none
Automatische Updates bei Domänenclients verhindern RRS feed

  • Frage

  • Hallo,

    wir verteilen unsere Updates mit WSUS über mehrere Standorte.
    Das funktioniert prinzipiell sehr gut. Allerdings, Windows 10 - Clients führen auch
    eigenmächtig Update - Installationen durch. Dies führte bei machen PCs bei uns zu Problemen.

    Aus diesem Grund möchte ich das verhindern.
    Ich möchte die Updates vorher sichten, prüfen und dann mittels WSUS verteilen.
    Wie ist das möglich. Was für GPOs muss ich setzen?

    Im Anhang sehr ihr meine derzeitigen GPO - Einstellungen.

    Vielen Dank für eure Hilfe

    Mittwoch, 24. Januar 2018 08:20

Antworten

  • Zum eigentlichen Problem. Es ist doch - auch bei Windows 10 Pro nach wie vor so, dass sobald ein WSUS-Server per GPO verteilt wird, dann werden KEÍNE automatischen Updates aus dem Internet installiert. (Es sei denn man such online nach den Updates) Aber automatische Installation von Updates welche ich nicht freigegeben habe dürfen einfach nicht installiert werden. Das muss ich irgendwie sicherstellen.

    Bild-URL

    Wenn Du diese Richtlinie zusätzlich aktivierst, kann auch nicht mehr im Internet (bei den MSFT Updateservern) nach Updates gesucht werden.


    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012

    Consultant Cloud Infrastructure
    Microsoft Azure

    Donnerstag, 25. Januar 2018 06:47

Alle Antworten

  • Hallo,

    seit Windows 10 gibt es noch eine 3. Option für den internen Pfad zum Updateserver ("Alternativen Downloadserver festlegen") :

    Bild-URL

    Diese Option musst Du ebenfalls so setzen das Euer WSUS hinterlegt ist.

    Solltest Du die Option nicht haben, musst Du die ADMX-Dateien aktualisieren, entsprechend für die von Euch eingesetzte Windows 10 Version (1609, 1703 usw.). Für mehrere DCs empfiehlt es sich dies im Central Store zu tun -> HowTo


    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012

    Consultant Cloud Infrastructure
    Microsoft Azure


    • Bearbeitet SandroReiter Mittwoch, 24. Januar 2018 08:59
    • Als Antwort vorgeschlagen SandroReiter Donnerstag, 1. Februar 2018 10:37
    Mittwoch, 24. Januar 2018 08:58
  • Am 24.01.2018 schrieb STNZCL:

    wir verteilen unsere Updates mit WSUS über mehrere Standorte.

    Korrektur: Der WSUS stellt zur Verfügung. Die Clients holen sich die
    Updates ab. Der Unterschied ist klein, aber sehr fein.

    Das funktioniert prinzipiell sehr gut. Allerdings, Windows 10 - Clients führen auch
    eigenmächtig Update - Installationen durch. Dies führte bei machen PCs bei uns zu Problemen.

    Welche Probleme? Reboot ohne Not? Definiere unbedingt den
    Nutzungszeitraum in den GPOs. Habt ihr manche Updates mit einem
    Stichtag auf dem WSUS versehen? Wenn ja, dann hast Du auch eine
    Ursache gefunden. Installiert ein Client ein Update mit Stichtag, wird
    nach der Installation ohne Rückfrage neu gestartet.

    Aktualisiere deine ADMX-Templates auf deinem Central Store. Es gibt in
    W10 einen Nutzungszeitraum, innerhalb des Nutzungszeitraum wird es
    keinen Reboot geben.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Mittwoch, 24. Januar 2018 17:41
  • Am 24.01.2018 schrieb SandroReiter:

    Für mehrere DCs empfiehlt es sich dies im Central Store zu tun -> HowTo <https://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrative-vorlagen/>

    Hat er schon, sieht man recht gut auf seinen Bildern. ;)

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Mittwoch, 24. Januar 2018 17:42
  • Hallo Ihr,

    erst einmal vielen Dank für eure Hilfe.

    Ich habe den wie oben empfohlen den alternativen WSUS-Server angegeben. Der ist jetzt derselbe wie der erste. Werde es beobachten ob das was bringt. - Vielen Dank hierfür ...

    Zwischenfrage:
    Warum werden bei mir bei bestimmten GPOs - auch dort nur in machen Zeilen / Beschreibungen irgendeine
    komische Schrift angezeigt. Ich stoße zwar nur selten auf sowas - aber manchmal ist das echt nervig.
    Vor allem weil auch die Beschreibung dann so komisch aussieht. 
    Hat jemand eine Idee was ich da machen könnte?

    Zum eigentlichen Problem. Es ist doch - auch bei Windows 10 Pro nach wie vor so, dass sobald ein WSUS-Server per GPO verteilt wird, dann werden KEÍNE automatischen Updates aus dem Internet installiert. (Es sei denn man such online nach den Updates) Aber automatische Installation von Updates welche ich nicht freigegeben habe dürfen einfach nicht installiert werden. Das muss ich irgendwie sicherstellen.

    Hat jemand noch eine Idee? Tritt das bei euch nicht auf? Bin ich wieder ein Einzelfall? :-)

    Mittwoch, 24. Januar 2018 18:06
  • Hi
     
    Am 24.01.2018 um 19:06 schrieb STNZCL:
    > Warum werden bei mir bei bestimmten GPOs - auch dort nur in machen
    > Zeilen / Beschreibungen irgendeine
    > komische Schrift angezeigt.
     
    .. weil du die buggy 1607 .adml in de-DE impotiert hast. Verwende die
    von 1709.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Mittwoch, 24. Januar 2018 18:42
  • Am 24.01.2018 schrieb SandroReiter:

    Für mehrere DCs empfiehlt es sich dies im Central Store zu tun -> HowTo <https://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrative-vorlagen/>

    Hat er schon, sieht man recht gut auf seinen Bildern. ;)

    Stimmt, aber weißt Du ob er den selbst eingerichtet oder sein Kollege/Vorgänger und ob der TO dann überhaupt weiß das die Templates auch dort abgelegt werden? Ich wollte ihm nur etwas Arbeit und Zeit ersparen ;)

    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012

    Consultant Cloud Infrastructure
    Microsoft Azure

    Donnerstag, 25. Januar 2018 06:44
  • Zum eigentlichen Problem. Es ist doch - auch bei Windows 10 Pro nach wie vor so, dass sobald ein WSUS-Server per GPO verteilt wird, dann werden KEÍNE automatischen Updates aus dem Internet installiert. (Es sei denn man such online nach den Updates) Aber automatische Installation von Updates welche ich nicht freigegeben habe dürfen einfach nicht installiert werden. Das muss ich irgendwie sicherstellen.

    Bild-URL

    Wenn Du diese Richtlinie zusätzlich aktivierst, kann auch nicht mehr im Internet (bei den MSFT Updateservern) nach Updates gesucht werden.


    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012

    Consultant Cloud Infrastructure
    Microsoft Azure

    Donnerstag, 25. Januar 2018 06:47
  • Hei Ihr,

    alles gut - hab ich auch selber gemacht. Trotzdem bin ich ja für jeden Hinweis dankbar.
    Hätte ja sein können dass ich das gar nicht weiß.
    Vielen Dank euch :-)

    Donnerstag, 25. Januar 2018 07:01
  • ...also werde ich die adml 1709 updaten :-) Danke für die Info.
    Den Rest habe ich jetzt so konfiguriert - ich warte mal ab wie sich das ganze verhält.

    Kann man in der WSUS-Log sehen, von welchen Servern er die Updates anfrägt - und letztendlich bezieht?

    Vielen Dank nochmal...

    Donnerstag, 25. Januar 2018 09:14
  • Am 25.01.2018 schrieb STNZCL:

    Kann man in der WSUS-Log sehen, von welchen Servern er die Updates anfrägt - und letztendlich bezieht?

    Auf den Clients die WindowsUpdate.log per Powershell erzeugen, schon
    siehst Du mehr.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 25. Januar 2018 16:58