Hallo, folgende Problematik ist zwar recht GPO-lastig, hoffe aber trotzdem, von unseren MVPs einen Tipp zu bekommen:
Ich möchte mehrere WSUS-GPOs erstellen, die sich in darin unterscheiden, dass z.B. Updates für .NET nur einer reduzierten Nutzergruppe verteilt werden sollen. Nun ist ja ungünstigerweise WSUS eine fast reine Maschinenpolicy. Heißt, dass das Ganze nur funktioniert, wenn ich die PCs in die entsprechende Sicherheitsfilterung reinnehme, was aber recht umständlich zu händeln ist. Sieht jemand eine einfache Möglichkeit, das Ganze an den User / Usergruppe zu bammeln? Separate OUs einzurichten gänge zwar, wird dann aber irgendwann unübersichtlich.

Genehmigt werden sie natürlich im WSUS. Hier gibt es eine Computergruppe, in die die Updates für .NET reingepackt werden. Diese Gruppe steht dann in der WSUS-GPO bei Clientseitige Zielzuordnung drin. Die GPO kann per Sicherheitsfilterung nur für bestimmte Gruppen berechtigt werden.
Der Knackpunkt ist halt der, dass in diese Gruppe die Maschinen rein müssen und nicht die User. Letztere würden sich aber über unser Softwareverteilung- und Verwaltungsstool besser händeln lassen. So muss z.B. jedes Mal, wenn der User einen neuen PC bekommt, daran gedacht werden, den PC in diese Gruppe zu schieben.

Tja, hatte schon vermutet, dass es auf so was hinausläuft.
Da werd ich das mal so ins Loginscript reinbasteln ...
Danke!

Ok, allerdings habe ich an dieser Stelle den Vorteil, dass wir die Möglichkeit haben, an unser Softwareverteilungstool eine cmd ranzuhängen, die im Adminkontext läuft.
Somit kann ich das recht einfach in diese Batch reinhängen:

---

findstr /I /C:"G-dotnet" %UsrDumpFile%  (das file wird vorher mittels net user /domain %username% erzeugt; ingroupr geht zwar auch, dauert aber länger)
if not errorlevel 1 goto net_tru
echo User ist nicht in Gruppe - PC wird aus dieser entfernt, falls drin >> c:\temp\dot.log
net group g-dotnet /domain %computername%$ /delete
goto net_end

:net_tru
echo User ist in Gruppe drin - PC wird ebefalls aufgenommen, falls noch nicht geschehen >> c:\temp\dot.log
net group g-dotnet /domain %computername%$ /add

:net_end

---

Lässt sich sicher verbessern, funktioniert aber erst mal.
Nachteil wird sicher sein, dass die Zeit, bis die GPO denn mal zieht, recht lang sein wird. Der PC muss auf jeden Fall erst mal gebootet werden und selbst nach gpupdate /force brauch es seine Weile.

Also wir haben so etwas realisert ... für die Update-Testung:

GPO 1 => Authentifizierte Benutzer Policies anwenden (default) => WSUS-Einstellungen für alle Computer eines Standortes und Target-Gruppe "Standort1"
GPO 2 => AD-Gruppe "TestungsComputer" Policies anwenden  => überlagerte WSUS-Einstellung: Target-Gruppe "Standort1,Testung"

Beide GPO's wirken auf eine OU, in der (auch unterverschachtelt) die Computerobjekte liegen, wobei eine Verarbeitungsreihenfolge zu beachten ist.
Der Standort-WSUS ist ein Replika mit automatischer Zuordnung zu WSUS-Gruppen (hier Standort1 bzw. Testung) via GPO-Einstellung.
Ist ein Computerobjekt im AD Mitglied der Gruppe erfogt eine zeitgleiche  automatische Zuordnung zu 2 Gruppen.

So werden alle "sicheren" Updates an alle Computer ausgereicht und die zur Testung genehmigten zusätzlich nur an die Mitglieder der Test-Gruppe.

Für Dich würde das übertragen bedeuten ... Mitglied in der Gruppe NET4ready => Installation/Updates über WSUS.

Gruß Dani