Hallo WSUS-Gemeinde,
ich kämpfe seit geraumer Zeit mit einem Problem beim WSUS Server und den Clients.
Am Tag nach dem Patchday stellt WSUS die Updates für die Clients bereit. Es gibt eine automatische Genehmigungsregel für Sicherheitsupdates mit dem Stichtag "2 Tage nach der Genehmigung", welche auf die WSUS PC-Gruppen "Win7" und "WinXP" eingestellt ist.
Nun zum Problem: Die Clients, sowohl Windows 7, als auch Windows XP, installieren direkt nach dem Start brav die Updates und dann wird ein Neustart verlangt. Das Problem ist, dass der Benutzer diese Neustartmeldung nicht mit "Später Neustarten" verschieben kann, sondern 15 Minuten ablaufen und der Neustart dann automatisch durchgeführt wird. Die User werden also gezwungen den PC neuzustarten. Grundlegend kein Problem, wenn allerdings jemand mal 15 Minuten nicht am Platz ist, wird der PC einfach neugestartet, eventuell geöffnete Datenbanken ohne Vorwarnung und Speichern geschlossen. Dieser Zwangsneustart muss also irgendwie deaktiviert werden. Am Liebsten wäre mir wenn die User gar nichts angezeigt bekommen und die Updates einfach beim Start/Herunterfahren des PCs installiert werden. Oder aber es sollte möglich sein, dass die User auf "Später Neustarten" klicken könnten, ohne, dass die 15 Minuten ablaufen.
Die bestehende Konfiguration: Es gibt mehrere OUs, getrennt nach Benutzer und Clients, mit verschiedenen Gruppenrichtlinien hinterlegt. Die Einstellungen der Richtlinien je OU, Clients und Benutzer, findet ihr in den Screenshots.
Wo mache ich Denkfehler?
Interessant auch... Mein PC befindet sich in der OU "TEST OU", welche zu 100% die selbe Clientrichtlinie wie die OU "Clients" hat, dort kann ich die Meldung wegklicken und es läuft keine Zeit ab. Allerdings bin ich Mitglied der Benutzergruppe "Administratoren", damit könnte es zusammenhängen?!
Die GPOs sind übrigens korrekt an den Clients angekommen und werden via RSOP.msc angezeigt. Die Server, sowohl die DCs und andere Server, sind nicht von dem Problem betroffen, da diese eigene Gruppenrichtlinien haben und die Updates dort nicht über den WSUS installiert werden.
Ich hoffe ihr könnt mir helfen.
Danke und Grüße
|