Karotte84 schrieb on 13.06.08 um 08:28:58:
Ok, danke für deine Einstellungen. Es gibt nur ein Problem: Mit dem eDirectory lässt sich "Zugriff auf alle Windows-Update-Funktionen entfernen" nicht korrekt umsetzen. Das gilt dann nämlich nicht für den angemeldeten Nutzer, sondern für den gesamten Rechner, wodurch (siehe auch mein Problem im anderen Thread) auch die Updatefunktion durch WSUS gesperrt ist.
Das ist schade.
Karotte84 schrieb on 13.06.08 um 08:28:58:
Das kommt im übrigen daher, weil die Gruppenrichtlinien, die beim eDirectory eingestellt werden, nicht global gelten, sondern einfach eine Vorgabe sind, die dann bei den Rechnern in die lokalen Gruppenrichtlinien eingetragen werden. (Quasi so, als hätte man es bei jedem Rechner von Hand lokal gemacht)
Wenn Du es auf einem Client via GPEDIT.MSC (Benutzerkonfiguration) konfigurierst, funkioniert die Verbindung zum WSUS dennoch. Ich kann mir nicht vorstellen, daß eDirectory so einen Richtlinie komplett falsch umsetzt. Möglicherweise habt das als Computerrichtlinie aktiviert.
Karotte84 schrieb on 13.06.08 um 08:28:58:
Durch weglassen dieser Einstellung tauchen ja nun aber auch Benachrichtigungen im Systray auf, dass Updates vorhanden und zur Installation bereit sind. Das kommt doch von dieser Einstellung, richtig?
In einer Windows Domain kommt das Systray in Verbindung mit der Option 4 nur, wenn die Benutzer lokale Admins sind. Deshalb ja auch die Benutzerkonfiguration.
Und der positive Nebeneffekt ist, es kommt keine Hinweis auf einen Neustart.
Karotte84 schrieb on 13.06.08 um 08:28:58:
Das möchten wir aber nicht. Wir möchten: Der Rechner kann sich die Updates holen wann er möchte. Installieren soll er aber erst beim herunterfahren. Alternativ: Updates können auch schon vorher nach Termin installiert werden, aber der automatische Neustart müsste dann ausbleiben (und wirklich ausbleiben - also auch keine Benachrichtigungen, dass neu gestartet werden muss etc.)
Du könntest mit der Option 3 probieren und die Updates beim Herunterfahren installieren lassen.
Karotte84 schrieb on 13.06.08 um 08:28:58:
Wie müssten dafür die Einstellungen aussehen?
Das mußt Du selbst ausprobieren. Da die von mir vorgeschlagenen Einstellungen bei euch anscheinend andere Auswirkungen haben, kann ich dir keinerlei Tipps dazu geben.
Schnapp dir einen Testclient, kann ja auch virtuell sein und probier ein bisschen damit.
Alternativ nimm die Einstellungen von mir auf einem Client via GPEDIT.MSC vor und exportiere alles aus der Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Erstell dir eine Regdatei und importiere sie beim starten des Computers. Nicht nach dem Login des Users, da reichen die Rechte nicht mehr aus.