none
WSUS für Außendienst über GPO deaktivieren RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Morgen liebe Leute! 

    Ich muss im vorhinein schon mal sagen das ich ganz neu auf diesem Gebiet bin und mich deswegen an euch wende! Also entschuldigt falls ich etwa Grundsätzliches übersehen habe! 

    Ich steh vor folgendem Problem: Ich soll für unseren Außendienst die per Default Domain Policy ausgerollte Policy für den WSUS deaktivieren da diese einfach zu selten mit ihren Notebooks (Windows 7) bei uns im Haus sind. Unsere GPO's werden auf einem Windows Server 2003 R2 verwaltet. Ich hab für den Außendienst also eine eigene OU angelegt und mit einem Gruppenrichtlinienobjekt alle benötigten Einstellungen getroffen. Die Notebook's sind über den Computernamen dem Gruppenrichtlinienobjekt zugeordnet. Trotzdem zieht leider die Default Domain Policy was ich nicht verstehe! Liegt es vill. daran das bei den vorgenommen Einstellungen (Automatische Updates konfigurieren - Aktiviert; Internen Pfad für den Microsoft Updatedienst angeben - Deaktiviert) dabeisteht  das sie nur auf 'Mindestens Windows 2000 Service Pack 3 oder Windows XP Professional Service Pack 1' unterstütz werden. Aber falls das der Fall ist wie regle ich das dann für Windows 7 Clients?

    Ich hoffe ich hab alle wichtigen Informationen angegeben und bedanke mich jetzt schon herzlichst für eure Hilfe!

    lg

    greentom94

    Montag, 14. Juli 2014 04:53
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 14.07.2014 schrieb greentom94:

    Ich steh vor folgendem Problem: Ich soll für unseren Außendienst die per Default Domain Policy ausgerollte Policy für den WSUS deaktivieren da diese einfach zu selten mit ihren Notebooks (Windows 7) bei uns im Haus sind.

    Es ist wirklich ganz schlecht die DDP für eigene Einstellungen zu
    verwenden. Besser ist es ein komplett eigenes GPO dafür zu erstellen.
    Warum, siehst Du jetzt ja. ;)

    Unsere GPO's werden auf einem Windows Server 2003 R2 verwaltet. Ich hab für den Außendienst also eine eigene OU angelegt und mit einem Gruppenrichtlinienobjekt alle benötigten Einstellungen getroffen. Die Notebook's sind über den Computernamen dem Gruppenrichtlinienobjekt zugeordnet. Trotzdem zieht leider die Default Domain Policy was ich nicht verstehe!

    Naja, die DDP wirst Du auf dieser OU vermutlich auch nicht deaktiviert
    haben. Solltest Du auch nicht. Erstell ein neues eigenes GPO für den
    WSUS und stell in der DDP wieder die Einstellungen auf nicht
    konfiguriert zurück.

    Ich hoffe ich hab alle wichtigen Informationen angegeben und bedanke mich jetzt schon herzlichst für eure Hilfe!

    Du kannst übrigens auch einen zweiten WSUS aufsetzen und den Clients
    den mitgeben. Dort stellst Du in den Optionen ein, dass sich die
    Clients die Updates bei WU/MU holen, aber die Genehmigungen kommen von
    deinem WSUS.

    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    • Als Antwort markiert autit Montag, 14. Juli 2014 06:42
    Montag, 14. Juli 2014 05:00
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 14.07.2014 schrieb greentom94:

    Ich steh vor folgendem Problem: Ich soll für unseren Außendienst die per Default Domain Policy ausgerollte Policy für den WSUS deaktivieren da diese einfach zu selten mit ihren Notebooks (Windows 7) bei uns im Haus sind.

    Es ist wirklich ganz schlecht die DDP für eigene Einstellungen zu
    verwenden. Besser ist es ein komplett eigenes GPO dafür zu erstellen.
    Warum, siehst Du jetzt ja. ;)

    Unsere GPO's werden auf einem Windows Server 2003 R2 verwaltet. Ich hab für den Außendienst also eine eigene OU angelegt und mit einem Gruppenrichtlinienobjekt alle benötigten Einstellungen getroffen. Die Notebook's sind über den Computernamen dem Gruppenrichtlinienobjekt zugeordnet. Trotzdem zieht leider die Default Domain Policy was ich nicht verstehe!

    Naja, die DDP wirst Du auf dieser OU vermutlich auch nicht deaktiviert
    haben. Solltest Du auch nicht. Erstell ein neues eigenes GPO für den
    WSUS und stell in der DDP wieder die Einstellungen auf nicht
    konfiguriert zurück.

    Ich hoffe ich hab alle wichtigen Informationen angegeben und bedanke mich jetzt schon herzlichst für eure Hilfe!

    Du kannst übrigens auch einen zweiten WSUS aufsetzen und den Clients
    den mitgeben. Dort stellst Du in den Optionen ein, dass sich die
    Clients die Updates bei WU/MU holen, aber die Genehmigungen kommen von
    deinem WSUS.

    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    • Als Antwort markiert autit Montag, 14. Juli 2014 06:42
    Montag, 14. Juli 2014 05:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Wird die DDP erzwungen? Wenn ja, kannst du das rückgängig machen, ohne Chaos auszulösen?

    Ansonsten unterstützte ich Winfrieds Argumentation: Die beiden Default-Richtlinien ändert man nicht!

    Montag, 14. Juli 2014 06:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried! Danke für deine super schnell Antwort! :) Werd das gleich probieren! 

    Montag, 14. Juli 2014 06:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Also ich hab das jetzt probiert und eine WSUS GPO für intern und eine für extern gemacht. Die für Intern hab ich für die ganze Domäne Verknüpft und den Zugriff für die Außendienst Gruppe verweigert! Sollte ja so funktionieren oder? Und die für extern GPO hab ich halt mit der eine Außendienst OU verknüpft!

    Aber irg. wie funktioniert's noch immer nicht! Könnt ihr mir verraten was das heißt wenn eine GPO erzwungen wird?

    Montag, 14. Juli 2014 07:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Ein GPO "Erzwingen" ist zunächst nur ein Mausklick. Rechtklick auf das GPO, Erzwungen.

    Allerdings sind die Auswirkungen dramatisch. Es ändert sich nämlich die Reihenfolge, wie GPOs abgearbeitet werden. Erzwungene GPOs werden immer zuletzt abgearbeitet.

    Du erkennst ein erzwungenes GPO am kleinen Schloss. Achte bei den OUs auf die Spalte Gruppenrichtlinienvererbung.

    Empfehlung: Weder Erzwungen noch Vererbung deaktivieren verwenden!

    Montag, 14. Juli 2014 07:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 14.07.2014 08:38, schrieb mslux:

    Ansonsten unterstützte ich Winfrieds Argumentation: Die beiden Default-Richtlinien ändert man nicht!

    Doch macht man, aber ich formuliere es mal anders:
    Man ändert darin nur, was schon drin ist, wenn es einem nicht passt, aber man fügt keine Funktion (Client Side Extension) hinzu.

    ... aber das ist jetzt Erbsen zählen :-)

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 14. Juli 2014 09:02
    |
  • Question
    Anmelden
    0
    Anmelden
    Doch macht man, ...

    Sorry, aber da muss ich energisch widersprechen! Nein. Man ändert nie etwas in den beiden Default-Richtlinien. Und das ist auch nicht

    Erbsen zählen :-)

    , sondern hat einen ganz einfachen Grund: Jeder Domänen-Admin kann das Kommando dcgpofix aufrufen. Damit werden beide Richtlinien auf ihren Anfangszustand (-inhalt) zurückgesetzt. Somit wären alle Änderungen verloren, die man jemals selbst eingepflegt hätte. So ein Zurücksetzten kann schon mal im Rahmen einer Fehlersuche sinnvoll sein. Deshalb macht man seine eigenen Änderungen immer in eigene GPOs und ändert die Verknüpfungsreihenfolge so, dass das eigene GPO "gewinnt".

    Leider hält sich Microsoft selbst oft nicht an seine eigene Empfehlung. Immer wieder liest man, dass man etwas in der DDP oder der DDCP ändern soll.

    • Bearbeitet mslux Montag, 14. Juli 2014 09:21
    Montag, 14. Juli 2014 09:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 14.07.2014 11:20, schrieb mslux:

    Doch macht man, ...

    Sorry, aber da muss ich energisch widersprechen! Nein. Man ändert nie
    etwas in den beiden Default-Richtlinien.

    Doch macht man. Was sollte passieren?

    95% der Admins haben garnicht verstanden, warum die "eigene" Richtlinie nicht funktioniert, weil sie sich per Default immer "unten" anhängt.
    Das Endergebniis ist dann oft, die Default Richtlinien werden "Erzwungen", statt die eigenen "nach oben" zu sortieren.

    Noch größer wird der Spass, wenn es (wie immer) weitere Software auf dem DC gibt, die sich im Bereich "Zuweisen von Benutzerrechten" einträgt.
    Die Pflege und Nacharbeit in einer eigenen Richtlinie steht in keinem Verhältnis. Software auf nem DC gibt es nicht? Doch gibt es. Die Praxis beweist es. Zudem gibt es divere Monitoring und Audit Tools fürs AD, die technisch nur auf einem DC laufen ...

    dcgpofix/Zurücksetzen der Richtlinien als Problem? Dafür bietet die GPMC "rechte Maustaste" -> sichern an. Das ist kein Argument. Nur ein Klick und nichts ist passiert. Das die Leute nicht sichern und ihre Workflows nicht im Griff haben ist ein anderes Problem ...

    Änderungen in den Defaults nachvollziehen? Das ist doch Stressfrei. Kennwort und Kontosperrung kennt man auswendig. Dafür brauche ich nicht mal ein Backup.

    Die Vorgaben von MIcrosoft sind Mist, warum sollte ich sie nicht ändern und an Stelle dessen einen aufwendigeren Prozess etablieren?

    Ich halte mich an meine eigene Regel: Ausser der CSE Security kommt nichts in die Defaults und ich ändere nur was schon drin ist.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 14. Juli 2014 09:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 14.07.2014 11:47, schrieb Mark Heitbrink [MVP]:

    Doch macht man. Was sollte passieren?

    den Artikel hatte ich gerade vergessen:
    http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/

    Kennwortrichtlinien NUR in der Default Domain Policy ändern, nie in einer eigenen.  Das ist zwar ein exotischer Ausreisser, aber auch der kann passieren ;-)

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 14. Juli 2014 10:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Nein. Man ändert nie etwas in den beiden Default-Richtlinien.

    Es gibt Gründe, auch dort etwas zu ändern, beispielsweise die Kennwortrichtlinien der Domäne anzupassen (da andere Möglichkeiten entweder nicht präsent sind - Funktionslevel der Domäne vor Server 2008 oder aber wenig komfortabel).

    Viele Grüße
    Olaf

    Montag, 14. Juli 2014 10:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Auch der Artikel von Nils zieht nicht. Wenn meine eigene KW-Richtlinie in die DDP übernommen wird, ich die DDP zurücksetze, findet die Übernahme anschließend wieder statt.

    Aber wir sollten diesen Thread nicht zur Diskussion ausufern lassen. Du hast deine Regel, ich habe meine. Du kannst deine nicht begründen, ich dagegen schon.

    Und deine Einschätzung, dass 95% aller Admins GPOs nicht verstehen, halte ich für reichlich überheblich!

    Montag, 14. Juli 2014 10:31
    |
  • Question
    Anmelden
    0
    Anmelden
     
    > den Artikel hatte ich gerade vergessen:
     
    Wollte ich grad mal verifizieren - minPwdLength in der Domäne per
    ADExplorer geändert und 10 Minuten gewartet - in meiner DDP kam aber nix
    an... Gibt's da ggf. noch irgendwas zu beachten?
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 14. Juli 2014 10:38
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
     
    > deine Einschätzung, dass 95% aller Admins GPOs nicht verstehen, halte
    > ich für reichlich überheblich!
     
    Ich würde sogar zu 96% tendieren :-)
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 14. Juli 2014 10:38
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Belege?
    Montag, 14. Juli 2014 10:45
    |
  • Question
    Anmelden
    0
    Anmelden
    Gibt's da ggf. noch irgendwas zu beachten?
    Ja, die Daten einer eigenen GPO werden übernommen. Und so funktioniert es auch.
    Montag, 14. Juli 2014 10:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 14.07.2014 12:45, schrieb mslux:

    Belege?

    private Statistik von über 100x 3 Tage Workshop Gruppenrichtlinien,

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 14. Juli 2014 12:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 14.07.2014 12:38, schrieb Martin Binder [MVP]:

    Wollte ich grad mal verifizieren - minPwdLength in der Domäne per
    ADExplorer geändert und 10 Minuten gewartet - in meiner DDP kam aber nix
    an... Gibt's da ggf. noch irgendwas zu beachten?

    Ich habs gerade noch mal ausprobiert, die Zeit weiss ich nicht in der dieser Intervall stattfindet, aber nach Neustart steht es in der DefDomPol drin.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 14. Juli 2014 12:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 14.07.2014 12:31, schrieb mslux:

    Auch der Artikel von Nils zieht nicht.

    Doch tut er, wenn es darum geht ein einheitliches homogenes Verhalten zu haben. Es geht nicht um "kaputt" und "nicht kaputt", sondern darum daß ich den Wert im AD Attribut ändern kann und erwarte, das es funktioniert (Übernahme in DDP und Auswirkung auf alle Konten), denn so ist die Technik definiert. (out-of-the-box)

    Du hast deine Regel, ich habe meine. Du kannst deine nicht begründen,
    ich dagegen schon.

    Seit wann ist Zeitverlust und größerer Aufwand kein Grund mehr etwas nicht zu tun?

    Das ist eine Glaubensfrage, die kein richtig oder falsch kennt. Es geht um Vorliebe.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 14. Juli 2014 12:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 14.07.2014 12:47, schrieb mslux:

    Ja, die Daten einer eigenen GPO werden übernommen. Und so funktioniert es auch.

    Ich glaube du betrachtest gerade das flasche Ziel.

    Es geht um den Rückweg, dem automatischen Schreibvorgang vom AD Attribut in die DefDomPol. Nicht um die effektive Verteilung der Einstellung einer Kennwortrichtlinie.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 14. Juli 2014 12:48
    |
  • Question
    Anmelden
    0
    Anmelden
    > Ich habs gerade noch mal ausprobiert, die Zeit weiss ich nicht in der
    > dieser Intervall stattfindet, aber nach Neustart steht es in der
    > DefDomPol drin.
     
    Jepp, inzwischen kam's an. Könnte bis max. eine Stunde sein :) Schon
    tricky...
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 14. Juli 2014 12:57
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Am 14.07.2014 schrieb greentom94:

    Also ich hab das jetzt probiert und eine WSUS GPO für intern und eine für extern gemacht.

    OK.

    Die für Intern hab ich für die ganze Domäne Verknüpft und den Zugriff für die Außendienst Gruppe verweigert!

    Beides schlecht. Die interne verknüpfst Du auf die OU, in der die
    Clients intern sind. Für die Server machst Du ein eigenes GPO und
    verlinkst es auf die Ou für die Server.

    Und die für extern GPO hab ich halt mit der eine Außendienst OU verknüpft!

    Das scheint in Ordnung zu sein. Ist denn die OU für die
    Außendienst-Computer direkt auf der Root der Domain?

    Aber irg. wie funktioniert's noch immer nicht! Könnt ihr mir verraten was das heißt wenn eine GPO erzwungen wird?

    Mach es nicht, es muß ohne erzwingen funktionieren.

    -Root der Domain
        OU-Innendienst-Computer (GPO für internen WSUS)

        OU-Außendienst-Computer (GPO für externen WSUS)

    Damit hast Du beide GPOs jeweils auf der richtigen OU liegen, sie
    wirken natürlich auf die Computer-Konten der OU. Die
    Computer-Konten müssen natürlich in der OU liegen, Gruppen alleine
    reichen nicht aus.

    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Montag, 14. Juli 2014 18:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 14.07.2014 schrieb mslux:
    Hi,

    Doch macht man, ...

    Sorry, aber da muss ich energisch widersprechen! Nein. Man ändert nie etwas in den beiden Default-Richtlinien. Und das ist auch nicht

    Da ändert MS selbst genug dran. ;) Installier mal einen Exchange ab Version
    2000. Da wird immer in der DDCP etwas eingetragen. Und sollten die beiden
    Defaults nicht da sein, bzw., wie bei einigen Kunden leider schon gesehen,
    deaktiviert, dann rennt deine Exchange Installation gegen die Wand.

    , sondern hat einen ganz einfachen Grund: Jeder Domänen-Admin kann das Kommando*dcgpofix* aufrufen. Damit werden beide Richtlinien auf ihren Anfangszustand (-inhalt) zurückgesetzt. Somit wären alle Änderungen verloren, die man jemals selbst eingepflegt hätte. So ein Zurücksetzten kann schon malim Rahmen einer Fehlersuche <http://technet.microsoft.com/de-de/libRAry/cc739095%28v=ws.10%29.aspx> sinnvoll sein. Deshalb macht man seine eigenen Änderungen immer in eigene GPOs und ändert die Verknüpfungsreihenfolge so, dass das eigene GPO "gewinnt".

    Hmm ich kenne genügend Domänen-Admins, für die ist eine Mitgliedschaft in
    der Dom-Admin Gruppe einfach nur günstig, weil sie überall lokale
    Adminrechte haben (oft gehört "GOD-Mode" :rolleyes:). Die haben weder von
    GPO geschweige denn dcgpofix jemals was gehört. ;)

    Bye
    Norbert

    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    Montag, 14. Juli 2014 20:07
    |
    Moderator