Normales Thema Gruppenrichtlinie für WSUS greift nicht bei jedem PC (Gelesen: 1547 mal)
Avalon
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 10
Mitglied seit: 11.03.10
Gruppenrichtlinie für WSUS greift nicht bei jedem PC
29.03.10 um 16:58:49
Beitrag drucken  
Liebe Forumsteilnehmer,

ich weiss, dass diese Frage eher in Richtung Gruppenrichtlinie geht, allerdings kann mir hier bestimmt auch jemand weiterhelfen:

Ich habe für meine Window-Server eine WSUS-Richtlinie angelegt, die die Updates downlädt und erst bei Administratoreingriff installiert. Die Richtlinie liegt zusammen mit den betroffenen Servern in einer OU. In der Richtlinie wurde eine Gruppe eingetragen, für die diese Richtlinie gelten soll, in dieser Gruppe stehen die gewünschten Server.

Diese Richtlinie zieht auch auf der Hälfte aller Server ohne Probleme.

Auf einem beträchtlichen Teil bekomme ich aber, trotz identischer Einstellungen der Server in der Richtlinie (sind ja in derselben Gruppe und in derselben OU!) keine Richtlinie. Wenn ich einen RSOP.MSC laufen lassen, zeigt mir das betroffene System nur ein "Nicht übernommen" an und dass die Abarbeitung der Richtlinien fehlerlos war. Wenn ich das Ganze in der Gruppenrichtlinienmanagementkonsole wiederhole bekomme ich immerhin als Ergebnis für diese Richtlinie ein "KEIN ZUGRIFF".

Pikanterweise KANN ich von der betroffenen Maschin aus auf das POL-Verzeichnis zugreifen und habe auch dort die erforderlichen Rechte...

Kann mir jemand helfen?

MfG
Thomas Hartung
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: Gruppenrichtlinie für WSUS greift nicht bei jedem PC
Antwort #1 - 29.03.10 um 17:12:59
Beitrag drucken  
Avalon schrieb on 29.03.10 um 16:58:49:
Pikanterweise KANN ich von der betroffenen Maschin aus auf das POL-Verzeichnis zugreifen und habe auch dort die erforderlichen Rechte...

Kein Zugriff bedeutet nicht, das Du als Administrator vom Server aus Zugriff auf ein POL Verzeichnis hast. Der entsprechende Server muss Zugriff auf die Gruppenrichtlinie haben, und das scheint nicht zu klappen.
Dafür gibt es viele Möglichkeiten z.B. das die betroffenen Server per WMI- oder Sicherheitsfilterung ausgeschlossen sind.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Gruppenrichtlinie für WSUS greift nicht bei jedem PC
Antwort #2 - 29.03.10 um 21:35:07
Beitrag drucken  
Avalon schrieb on 29.03.10 um 16:58:49:
Ich habe für meine Window-Server eine WSUS-Richtlinie angelegt, die die Updates downlädt und erst bei Administratoreingriff installiert. Die Richtlinie liegt zusammen mit den betroffenen Servern in einer OU. In der Richtlinie wurde eine Gruppe eingetragen, für die diese Richtlinie gelten soll, in dieser Gruppe stehen die gewünschten Server.


OK.

Avalon schrieb on 29.03.10 um 16:58:49:
Diese Richtlinie zieht auch auf der Hälfte aller Server ohne Probleme.

Auf einem beträchtlichen Teil bekomme ich aber, trotz identischer Einstellungen der Server in der Richtlinie (sind ja in derselben Gruppe und in derselben OU!) keine Richtlinie.


Was sagt das Ereignisprotokoll auf den betroffenen Servern? Das muß ja schon glühen, vor lauter roter Einträge.

Avalon schrieb on 29.03.10 um 16:58:49:
Wenn ich einen RSOP.MSC laufen lassen, zeigt mir das betroffene System nur ein "Nicht übernommen" an und dass die Abarbeitung der Richtlinien fehlerlos war. Wenn ich das Ganze in der Gruppenrichtlinienmanagementkonsole wiederhole bekomme ich immerhin als Ergebnis für diese Richtlinie ein "KEIN ZUGRIFF".


Und schon wieder muß an dieser Stelle das Ereignisprotokoll aufgesucht werden.

Avalon schrieb on 29.03.10 um 16:58:49:
Pikanterweise KANN ich von der betroffenen Maschin aus auf das POL-Verzeichnis zugreifen und habe auch dort die erforderlichen Rechte...


Die GPO hat eine GUID, diese GUID findet sich als Verzeichnis im Sysvol wieder. Hat der Computer Zugriff auf dieses Verzeichnis? Und nein, ob Du als Admin Zugriff hast oder nicht, spielt hier keine Rolle.

Meine Vermutung geht eher in Richtung SMB-Signing. Kontrolliere ob es gem. BestPraxis eingestellt ist: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
  
Zum Seitenanfang
 
Avalon
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 10
Mitglied seit: 11.03.10
Re: Gruppenrichtlinie für WSUS greift nicht bei jedem PC
Antwort #3 - 30.03.10 um 07:31:37
Beitrag drucken  
Hallo Sunny,

Sunny schrieb on 29.03.10 um 21:35:07:
Was sagt das Ereignisprotokoll auf den betroffenen Servern? Das muß ja schon glühen, vor lauter roter Einträge.


Sollte man meinen. Ist aber (leider oder gottseidank?) nicht so: Keine Einträge, die was mit Policies zu tun haben. Bei den Policies habe ich nur den hier:

============================================

Ereignistyp:      Informationen
Ereignisquelle:      SceCli
Ereigniskategorie:      Keine
Ereigniskennung:      1704
Datum:            29.03.2010
Zeit:            16:23:54
Benutzer:            Nicht zutreffend
Computer:      SXXX
Beschreibung:
Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen)..

============================================

Sunny schrieb on 29.03.10 um 21:35:07:
Die GPO hat eine GUID, diese GUID findet sich als Verzeichnis im Sysvol wieder. Hat der Computer Zugriff auf dieses Verzeichnis? Und nein, ob Du als Admin Zugriff hast oder nicht, spielt hier keine Rolle.

Meine Vermutung geht eher in Richtung SMB-Signing. Kontrolliere ob es gem. BestPraxis eingestellt ist: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).


Ich habe halt von dem betroffenen Server aus das Verzeichnis aufrufen können und auch die Rechte einsehen. Ich wüsste nicht, wie ich Berechtigungen für einen PC prüfen könnte und in der Gruppe, die das Recht auf die Richtlinie hat, steht er ja drin...

Ich mach jetzt mal das mit dem SMB-Signing und melde mich dann nochmal. Danke für die Tipps!

MfG
Thomas
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Gruppenrichtlinie für WSUS greift nicht bei jedem PC
Antwort #4 - 30.03.10 um 09:56:55
Beitrag drucken  
Avalon schrieb on 30.03.10 um 07:31:37:
Sollte man meinen. Ist aber (leider oder gottseidank?) nicht so: Keine Einträge, die was mit Policies zu tun haben. Bei den Policies habe ich nur den hier:

============================================

Ereignistyp:      Informationen
Ereignisquelle:      SceCli
Ereigniskategorie:      Keine
Ereigniskennung:      1704
Datum:            29.03.2010
Zeit:            16:23:54
Benutzer:            Nicht zutreffend
Computer:      SXXX
Beschreibung:
Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.


Hmm, was sagt ein RSOP.MSC an dem Server? Kommt die GPO an? Steht der WSUS in der Registry?

Avalon schrieb on 30.03.10 um 07:31:37:
Ich habe halt von dem betroffenen Server aus das Verzeichnis aufrufen können und auch die Rechte einsehen. Ich wüsste nicht, wie ich Berechtigungen für einen PC prüfen könnte und in der Gruppe, die das Recht auf die Richtlinie hat, steht er ja drin...


Wenn das Log sauber ist, passt wohl etwas anderes nicht. Eine Verweigerung hat immer Vorrang, prüf doch auch mal ob der Server evtl. in einer Gruppe drin steht, die verweigert wird.

Avalon schrieb on 30.03.10 um 07:31:37:
Ich mach jetzt mal das mit dem SMB-Signing und melde mich dann nochmal. Danke für die Tipps!


Das mußt Du am DC beginnen und nach unten durchreichen.
  
Zum Seitenanfang
 
Avalon
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 10
Mitglied seit: 11.03.10
Re: Gruppenrichtlinie für WSUS greift nicht bei jedem PC
Antwort #5 - 30.03.10 um 13:13:52
Beitrag drucken  
Hallo Sunny,

Inzwischen hat sich das Gerät das anders überlegt: Er ist wie von Geisterhand im WSUS aufgetaucht, ohne das ich noch was geändert hätte. Und 4 seiner Kollegen gleich mit...

Muss man wohl nicht verstehen.

Aber vielen Dank für die Hilfe.

MfG
Thomas Hartung
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Gruppenrichtlinie für WSUS greift nicht bei jedem PC
Antwort #6 - 30.03.10 um 14:33:23
Beitrag drucken  
Freut mich für Dich und Danke für die Rückmeldung. Zwinkernd
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden