Normales Thema SBS 2008 WSUS (Gelesen: 1506 mal)
Deatheye
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Mitglied seit: 20.10.09
SBS 2008 WSUS
20.10.09 um 11:11:18
Beitrag drucken  
Hallo zusammen
Hat damit schon jemand Erfahrung?
Wir sind etwas irritiert über das Verhalten von WSUS.
Soweit ich im moment weiss werden dei Systeme den vorgefertigen Gruppen im WSUS zugeordnet auf Grund der OU in der sie liegen.
Z.B OU SBSComputers = WSUS Update Services Client Computer.
Was uns irritiert ist die Tatsache, dass obwohl wir die Systeme aus den entsprechenden OUs entfernt haben und sie in eine neue (Eigene erstellte WSUS Gruppe) verschieben, erscheinen sie wenige Minuten später wieder in der Standard-Gruppe.
Bleibt aber gleichzeitig Mitglied in unserer eigenene WSUS-Gruppe.

Daraus ergeben sich für uns drei fragen:
1. Kann man dieses Verhalten unterbinden wenn man mit eigenen Gruppen arbeiten will?

2. Falls nicht, wie Verhaltet sich WSUS bzw. Clients wenn sie in mehreren Gruppen sind bezüglich sich wiedersprechenden Einstellungen über mehrere Ebenene. Welche Einstellungen bei den WSUS Gruppen haben priorität?

Allgemein währe ich auch für Inputs dankbar wie Ihr mit WSUS auf SBS08 umgeht. Wir arbeiten zum Beispiel nicht mit der SBS konsole.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: SBS 2008 WSUS
Antwort #1 - 20.10.09 um 12:38:19
Beitrag drucken  
Deatheye schrieb on 20.10.09 um 11:11:18:
Hat damit schon jemand Erfahrung?


Mit dem WSUS ja, mit dem SBS 2008 ich persönlich nicht.

Deatheye schrieb on 20.10.09 um 11:11:18:
Wir sind etwas irritiert über das Verhalten von WSUS.


Der WSUS kann nie etwas dafür. Es sind immer die Admins. Zwinkernd

Deatheye schrieb on 20.10.09 um 11:11:18:
Soweit ich im moment weiss werden dei Systeme den vorgefertigen Gruppen im WSUS zugeordnet auf Grund der OU in der sie liegen.
Z.B OU SBSComputers = WSUS Update Services Client Computer.
Was uns irritiert ist die Tatsache, dass obwohl wir die Systeme aus den entsprechenden OUs entfernt haben und sie in eine neue (Eigene erstellte WSUS Gruppe) verschieben, erscheinen sie wenige Minuten später wieder in der Standard-Gruppe.
Bleibt aber gleichzeitig Mitglied in unserer eigenene WSUS-Gruppe.


Schau in die WSUS-GPO, dort ist garantiert der Gruppennamen hinterlegt. Und in der Konsole vom WSUS in den Optionen ist eingestellt, das die Registryeinstellungen zum einsortieren in Gruppen verwendet werden sollen.

Deatheye schrieb on 20.10.09 um 11:11:18:
1. Kann man dieses Verhalten unterbinden wenn man mit eigenen Gruppen arbeiten will?


Jepp, sollte wie o.g. funktionieren.

Deatheye schrieb on 20.10.09 um 11:11:18:
2. Falls nicht, wie Verhaltet sich WSUS bzw. Clients wenn sie in mehreren Gruppen sind bezüglich sich wiedersprechenden Einstellungen über mehrere Ebenene. Welche Einstellungen bei den WSUS Gruppen haben priorität?


Du kannst den Clients mehrere Gruppennamen mitgeben, getrennt durch Semikolon. Die Gruppen sollten natürlich genauso auf dem WSUS vorhanden sein.
  
Zum Seitenanfang
 
Deatheye
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Mitglied seit: 20.10.09
Re: SBS 2008 WSUS
Antwort #2 - 20.10.09 um 13:55:10
Beitrag drucken  
1.
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
Das einzige was ich finden konnte ist, dass er die Systeme anscheinend bei den GPOs in die Sicherheitsfilterung einfügt.

Da stellt sich die Frage wie er dies macht bzw. wenn man das Grundprinzip erweitern möchte müsste man dies mit neuer OU selber konfigurieren können.

In den Optionen des WSUS ist die Standardoption "Update Services-Konsole verwenden" aktiviert.
Daher müsste er eigentlich die Standard WSUS Gruppe verwenden "Nicht zugeordnete Systeme" (oder so ähnlich).

Ich konnte keine GPO finden die irgendwo etwas von diesem vorkonfigurierten WSUS Gruppen enthält. Allerdings sind es einige GPOs die bereits nur für WSUS vorhanden sind ^^'
Für mich macht es im moment den anschein als ob dies SBS spezifische Dinge sind.
So hat SBS zum Beispiel auch eine spezielle Verwaltungskonsole die sich allerdings ziemlich schnell verabschiedet. Sie bietet nur sehr rudimentäre Konfigurationsmöglichkeiten und läuft nicht mehr sobald man ein bisschen an den WSUS Einstellungen Veränderungen durchführt.

2. Ich glaub da hast du mich missverstanden. Mir gings darum:
Computer A ist in WSUS Gruppe B und C. Gruppe C ist ein Update verweigert, Gruppe B erlaubt. Was passiert nun, wenn die WSUS Gruppen auf selber Ebene sind, wenn Gruppe B Gruppe C untergeordnet ist, bzw. umgekehrt?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: SBS 2008 WSUS
Antwort #3 - 20.10.09 um 18:08:22
Beitrag drucken  
Deatheye schrieb on 20.10.09 um 13:55:10:
Das einzige was ich finden konnte ist, dass er die Systeme anscheinend bei den GPOs in die Sicherheitsfilterung einfügt.

Da stellt sich die Frage wie er dies macht bzw. wenn man das Grundprinzip erweitern möchte müsste man dies mit neuer OU selber konfigurieren können.


Hmm, das sind schon seltsame Einstellungen die der SBS 2008 da hat. An der Stelle arbeite ich mit Gruppen oder den Authentifizierten Benutzern. Bei den Authentifizierten Benutzern sind die Computerkonten auch enthalten.

Deatheye schrieb on 20.10.09 um 13:55:10:
In den Optionen des WSUS ist die Standardoption "Update Services-Konsole verwenden" aktiviert.
Daher müsste er eigentlich die Standard WSUS Gruppe verwenden "Nicht zugeordnete Systeme" (oder so ähnlich).


Eigentlich schon. Es gibt einen ADImporter, der importiert die Computerkonten aus dem AD und pack sie in Gruppen auf dem SBS. Möglich das der im Einsatz ist.

Deatheye schrieb on 20.10.09 um 13:55:10:
Ich konnte keine GPO finden die irgendwo etwas von diesem vorkonfigurierten WSUS Gruppen enthält. Allerdings sind es einige GPOs die bereits nur für WSUS vorhanden sind ^^'


Dann schau dir die GPOs genauer an. Möglich das etwas dabei ist.

Deatheye schrieb on 20.10.09 um 13:55:10:
Für mich macht es im moment den anschein als ob dies SBS spezifische Dinge sind.
So hat SBS zum Beispiel auch eine spezielle Verwaltungskonsole die sich allerdings ziemlich schnell verabschiedet.


Fehlermeldungen im Eventlog?

Deatheye schrieb on 20.10.09 um 13:55:10:
Sie bietet nur sehr rudimentäre Konfigurationsmöglichkeiten und läuft nicht mehr sobald man ein bisschen an den WSUS Einstellungen Veränderungen durchführt.


Die kenn ich vom 2003er her ein bisschen. Nutzen tu ich die allerdings nicht.

Deatheye schrieb on 20.10.09 um 13:55:10:
2. Ich glaub da hast du mich missverstanden. Mir gings darum:
Computer A ist in WSUS Gruppe B und C. Gruppe C ist ein Update verweigert, Gruppe B erlaubt. Was passiert nun, wenn die WSUS Gruppen auf selber Ebene sind, wenn Gruppe B Gruppe C untergeordnet ist, bzw. umgekehrt?


Wenn das Update für eine Gruppe freigegeben ist, sollte das greifen. Es könnte aber auch sein, das die Verweigerung zieht. Das hab ich noch nicht probiert.
  
Zum Seitenanfang
 
Deatheye
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Mitglied seit: 20.10.09
Re: SBS 2008 WSUS
Antwort #4 - 21.10.09 um 14:23:06
Beitrag drucken  
Scheint als würde ich der Sache langsam näher kommen ^^'

Quote:
The Windows SBS Manager service (DataCollectorSvc) does this for you based on the group membership in WSUS that you have chosen for your machines.  For more info on this, have a look at (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden