none
Windows 10.1809, nach SYSPREP noch Gruppenrichtlinie für Windows Update aktiv RRS feed

  • Frage

  • Hallo,

    ich habe heute Windows 10.1809 in einer VM installiert, dann in die Domäne aufgenommen und ein paar Anwendungen installiert. Zum Schluss noch per WSUS die Updates eingespielt. Die Konfiguration stammt von Gruppenrichtlinie.

    Dann als lokaler Administrator angemeldet, Rechner (bzw. VM) aus der Domäne entfernt und CopyProfil.xml ins Sysprep-Verzeichnis kopiert. Dann Sysprep ausgeführt, Image von der Installation gezogen und jetzt in einer neuen VM eingespielt.

    Es kam der Willkommensbildschirm, habe ein lokales Konto erstellen lassen (hat sicherlich Adminrechte) und Rechner ist nicht in der Domäne aufgenommen. Dann "Update" aufgerufen, ich wollte mal sehen ob da noch Updates und Treiber kommen die nicht vom WSUS stammen und war ganz überrascht weil da steht: "Einige Einstellungen werden von Ihrer Organisation verwaltet".

    Jetzt steht da das ein Definition Update .... heruntergeladen wird, steht aber schon eine Weile auf 0%.

    Ach ja... Noch mit jeder Windows 10 Version hatte ich Probleme mit unserer Firewall. Da steht als Adresse "http://proxy" drin, werde da mal die IP-Adresse eintragen.

    Die Meldung "Einige Einstellungen werden von Ihrer Organisation verwaltet" ist aber weg.

    So, mal Neustarten.

    Edge kommt ins Internet, unten im Netzwerk steht "Internetzugriff". Sieht doch gut aus.

    Update zeigt kein Text "Einige Einstellungen werden von Ihrer Organisation verwaltet". Zeigt aber Fehler an, Okay, hatte auch neu gestartet, weil es mit dem Update nicht weiterging. Mal was nach "Suchen" jetzt kommt.

    Was hätte ich vor Sysprep tun können/sollen damit Update  möglichst "jungfräulich" ist. Ich möchte irgendwann das Imag auf einem Rechner kopieren, Installieren, über Windows Update Patches und Treiber einspielen und dann zur Domäne wechseln.

    Oh.. Ich sehe eben, Update wurde eingespielt.

    Donnerstag, 28. März 2019 18:24

Alle Antworten

  • Hi,
     
    Am 28.03.2019 um 19:24 schrieb ITProFromGermany:
    > [...] und war ganz überrascht weil da steht: "Einige
    > Einstellungen werden von Ihrer Organisation verwaltet".
     
    Hast du die Wupdate Werte über die Administrativen Vorlagen verteilt und
    den Rechner nach UnJoin Domain neugestartet oder kamen einige Wupdate
    Werte auch über die GPP registry? (letztere sind PREFERENCES und werden
    nie gelöscht)
     
    Davon ab: Verzichte bitte auf "CopyProfile", das kann auch bunte
    Probleme verursachen, wenn im AdminProfile noch .\Policies eingetragen
    sind. Diese sind dann nämlich nicht mehr von der Domäne verwaltet in den
    neuen Benutzerprofilen.
     
    Default User profile kannst du über "reg load" der ntuser.dat aus dem
    Default User konfigurieren und das Startmenü mit der
    Layoutmodification.xml bauen.
     
    Tschö
    Mark
    --
    Mark Heitbrink
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10
     
    Donnerstag, 28. März 2019 19:05
  • Hallo ITProFromGermany,

    die GPO setzten die Reg-Keys für den WSUS, die solltest du vor dem Sysprep entfernen. Hattest du den Client vor dem Sysprep aus der Domäne entfernt? Generell solltest du, wenn möglich einen Client vor dem Sysprep nie in der Domäne haben. Genau wegen sochen und anderen möglichen Nebeneffekten.

    Die Settings für den WSUS die per GPO kommen findest du unter: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate in der Registry.

    Ich hoffe das hilft dir.


    Viele Grüße
    Fabian Niesen
    ---
    Infrastrukturhelden.de
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own

    Donnerstag, 28. März 2019 19:29
  • Das mit der Layoutmodifikation muss ich mir vor dem großen Verteilen angucken.

    Derzeit habe ich mal den zweiten Versuch mit 10.1809 gestartet und das bekommen ein paar Arbeitskollegen dann installiert und es wird geschaut was mit unseren Anwendungen so klappt oder nicht klappt.

    Heute Morgen habe ich die Installation vor sysprep (nach entfernen aus der Domäne) ein paar mal nach Updates suchen lassen. Hat nicht geklappt, ohne "netsh winhttp import proxy source=ie" kommt Windows nicht über den Proxyserver raus.

    Klicke ich einmal auf Updates suchen gibt es zwar eine Fehlermeldung, die Meldung das die Vorgaben von Gruppenrichtlinie stammen sind dann aber weg. Kann ich mit Leben.

    Also wieder sysprep und ein Test. Klar, über Proxy kommt Windows 10 immer noch nicht. "netsh winhttp import proxy source=ie" und kurz danach haute es hin.

    Und jetzt läuft auch seit einiger Zeit Updates für Microsoft Store. Das Thema muss ich auch noch vor einem Rollout klären. Könnte sicherlich da überhaupt mal ein Update fahren bevor ich sysprep ausführe, aber wenn ich das Image dann später aufspiele erfolgen bestimmt wieder ein langer Download. (Hint: Misserable DSL-Performance hier, Glasfaser kommt aber noch die nächsten Monate, endlich tut sich hier mal was in der Gegend und das ist hier nicht das flache Land mit vielen Großstädten im Umkreis :-().

    Auf jeden Fall muss ich mir Gedanken machen was mit dem Microsoft Store passiert. Hier dürften auch Rechner stehen die kein Zugriff auf Internet erlaubt wird. Könnte natürlich bestimmte Adressen generell über Whiteliste erlauben.

    Freitag, 29. März 2019 09:47
  • Moin, 

    Wenn ihr einen nicht-Transparenten Proxy habt, und du den WSUS nicht nutzen möchtest, kommst du um Netsh nicht drumherum. Das liegt leider an dem Kontext der Sessions. Ein Transparenter Proxy oder Ausnahmen in der Firewall können da helfen. 

    Wenn ihr einen größeren Rollout vorhabt, schau dir mal das MDT an. Damit kann man viel Automatisieren. Auch Software Installation oder das Patchen von Referenz Images.


    Viele Grüße
    Fabian Niesen
    ---
    Infrastrukturhelden.de
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own

    Freitag, 29. März 2019 12:41
  • Hallo,

    es handelt sich um IPFire und transparanter Proxy wurde aktiviert. Hilft aber wohl nichts, wenn das Protokoll auf https (Port 437) wechselt. Aber so ganz tief bin ich in der Materie nicht drin.

    Aber die Tests von heute Mittag waren vielversprechend. Image in VM eingespielt, Windows Update klappt. Rechner in Domäne aufgenommen, GPO wird angewendet und Rechner sendet Statusbericht an den WSUS.

    Jetzt kann ich mich mal vertraut machen, wie ich das Startmenü vorgeben kann, was überhaupt mit dem Microsoft Store geschehen soll und was sonst noch so ansteht.

    Bisher habe ich noch keine Aktivierung mit unserem Volumenlizenzkey durchgeführt, d.h. Persomalisierungen werden von Windows 10 Pro abgeblockt.

    Wenn jemand noch Stichpunkte für die zur Verteilung einer überschaubaren Anzahl an Rechner (zweistellig) hilfreicher Techniken hat immer her damit. ;-)

    Denke aber mal ich bleibe beim Verteilen per Einspielen mit Hilfe eines Imageprogramm und dann einigen Handgriffen. Ganz unbeaufsichtigt muss das nicht sein.


    Freitag, 29. März 2019 15:41
  • Moin,

    437 wäre ein komischer Port für HTTPS, sollte 443 sein. So lange der Transparente Proxy auf 443 läuft und das Routing funktioniert, sollte eigentlich keine Konfiguration nötig schein. Deshalb Transparent, weil der Client ihn nicht sieht.

    Wegen dem MDT, schau mal hier: https://docs.microsoft.com/de-de/windows/deployment/deploy-windows-mdt/deploy-windows-10-with-the-microsoft-deployment-toolkit, ist kein Hexenwerk solange ihr Volumen Lizenzen habt. Ich habe zur Einrichtung in meinem Test Labor 2,5 Tage gebraucht (War meine erste Installation). Seit dem installiere ich die Test Systeme mit nur wenigen Definitionen zum Start vollautomatisch. Inkl. Office, Acrobat Reader und Browser Installationen. Ich hab einen Artikel geschrieben für die unbeaufsichtigte Software Installationen von ein paar Standard Programmen, vielleicht hilft dir das so oder so. 


    Viele Grüße
    Fabian Niesen
    ---
    Infrastrukturhelden.de
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own

    Samstag, 30. März 2019 05:32