WSUS.DE
Windows Server Update Services >> Installation und Konfiguration >> User haben die falschen Rechte, Konfig-Frage
http://www.wsus.de/cgi-bin/yabb/YaBB.pl?num=1196058690

Beitrag begonnen von Diver am 26.11.07 um 07:31:29

Titel: User haben die falschen Rechte, Konfig-Frage
Beitrag von Diver am 26.11.07 um 07:31:29
Guten Morgen,

benutze WSUS jetzt erst eine Woche und komme eigentlich auch ganz gut klar. Dokus gibt es ja wirklich reichlich, dennoch bin ich jetzt an einem Punkt an dem ich nicht weiter weis.
Mein Ziel ist es, dass Updates automatisch installiert werden, und zwar so das der User gar nichts davon mit bekommt.
Leider haben meine Test-User aber die Möglichkeit das einspielen der Updates abzubrechen und auch "Benutzer definiert" updates einzuspielen.

Laut Dokus sollte das aber nicht mehr möglich sein, bei meinen Einstellungen.

W2K3 + AD Umgebung


Meine Konfig:

WSUS Server nutzen: aktiviert
- WSUS Server: http://WSUS:8530
- Status Server: http://WSUS:8530
- Zielgruppenname: Computer-WSUS-TestGruppe

Automatische Updates konfigurieren: 4 - Autom. Downloaden und laut Zeitplan installieren.
- Geplanter Installationstag: Täglich
- Geplante Installationszeit: 10:00 Uhr



Suchhäufigkeit für automatische Updates: Alle 1 Stunden nach Updates suchen

Automatische Updates sofort installieren: aktiviert

Empfohlene Updates über automatische Updates aktivieren: deaktiviert

Erneut zu einem Neustart für geplante Installationen auffordern: 10 Minuten warten, bevor zu einem Neustart aufgefordert wird

Neustart für geplante Updates verzögern: 30 Minuten warten, bevor ein Neustart ausgeführt wird

Keinen automatischen Neustart für geplante Installationen durchführen: aktiviert - Benutzer wird vor dem Restart benachrichtigt

Zeitplan für geplante Installationen neu erstellen: 30 Minuten

Signierte Inhalte für Updatedienste zulassen: aktiviert

Nicht-Administratoren gestatten, Updatebenachrichtigungen zu erhalten: deaktiviert

Option 'Updates installieren und herunterfahren' im Dialogfeld 'Windows
  herunterfahren' nicht anzeigen: deaktiviert

Die Standardoption 'Updates installieren und herunterfahren'
  im Dialogfeld 'Windows herunterfahren' nicht anpassen: aktiviert

Windows Update-Energieverwaltung aktivieren, um das System zur Installation
  von geplanten Updates automatisch zu reaktivieren: aktiviert


Eine weitere Frage die sich mir stellt ist, wenn ich meine Updates täglich um 10 Uhr installieren lassen möchte, wozu dient dann der Punkt:
Suchhäufigkeit für automatische Updates: Alle 1 Stunden nach Updates suchen

Für Tipps und Hilfe wäre ich Dankbar.

Gruß
Diver

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Sunny am 26.11.07 um 09:10:12
Entweder Du nimmst den Usern die lokalen Adminrechte oder aktivierst noch die folgende Benutzerrichtlinie:
Zugriff auf alle Windows Update Funktionen entfernen.
Damit werden die systemweiten Einträge auf Windows Update entfernt, z.B. im IE ist via das Menü Extras kein Eintrag zu Windows Update mehr vorhanden. Ebenfalls gibt es keine Benachrichtigung, also kein Symbol im Systray, für angemeldete Administratoren. Dies gilt natürlich nur für User, die auch im Verwaltungsbereich der Richtlinie liegen. Obwohl im Explain nicht explizit genannt, kann diese Richtlinie auch unter W2K erfolgreich eingesetzt werden.

Der lokale WU-Agent kontaktet sich stündlich zum WSUS. Das ist vielleicht für den Anfang recht lustig, aber spätestens, wenn alle Clients aktuell sind solltest Du das wieder auf den Default von 22 Stunden stellen.

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Diver am 26.11.07 um 09:21:11
Hi,

erst mal danke für deine Tipps.
Die User haben keine Admin-Rechte, nicht lokal und nicht in der Domäne.
Ich werde den Zugriff auf alle Windows Update Funktionen entfernen.
WSUS arbeitet aber dennoch weiter, ja?

Bekommen die User denn dann noch die Meldung das ihr System neu gestartet werden muss?

Gruß
Diver

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Sunny am 26.11.07 um 09:39:37

Diver schrieb am 26.11.07 um 09:21:11:

Die User haben keine Admin-Rechte, nicht lokal und nicht in der Domäne.


Woher kommt dann die Nachfrage? Oder hast Du die Option 3 eingestellt?


Diver schrieb am 26.11.07 um 09:21:11:

Ich werde den Zugriff auf alle Windows Update Funktionen entfernen.
WSUS arbeitet aber dennoch weiter, ja?


Selbstverständlich. Hast Du das Explain gelesen?



Diver schrieb am 26.11.07 um 09:21:11:

Bekommen die User denn dann noch die Meldung das ihr System neu gestartet werden muss?


Yepp.

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Diver am 26.11.07 um 09:41:12
Hi,

nein ich habe Option 4 eingestellt, das ist ja das komische. Werde wohl mal weiter suchen müssen wo das Problem liegt.

Gruß
Diver

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Sunny am 26.11.07 um 10:06:55
Kontrollier mit RSOP.MSC auf einem XP-Client ob die GPO auch korrekt ankommt.

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Diver am 26.11.07 um 10:21:26
Hi,

habe ich gemacht, also die GPO greifen bzw. kommen an. Dennoch bekommen die User die Info noch. Ich habe bestimmt irgendwo nen Fehler eingebaut.

Habe nur keine Ahnung wo. Wir haben ScriptLogic im Einsatz, evtl. vertragen sich die Einstellungen nicht.

Gruß
Diver

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Sunny am 26.11.07 um 10:42:41
Wo trägt ScriptLogic was genau ein? Hast Du die Benutzerkonfig auch schon aktiviert? Und wurde sie auch schon verteilt? Die User sind schon neu angemeldet? Oder mit gpupdate /force auf dem Client forciert?

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Diver am 26.11.07 um 11:18:38
Hi,

ich habe die Benutzerkonfig mit in die WSUS GPO gepackt, und den Testuser mit in die ComuterOU gepackt.

User habe ich neu angemeldet + zusätzlich GPUpdate /force. (doppelt hält besser)

ScriptLogic greift diese Einstellung nicht an, dennoch habe ich unter dem Internet-Explorer immer noch das MS-Update. Das ist auch nicht ganz so schlimm, werde jetzt nochmal testen ob die User noch ne Info über das Update bekommen. Melde mich dann wieder.

Gruß
Diver

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Sunny am 26.11.07 um 11:38:42
Und was sagt RSOP.MSC? Hast Du mehrere DCs? Wenn ja, haben die sich repliziert? Mach mal einen Neustart vom Rechner.

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Diver am 27.11.07 um 15:34:54
Hi Sunny,

ich habe die GPO nochmal ganz neu erstellt. Jetzt scheint es zu gehen, naja fast.

VerständnisFrage:

Jeden Tag um 10 Uhr sollen meine Updates eingespielt/installiert werden.
Ich habe um 14 Uhr einen weiteren TestPC in meine Test-Gruppe aufgenommen, kurze Zeit später stande schon beim Herunterfahren das Updates eingespielt werden.

Ist das normal?

Wenn ich als normaler User den Rechner neu starte werden die angekündigten Updates nicht installiert, bin ich als Admin angemeldet installiert er sie.

Ist das normal?

Habe schon das Forum nach einer Lösung durchsucht, leider habe ich nichts gefunden.

Hier noch meine Daten:
WSUS Server nutzen: aktiviert
- WSUS Server: http://WSUS
- Status Server: http://WSUS
- Zielgruppenname: Einstellung ist nicht konfiguriert

Automatische Updates konfigurieren: 4 - Autom. Downloaden und laut Zeitplan installieren.
- Geplanter Installationstag: Täglich
- Geplante Installationszeit: 10:00 Uhr



Suchhäufigkeit für automatische Updates: Alle 1 Stunden nach Updates suchen

Automatische Updates sofort installieren: aktiviert

Empfohlene Updates über automatische Updates aktivieren: deaktiviert

Erneut zu einem Neustart für geplante Installationen auffordern: 10 Minuten warten, bevor zu einem Neustart aufgefordert wird

Neustart für geplante Updates verzögern: 30 Minuten warten, bevor ein Neustart ausgeführt wird

Keinen automatischen Neustart für geplante Installationen durchführen: aktiviert - Benutzer wird vor dem Restart benachrichtigt

Zeitplan für geplante Installationen neu erstellen: 30 Minuten

Signierte Inhalte für Updatedienste zulassen: aktiviert

Nicht-Administratoren gestatten, Updatebenachrichtigungen zu erhalten: deaktiviert

Option 'Updates installieren und herunterfahren' im Dialogfeld 'Windows
  herunterfahren' nicht anzeigen: Einstellung ist nicht konfiguriert

Die Standardoption 'Updates installieren und herunterfahren'
  im Dialogfeld 'Windows herunterfahren' nicht anpassen: aktiviert

Windows Update-Energieverwaltung aktivieren, um das System zur Installation
  von geplanten Updates automatisch zu reaktivieren: aktiviert


mfg
Diver

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Sunny am 27.11.07 um 15:48:37

Diver schrieb am 27.11.07 um 15:34:54:

Wenn ich als normaler User den Rechner neu starte werden die angekündigten Updates nicht installiert, bin ich als Admin angemeldet installiert er sie.

Ist das normal?


Ja, wenn der Admin nicht im Verwaltungsbereich der Richtlinie liegt, dann ist das normal und auch gut so. Als Admin angemeldet kannst Du so immer schnell einen Client updaten.

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Diver am 28.11.07 um 07:34:40
Hi,

also wenn ich dich jetzt richtig verstanden habe. Die User können/dürfen die anstehenden Updates nicht installieren. Sie bekommen den Bildschirm angezeigt, jedoch passiert nichts beim Herunterfahren. Siehe Anhang.

Die Updates installieren sich dann also zum angegeben Zeitpunkt automatisch? (Ich habe Option 4 gewählt) Und zwar auch wenn ein User angemeldet ist der keine Admin-Rechte hat?

Eine weitere Frage, kann ich das einspielen der Updates auch für 2 bis 3 Uhrzeiten/Zeitpunkten konfigurieren?

Sprich einmal um 8 Uhr morgens, und einmal um 14 Uhr? Wenn ich User habe die immer erst um 14 Uhr anfangen zu arbeiten, und andere die nur bis 13 Uhr arbeiten, habe ich ein Problem. Oder verstehe ich da wieder was falsch?

Dankender Gruß
Diver


Unbenannt_001.bmp (Anhang gelöscht)

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Sunny am 28.11.07 um 08:56:22

Diver schrieb am 28.11.07 um 07:34:40:

also wenn ich dich jetzt richtig verstanden habe. Die User können/dürfen die anstehenden Updates nicht installieren. Sie bekommen den Bildschirm angezeigt, jedoch passiert nichts beim Herunterfahren. Siehe Anhang.


Ich hab mit der Option noch nie gearbeitet. Da haben bestimmt ein paar andere aus dem Forum einen passenden Hinweis.


Diver schrieb am 28.11.07 um 07:34:40:

Die Updates installieren sich dann also zum angegeben Zeitpunkt automatisch? (Ich habe Option 4 gewählt) Und zwar auch wenn ein User angemeldet ist der keine Admin-Rechte hat?


Genau, das ist auch der Sinn der Übung. Die Updates werden dann im Systemkontext installiert.



Diver schrieb am 28.11.07 um 07:34:40:

Eine weitere Frage, kann ich das einspielen der Updates auch für 2 bis 3 Uhrzeiten/Zeitpunkten konfigurieren?


Nein.



Diver schrieb am 28.11.07 um 07:34:40:

Sprich einmal um 8 Uhr morgens, und einmal um 14 Uhr? Wenn ich User habe die immer erst um 14 Uhr anfangen zu arbeiten, und andere die nur bis 13 Uhr arbeiten, habe ich ein Problem. Oder verstehe ich da wieder was falsch?


Du könntest weitere OUs erstellen, in die dann die passenden Clients rein oder gleich die Uhrzeit auf 2 oder 3 Uhr in der Nacht legen. Die Updates werden dann installiert, wenn der Rechner gestartet wird.

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Diver am 28.11.07 um 09:40:06

Zitat:
Du könntest weitere OUs erstellen, in die dann die passenden Clients rein oder gleich die Uhrzeit auf 2 oder 3 Uhr in der Nacht legen. Die Updates werden dann installiert, wenn der Rechner gestartet wird.


Sprich, liegt die eingestellte Zeit, vor der Startzeit des Rechners, werden beim starten die Updates eingespielt, unabhängig davon das die Zeit längst vorbei ist?

Gruß
Diver

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von WSUS-Dirk am 28.11.07 um 09:56:44

Diver schrieb am 28.11.07 um 07:34:40:
Hi,

also wenn ich dich jetzt richtig verstanden habe. Die User können/dürfen die anstehenden Updates nicht installieren. Sie bekommen den Bildschirm angezeigt, jedoch passiert nichts beim Herunterfahren. Siehe Anhang.



Ich bin nicht sicher, ob ich Dich nun richtig verstanden habe:

Bei Option 4 werden die Patche im Hintergrund installiert, entweder nach Zeitplan, oder default nachts um drei, bzw, wenn der Rechner angeschaltet wird. Der User bekommt davon nichts mit, ein lokaler Admin sieht das gelbe Symbol. Im Anschluss an die Installation wird über den Neustart benachrichtigt.

Wenn beim Herunterfahren die Option "Updates installieren" ausgewählt wird, dann werden diese auch installiert, egal ob Admin oder nicht.

Wenn Du diesen Eintrag im Auswahlmenu beim Herunterfahren nicht haben willst, da gibt es auch entsprechende  Richtlinien für.

Grüße

Dirk

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Sunny am 28.11.07 um 10:16:30

Diver schrieb am 28.11.07 um 09:40:06:

Sprich, liegt die eingestellte Zeit, vor der Startzeit des Rechners, werden beim starten die Updates eingespielt, unabhängig davon das die Zeit längst vorbei ist?


Yepp, Du mußt auch noch die Einstellung für verpasste Installation einstellen.

Sei mir nicht böse, magst Du nicht mal ein bisschen testen? Damit bekommt man ein sehr gutes Gefühl für die ganze Sache und kann auch viel besser auf Fragen der Anwender oder der Kollegen reagieren.

Titel: Re: User haben die falschen Rechte, Konfig-Frage
Beitrag von Diver am 28.11.07 um 10:18:06

Zitat:
Wenn beim Herunterfahren die Option "Updates installieren" ausgewählt wird, dann werden diese auch installiert, egal ob Admin oder nicht.


Und genau das ist bei mir nicht so. Jetzt zerstörst du gerade meine Welt, ich dachte gerade das ich es jetzt verstanden habe.

Bei mir funktioniert dieses nur, wenn ein Admin angemeldet ist und den Rechner dann herunter fährt.

/edit

So 10 Uhr ist durch und jetzt hat es funktioniert, siehe Anhang. (User ohne Admin-Rechte war angemeldet.)



Gruß
Diver
2.bmp (Anhang gelöscht)

WSUS.DE » Powered by YaBB 2.6.11!
YaBB Forum Software © 2000-2016. Alle Rechte vorbehalten.