none
Warum wird die Gruppenrichtlinie "Automatisches Update deaktivieren" trotz Systemneustart nicht ausgeführt RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,
    heute wurde uns unter anderem folgende Frage gestellt:
    Der Dienst „Windows Update“ soll durch eine Gruppenrichtlinie deaktiviert sein. Dies ist auch der Fall. Wenn man jedoch den Dienst manuell startet und auf „Automatisch“ stellt, deaktiviert sich dieser nicht nach dem Befehl „gpupdate „ oder gar einem Neustart des Systems. Warum ist dies so?

    Unsere Antwort bzw. unser Lösungsvorschlag darauf war:
    1.
    Der Befehl „gpupdate“ aktualisiert die lokalen und die auf Active Directory basierenden Gruppenrichtlinien.  Es wird nur überprüft, ob sich etwas in den Einstellungen der Gruppenrichtlinien verändert hat. Ist das der Fall, werden die neuen Gruppenrichtlinien ausgeführt.
    In diesem Fall wurden keine Änderungen in den Gruppenrichtlinien getätigt, weswegen auch die Gruppenrichtlinien nicht erneut ausgeführt werden.
    Unabhängig davon, ob Änderungen in den Gruppenrichtlinien ausgeübt worden sind, werden alle Gruppenrichtlinien neu angelegt und somit nochmals verrichtet, wenn der Befehl mit dem Parameter „/force“ ausgeführt wird. Mit anderen Worten: Windows ignoriert jegliche gesammelte Information und führt alle Gruppenrichtlinien nochmals aus. Nun könnte man meinen, dass solang man nichts in den Gruppenrichtlinien ändert, diese auch nicht ausgeführt werden. Dies jedoch ist falsch, da es in Windows eine Group Policy „refresh interval“ gibt, d.h. dass nach einer bestimmten Zeit alle Gruppenrichtlinien aktualisiert werden und nochmals ausgeführt werden. Für mehr Informationen bezüglich dieses Themas findet man hier[1] einen interessanten Blogeintrag.

    Warum werden dann die Gruppenrichtlinien nach einem Neustart nach dem Zeitintervall nicht ausgeführt?

    Dies liegt daran, dass Windows durch die Funktion "Startzeitoptimierung" auch bei einem Neustart nur die Gruppenrichtlinien anwendet, die sich seit dem letzten Anwenden geändert haben, wenn es nicht von der Gruppenrichtlinie anderweitig spezifiziert wurde (Eine solche Einstellung wäre beispielsweise "Process even if the Group Policy objects have not changend"). Das erneute Anwenden von Gruppenrichtlinien ist standardmäßig nicht vorgesehen, da die Einstellungen, die von Gruppenrichtlinien gesetzt werden, nach Best Practice-Empfehlungen sowieso nicht von normalen Benutzern verändert werden dürfen. Somit ist ein erneutes Anwenden der Richtlinien bei jedem Neustart unnötig. Um das Anwenden von Sicherheitsrichtlinien trotzdem zu erzwingen gibt es die Gruppenrichtlinie „Security policy processing“ (Computer Configuration\Administrative Templates\System\Group Policy).

    [1] http://sdmsoftware.com/group-policy-blog/group-policy/understanding-the-group-policy-gpupdate-command/


    Wir hoffen, vielen Besuchern der TechNet Foren durch das Posten dieses Problems und einer möglichen Lösung weiterhelfen zu können.

    Viele Grüße,
    TechNet Hotline für TechNet Online Deutschland

    Disclaimer:
    Bitte haben Sie Verständnis dafür, dass wir hier auf Rückfragen gar nicht oder nur sehr zeitverzögert antworten können.
    Es gelten für die TechNet Hotline und dieses Posting diese
    Nutzungsbedingungen, Hinweise zu Markenzeichen sowie die allgemein gültigen Informationen zur Datensicherheit sowie die gesonderten Nutzungsbedingungen für die TechNet Hotline.

    Freitag, 21. Juni 2013 15:32

Alle Antworten

  • Das stimmt nur bedingt. Wird der Dienst über die sicherheitsrichtlinien auf deaktiviert gesetzt, wird diese auch ohne /Force nach 16h (defaul) umgesetzt. Außerdem entfernt man besser das view recht auf systemkritische Dienste für lokale admins, dann kann die niemand anders definieren. Bye Norbert
    Freitag, 21. Juni 2013 19:19
    Moderator
  • Unabhängig davon, ob Änderungen in den Gruppenrichtlinien ausgeübt worden sind, werden alle Gruppenrichtlinien neu angelegt und somit nochmals verrichtet, wenn der Befehl mit dem Parameter „/force“ ausgeführt wird.

    Bitte noch mal langsam für mich (bin schon älter, ich komm bei dem Tempo heutzutage manchmal nicht mehr mit) und zum Mitschreiben:

    Änderungen werden "ausgeübt" und die Gruppenrichtlinien werden "neu angelegt" und "verrichtet"? Und was heißt das auf Deutsch?

    @Norbert: Ein Admin ist ein Admin...


    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And - of course - my coke bottle sports car

    Samstag, 22. Juni 2013 18:24
    Beantworter
  • @Norbert: Ein Admin ist ein Admin...


    Martin


    ä Korrekt, aber einfach muss Mans ihnen deswegen ja auch nicht machen. ;)
    Sonntag, 23. Juni 2013 12:34
    Moderator
  • Dann kramen wir das hier doch mal wieder raus:

    http://matthiaswolf.blogspot.de/2012/02/cses-die-ohne-richtlinienanderung.html

    Für Sicherheitseinstellungen gilt natürlich, wie Norbert schon sagt, die 16h Regel (per Default).


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Sonntag, 23. Juni 2013 13:13
    Beantworter