdienst. Den kann man auf 0 drehen, wenn das GPO
dann noch per WMI-Filter auf IP-Adressen aus China gefiltert wird,
könnte das natürlich auch passen.
https://wsus.de/de/HowTo/Background-Intelligent-Transfer-Services-BITS

Um den BITS zu erzwingen, muss die Übermittlungsoptimierung auf 100
per GPO gesetzt werden.
https://docs.microsoft.com/de-de/windows/deployment/update/waas-delivery-optimization
ComputerKonfiguration\Richtlinien\Administrative
Vorlagen\Windows-Komponenten\Übermittlungsoptimierung

Servus
Winfried

WSUS Package Publisher:
https://github.com/DCourtel/Wsus_Package_Publisher
HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
GPO's: http://www.gruppenrichtlinien.de
NNTP-Bridge für MS-Foren:
https://github.com/JochenKalmbach/communitybridge
GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Dienstag, 18. Juni 2019 14:18
Montag, 6. Mai 2019 18:20

Antworten

|

Zitieren

Alle Antworten

1

Anmelden

Am 03.05.2019 schrieb Alex_08:

wir haben eine Domäne mit 2 Locations. Auf beiden Seiten DC und WSUS. Eine Site ist in DE und die Andere in China. Beide Standorte sind über VPN Site-to-Site verbunden. Wenn sich jetzt ein DE-User in der China-Location befindet, soll er keinerlei Windows Updates ziehen. Wie kann ich das Konfigurieren? Oder hat jemand eine bessere Idee? Von dem WSUS in China soll er keine Updates ziehen, sonst müsste ich dort vermutlich alle Updates ja auch in deutsch zur Verfügung stellen.

Im IIS auf deinem WSUS in DE die IP-Adressen aus China sperren.

Servus
Winfried

WSUS Package Publisher:
https://github.com/DCourtel/Wsus_Package_Publisher
HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
GPO's: http://www.gruppenrichtlinien.de
NNTP-Bridge für MS-Foren:
https://github.com/JochenKalmbach/communitybridge
GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

Samstag, 4. Mai 2019 15:28

Antworten

|

Zitieren
1

Anmelden
Moin,

ich nehme an, mit "User" meinst Du in Wirklichkeit ein "Rechner" aus DE ist in China, denn Updates haben mit dem User normalerweise eher weniger zu tun.

Ich sähe da zwei Strategien:

tatsächlich alle DE-Updates in China mit bereitstellen (was kostet schon Platte?) und die GPO für die WSUS-URLs an den AD-Standort binden. Gerade wenn sich Maschinen über einen längeren Zeitraum im "fremden" Standort aufhalten, wäre es fahrlässig, nicht zu patchen.
wenn Du wirklich darauf bestehst, im fremden Standort nicht zu patchen, kannst Du die Policy für das *verhalten* von WSUS an den Standort binden. Dabei machst Du die Einstellung nicht im Richtlinien-Teil, sondern als Registry-Hack und nutzt das Item-Level-Targeting auf Computer-Namen, Gruppenmitgliedschaft oder Betriebssystemsprache.

Wenn man das geschickt spielt, kann man erreichen, dass alle Maschinen jeweils an ihren "heimischen" WSUS reporten (im Zweifel über VPN), aber die Updates entweder von dem ziehen, der näher ist, oder halt nur, wenn sie sich im eigenen Standort befinden.

Evgenij Smirnov

http://evgenij.smirnov.de
- Bearbeitet Evgenij Smirnov Samstag, 4. Mai 2019 21:02
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Dienstag, 18. Juni 2019 14:19
Samstag, 4. Mai 2019 18:03

Antworten

|

Zitieren
1

Anmelden

Hi,

Am 03.05.2019 um 15:26 schrieb Alex_08:

> [...] Wenn sich jetzt ein DE-User in der China-Location befindet, soll er

> keinerlei Windows Updates ziehen.

Das geht nicht. WUpdate ist eine Computer Konfiguration. Das

Benutzerobjekt ist egal.

Du willst, daß ein deutscher Rechner in China keine Updates erhält?

Standort Richtlinien helfen dir nicht, da sie in Abhängigkeit der IP

eine Regel anwenden.

Deine Computer sind in OUs organisiert? Wenn nicht, dann lässt sich das

leicht einrichten. Du hängst 2 GPOs mit WMI Filter an die "deutsche" OU.

Rangfolge 2: Wupdate ganz normal

Rangfolge 1: Wupdate deaktivieren, wenn WMI = Netzmaske China

zB -> select Name from Win32_IP4RouteTable where Name like '192.168.1.%'

letztere auf der OU "nach oben" sortieren.

Tschö

Mark

--

Mark Heitbrink

Homepage: http://www.gruppenrichtlinien.de - deutsch

Aktuelles: https://www.facebook.com/Gruppenrichtlinien/

GET Privacy and DISABLE Telemetry on Windows 10

gp-pack PaT - http://www.gp-pack.com/

Sonntag, 5. Mai 2019 12:35

Antworten

|

Zitieren
0

Anmelden

Am 05.05.2019 um 14:35 schrieb Mark Heitbrink:

> Standort Richtlinien helfen dir nicht, da sie in Abhängigkeit der IP

> eine Regel anwenden.

... auf der Standortebene würdest du auch 2 GP Objekte benötigen.

Eine die Wupdate anschaltet und eins mit WMI gefiltert die Wupdate

deaktiviert, wenn Win32_Operatingsystem Locale = 0407 oder OSLanguage

1031 oder vielleicht gibt der Name des Notebooks den Standort wieder etc.

Tschö

Mark

--

Mark Heitbrink

Homepage: http://www.gruppenrichtlinien.de - deutsch

Aktuelles: https://www.facebook.com/Gruppenrichtlinien/

GET Privacy and DISABLE Telemetry on Windows 10

gp-pack PaT - http://www.gp-pack.com/

Sonntag, 5. Mai 2019 19:34

Antworten

|

Zitieren
0

Anmelden

Hallo Usergemeinde,

erstmal tausend Dank für die vielen Tipps, werde ich abarbeiten.

Ja stimmt, ich meinte natürlich die Notebooks, nicht die User.

Am einfachsten klingt für mich die Geschichte mit dem IIS. Werde ich mal testen. Im "Normalfall" sind unsere Außendienstler max. 2 Wochen in China, da wäre das vermutlich der schnellste Weg.

Gruß Alex

Montag, 6. Mai 2019 06:19

Antworten

|

Zitieren
0

Anmelden

Okay, wenn ich das am IIS vom WSUS abfangen möchte,

konfiguriere ich das bei IP and Domain Restrictions?

Gruß Alex

Montag, 6. Mai 2019 12:15

Antworten

|

Zitieren
1

Anmelden
Am 06.05.2019 schrieb Alex_08:

Okay, wenn ich das am IIS vom WSUS abfangen möchte,

konfiguriere ich das bei IP and Domain Restrictions?

Da wäre es IMO an der richtigen Stelle. Lies doch mal diesen Thread
hier, ist zwar schon etwas älter aber so wie es aussieht, immer noch
aktuell.
https://groups.google.com/forum/?hl=en#!topic/microsoft.public.de.german.windows.gruppenrichtlinien/OvdWpGGB71M
Ist ja nur 12 Jahre alt. :)

Wenn Du nur Content blockierst, kann der Client nicht downloaden,
reportet wird trotzdem noch. Probier es bitte aus und gib hier
Rückmeldung, Danke.
Ein andere Variante ist noch der BITS, der Intelligente
Hintergrundübertragungsdienst. Den kann man auf 0 drehen, wenn das GPO
dann noch per WMI-Filter auf IP-Adressen aus China gefiltert wird,
könnte das natürlich auch passen.
https://wsus.de/de/HowTo/Background-Intelligent-Transfer-Services-BITS

Um den BITS zu erzwingen, muss die Übermittlungsoptimierung auf 100
per GPO gesetzt werden.
https://docs.microsoft.com/de-de/windows/deployment/update/waas-delivery-optimization
ComputerKonfiguration\Richtlinien\Administrative
Vorlagen\Windows-Komponenten\Übermittlungsoptimierung

Servus
Winfried

WSUS Package Publisher:
https://github.com/DCourtel/Wsus_Package_Publisher
HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
GPO's: http://www.gruppenrichtlinien.de
NNTP-Bridge für MS-Foren:
https://github.com/JochenKalmbach/communitybridge
GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Dienstag, 18. Juni 2019 14:18
Montag, 6. Mai 2019 18:20

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Windows Updates wenn User in anderer Location

Frage

Antworten

Alle Antworten