Hallo Zusammen

Bin wieder mal an der WSUS umgebung die ich übernommen habe und leider immer noch nicht so ist wie ich es gerne möchte.

folgendes problem habe ich immer noch:
sämtliche desktop pc's haben keine lokalen adminrechte.
ABER alle notebooks werden mit lokalen adminrechten betrieben.

dadurch erscheinen dann auch die updates direkt von microsoft und werden dummerweise von den usern zum teil auch installiert  >:(
jetzt habe ich z.B. office in der version 2003 mit SP1, andere mit SP2 und solche mit SP3....

Sunny hat mir mal folgendes geschrieben:

***
Ebenfalls ist für die User auf den Clients (nicht den Admin auf den Servern einschließen) zu empfehlen, die Benutzerkonfig zu aktivieren:  Zugriff auf alle Windows Update Funktionen entfernen.
Damit werden die systemweiten Einträge auf Windows Update entfernt, z.B. im IE ist via das Menü Extras kein Eintrag zu Windows Update mehr vorhanden. Ebenfalls gibt es keine Benachrichtigung, also kein Symbol im Systray, für angemeldete Administratoren. Dies gilt natürlich nur für User, die auch im Verwaltungsbereich der Richtlinie liegen. Obwohl im Explain nicht explizit genannt, kann diese Richtlinie auch unter W2K erfolgreich eingesetzt werden.

***

meine frage nun:

wie und wo muss ich das genau machen? so das die server und die
gruppe "informatik" nicht betroffen sind?

vielen dank schon mal für eure hilfe!

mamoch schrieb am 31.01.08 um 13:22:39:

ABER alle notebooks werden mit lokalen adminrechten betrieben.

Gibts einen Grund dafür?


mamoch schrieb am 31.01.08 um 13:22:39:

dadurch erscheinen dann auch die updates direkt von microsoft und werden dummerweise von den usern zum teil auch installiert  >:(

Dann bekommen die Notebooks die GPO nicht, oder haben keine Registry Einträge für den WSUS.




mamoch schrieb am 31.01.08 um 13:22:39:

jetzt habe ich z.B. office in der version 2003 mit SP1, andere mit SP2 und solche mit SP3....

Denkbar schlechte Ausgangssituation.


mamoch schrieb am 31.01.08 um 13:22:39:

Sunny hat mir mal folgendes geschrieben: ..... meine frage nun: wie und wo muss ich das genau machen? so das die server und die gruppe "informatik" nicht betroffen sind?

Schau dir diesen Link mal an:   (Du musst Dich Einloggen oder Registrieren

Ich weiß nicht wie die Struktur der OUs aufgebaut ist, ich kann dir nur raten, daß nicht auf Domain Ebene zu definieren.

Du brauchst also eine Benutzerdefinierte GPO, die nur auf die Benutzerobjekte im AD verlinkt ist, die es auch betreffen soll. Du kannst ja mal einen Screenshot irgendow uploaden, wo man die Struktur sieht, dann kann man dir Vorschläge unterbreiten. Namen etcl. wenn nötig, unbrauchbar machen.

also die ganze gpo struktur ist eigentlich in diesem thread hier sichtbar:
  (Du musst Dich Einloggen oder Registrieren


vielen dank schon mal..... :-?

OK, in diesem Bild hier:   (Du musst Dich Einloggen oder Registrieren
hast Du eine OU Users, auf diese OU verlinkst Du die neu erstelle WSUS-Benutzer-GPO. Stelle aber sicher, daß nur die User in der OU sind, die auch an Notebooks oder Workstation arbeiten. Wenn es da auch Benutzerobjekte hat, die die Server administrieren, dann mach eine weitere eigene OU und verschieb entsprechend die Benutzerobjekte.

Jetz alle Klarheiten beseitigt? ;)

mamoch schrieb am 31.01.08 um 13:22:39:

Bin wieder mal an der WSUS umgebung die ich übernommen habe und leider immer noch nicht so ist wie ich es gerne möchte.

Wann hat man das schonmal nach einer Übernahme? ;)


Zitat:

folgendes problem habe ich immer noch: sämtliche desktop pc's haben keine lokalen adminrechte.

Das ist doch gut und kein Problem. ;)


Zitat:

ABER alle notebooks werden mit lokalen adminrechten betrieben.

Erstens ist das eher sinnlos, zweitens aber kein Hindernis.


Zitat:

dadurch erscheinen dann auch die updates direkt von microsoft und werden dummerweise von den usern zum teil auch installiert  >:( jetzt habe ich z.B. office in der version 2003 mit SP1, andere mit SP2 und solche mit SP3....

Also das hat nichts mit lokalen Adminrechten zu tun, sondern eher damit, dass deine Notebooks in einer OU stehen, an der keine GPO hängt die die Update Konfiguration übermittelt.


Zitat:

Sunny hat mir mal folgendes geschrieben: ***

Prinzipiell richtig, hat aber mit deinem Problem NICHTS zu tun.


Zitat:

meine frage nun: wie und wo muss ich das genau machen? so das die server und die gruppe "informatik" nicht betroffen sind?

Du steckst deine Notebooks in eine eigene OU und definierst dort die entsprechenden Richtlinien in einem GPO.

Ganz einfach würde ich sagen.

Bye
Norbert