locked
Filtrage des MAJ avec WSUS RRS feed

  • Question

  • Bonjour,

    Mes postes utilisent un serveur WSUS pour installer les mises à jour.
    Pour certains postes Windows 7, je suis obligé de ne pas installer IE9 et donc de rester en version 8.

    Dans ma console WSUS, mes ordinateurs sont organisés de cette façon :

    Tous les ordinateurs
    >Ordinateurs non attribués
    >Serveurs
    >Windows 7
    >>>IE8  (qui est un sous-groupe de Windows 7)

    Ce que j'ai fait : J'ai désapprouvé l'installation de la mise à jour "Internet explorer 9 pour windows 7 64b" (et 32b) pour le groupe "IE8".
    Mes machines qui sont dans ce groupe IE8 (et uniquement dans ce groupe) installent quand même IE9... Je ne sais pas trop comment faire pour refuser la MAJ.

    Merci par avance pour votre aide.

    Benjamin

    mardi 6 août 2013 16:14

Réponses

  • Bonjour,

    Encore une fois, merci pour ces conseils et infos.

    J'ai réussi à bloquer l'installation de IE9 en désapprouvant la MAJ pour le groupe "tous les ordinateurs" (et donc aussi pour mon groupe "IE8"). J'ai ensuite approuvé la MAJ seulement pour les groupes souhaités.

    J'ai ensuite supprimé la MAJ de mon poste, et c'est OK. Plus de MAJ en attente ! (il ne pourront pas l'installer depuis le site de Microsoft car aucun utilisateur avec pouvoir ou d'administrateur sur mon parc)

    Pour info, la MAJ IE9 , n'est pas compatible avec l'option "approuve for removal".

    Merci pour le "chemin" vers la GPO, c'est toujours utile de l'avoir.

    Benjamin

    vendredi 9 août 2013 08:12
  • Bonjour,

    Merci pour ces conseils. 
    Cependant, l'approbation automatique n'a selon moi aucun impact sur mon problème. La mise à jour est bien marquée comme désapprouvée pour mon groupe d'ordinateurs "IE8".

    Le problème est que, dès que je supprime la MAJ windows Internet Explorer 9 sur une machine, après le reboot de la machine, IE9 est directement téléchargé sur le poste et en attente de redémarrage pour l'installation.

    Je ne vois vraiment pas où se situe le problème.

    Merci par avance.

    Benjamin

    Salut Benjamin,

    Il faut que tu choisisses Approve... > Approve for removal sur ton sous groupe d'ordinateurs.
    Ca va faire un rollback des patchs qui ont été appliqués à IE9, mais cela ne désintallera pas IE9 car ce n'est pas prévu d'installer IE8.

    Ensuite, pour ce qui est de bloquer l'installation de IE9 sur les postes en windows 7, le mieux est de passer par une GPO et de faire une communication auprès des utilisateurs car si tu as des utilisateurs avec des comptes Power User ou Administrator, ils pourront installer eux-même la mise à jour en allant directement sur le site de Microsoft ; et ce même si tu contrôles les MàJ avec WSUS.

    Si jamais, la clé est la suivante : Computer Configuration | Administrative Templates | Classic Administrative Templates (ADM) | Windows Components | Windows Update | Automatic Updates Blockers v3.

    Tu as aussi un très bon article là dessus sur le Technet.

    Dernier point, est-ce que tu as vérifié dans les Products & Classifications que tu ne faisais aucune mise à jour pour les composants Internet Explorer ?

    Merci.

    TiGrOu.

    vendredi 9 août 2013 07:52

Toutes les réponses

  • Bonsoir,

    Avez vous créé une règle pour approuvé les mise à jour détecté par le serveur WSUS pour être installées automatiquement?

    C'est possible que le WSUS  télécharge une autre mise à jour pour IE 9 l'approuve pour l'installation si vous avez une règle déjà configuré pour approuver les mise à jour automatiquement.

    Pour ce la vous devez vérifier à chaque fois quels sont les mise à jour téléchargé et désapprouvé ou/et approuvé pour la désinstallation des mises à jour lié au IE 9, après avoir déactiver les règles qui approuvent les mises à jour pour windows 7


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    mardi 6 août 2013 21:07
    Auteur de réponse
  • Bonjour

    Thameur a raison peut être vous avez une règle automatique, vous pour créer une autre GPO pour un groupe de pc nommé xx pour vos machines afin d’exclure IE9 et par la suite reconfigurer une autre règle automatique avec le produit et classification que vous voulez sans IE9

    ci-dessous un imprime ecran des regles

    merci


    Partager c'est avancer : Votez!SVP


    mercredi 7 août 2013 08:55
  • Bonjour,

    J'ai bien une règle d'approbation automatique (celle par défaut) qui approuve les MAJ Critiques et MAJ de sécurité.
    Internet Explorer 9 est classifié en tant que "simple" mise à jour (donc pas d'approbation automatique).

    J'ai remarqué une chose dans l'appartenance des machines aux groupes. On peut modifier l'appartenance d'une machine et la placer (dans mon cas) dans le groupe IE8 uniquement. Par contre, la machine reste obligatoirement dans le groupe "Tous les ordinateurs".

    Que se passe-t-il alors si on approuve une MAJ pour le groupe "Tous les ordinateurs" que l'on désapprouve la même MAJ pour un sous groupe ? Quelle règle prend le dessus sur l'autre ?

    Voir Image ci-dessous.

    Merci de votre retour.

    Benjamin

    mercredi 7 août 2013 08:59
  •  Bonjour Benjamin

    Si je me trompe pas normalement le faite de désapprouvé bloque la maj , mais je vous suggère de créer des règles suivants vos besoins  exemple ( pc, laptop , server ,os appli et autre ) pour une meilleurs gestion ( désactiver celle qui est en automat par defaut ) afin de ne pas avoir ce genre de pb

    slts


    Partager c'est avancer : Votez!SVP

    mercredi 7 août 2013 09:12
  • Bonjour,

    Merci pour ces conseils. 
    Cependant, l'approbation automatique n'a selon moi aucun impact sur mon problème. La mise à jour est bien marquée comme désapprouvée pour mon groupe d'ordinateurs "IE8".

    Le problème est que, dès que je supprime la MAJ windows Internet Explorer 9 sur une machine, après le reboot de la machine, IE9 est directement téléchargé sur le poste et en attente de redémarrage pour l'installation.

    Je ne vois vraiment pas où se situe le problème.

    Merci par avance.

    Benjamin

    mercredi 7 août 2013 09:47
  • Bonjour Benjamin

    je viens de verifier sur mon infra, il n y a pas de produit IE version je pense c'est du au produit ? dans mon infra j'utilse que maj securite , critique et sp OS

    slts


    Partager c'est avancer : Votez!SVP

    mercredi 7 août 2013 10:09
  • Bonjour,

    Merci pour ces conseils. 
    Cependant, l'approbation automatique n'a selon moi aucun impact sur mon problème. La mise à jour est bien marquée comme désapprouvée pour mon groupe d'ordinateurs "IE8".

    Le problème est que, dès que je supprime la MAJ windows Internet Explorer 9 sur une machine, après le reboot de la machine, IE9 est directement téléchargé sur le poste et en attente de redémarrage pour l'installation.

    Je ne vois vraiment pas où se situe le problème.

    Merci par avance.

    Benjamin

    Salut Benjamin,

    Il faut que tu choisisses Approve... > Approve for removal sur ton sous groupe d'ordinateurs.
    Ca va faire un rollback des patchs qui ont été appliqués à IE9, mais cela ne désintallera pas IE9 car ce n'est pas prévu d'installer IE8.

    Ensuite, pour ce qui est de bloquer l'installation de IE9 sur les postes en windows 7, le mieux est de passer par une GPO et de faire une communication auprès des utilisateurs car si tu as des utilisateurs avec des comptes Power User ou Administrator, ils pourront installer eux-même la mise à jour en allant directement sur le site de Microsoft ; et ce même si tu contrôles les MàJ avec WSUS.

    Si jamais, la clé est la suivante : Computer Configuration | Administrative Templates | Classic Administrative Templates (ADM) | Windows Components | Windows Update | Automatic Updates Blockers v3.

    Tu as aussi un très bon article là dessus sur le Technet.

    Dernier point, est-ce que tu as vérifié dans les Products & Classifications que tu ne faisais aucune mise à jour pour les composants Internet Explorer ?

    Merci.

    TiGrOu.

    vendredi 9 août 2013 07:52
  • Bonjour,

    Encore une fois, merci pour ces conseils et infos.

    J'ai réussi à bloquer l'installation de IE9 en désapprouvant la MAJ pour le groupe "tous les ordinateurs" (et donc aussi pour mon groupe "IE8"). J'ai ensuite approuvé la MAJ seulement pour les groupes souhaités.

    J'ai ensuite supprimé la MAJ de mon poste, et c'est OK. Plus de MAJ en attente ! (il ne pourront pas l'installer depuis le site de Microsoft car aucun utilisateur avec pouvoir ou d'administrateur sur mon parc)

    Pour info, la MAJ IE9 , n'est pas compatible avec l'option "approuve for removal".

    Merci pour le "chemin" vers la GPO, c'est toujours utile de l'avoir.

    Benjamin

    vendredi 9 août 2013 08:12