Guten Morgen liebe WSUS.DE Gemeinde,

Ich bin gerade dabei in unsrer Firma einen WSUS Server einzuführen. Wir haben unsere Windows Updates bisher via OPSI verteilt, was aber sehr unkonfortabel ist/war!

Da wir leider kein Microsoft AD haben (sondern leider so ein Linux Dings), muss ich die entsprechenden Einträge via Registry Keys setzen.

Ich möchte erreichen, dass die Updates im Hintergrund installiert werden (z.b. zu einer bestimmten Zeit) und der Benutzer davon nichts mitbekommt und auch nicht zu einem Neustart aufgefordert wird (testweise).

Meine Registry Schlüssel sehen bisher so aus:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate]
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Clients WinXP Gruppe 1"
"ElevateNonAdmins"=dword:00000000
"WUServer"="http://XXXXXX"
"WUStatusServer"="http://XXXXXX"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU]
"AUOptions" =dword:00000004
"AutoInstallMinorUpdates" =dword:00000001
"IncludeRecommendedUpdates" =dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000001
"NoAutoUpdate"=dword:00000000
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RebootRelaunchTimeout" =dword:00000480
"RebootRelaunchTimeoutEnabled" =dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:00000030
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000010
"ScheduledInstallDay"=dword:00000003
"ScheduledInstallTime"=dword:00000015
"UseWUServer"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:00000000

Der Key "AUOptions" =dword:00000004 sollte ja dafür sorgen das die Updates automatisch runtergeladen und installiert werden.

Wie genau setz ich dann den Zeitplan?
"ScheduledInstallTime"=dword:00000015 wäre dann 15 Uhr?

Was muss ich noch setzen damit der Benutzer keinen Hinweis sieht?

Viele Dank im Vorraus,
Gruß Sebastian

Die Registry will ich mit Admin Rechten verteilen.

Die HKEY_CURRENT_USER Settings können ja denk ich nur gesetzt werden, wenn der User auch zum Zeitpunkt des ausführens der Reg-Datei angemeldet ist, oder?
Also müsste der Teil z.b. ins Anmeldescript?

Das mit der TargetGroup ist klar, momentan mach ich das noch manuell auf dem WSUS, ist momentan nur optional drin.

Ich werd das Beispiel mal testen!

Viele Dank schonmal!!!!

Gruß Sebastian

Sunny schrieb on 23.04.12 um 10:05:03:


Da geb ich dir recht, allerdings hab ich noch nicht rausgefunden wo man bei unsrer "Linuxdomäne" ein entsprechendes Startupscript für Computer einbinden kann.
Was spricht gegen die Verteilung als Admin?

Sunny schrieb on 23.04.12 um 10:05:03:


Das ist mal ein super Tipp! Erleichtert die Sache ungemein!

Das mit dem AD brauchst du mir nicht erzählen Ich bin total AD Fan! Leider baut die Firma bei der ich arbeite gerne auf Linux/Open Source Produkte und hat somit zwar eine Domäne die ein AD imitiert, aber eben leider kein AD ist.
Somit gibt es natürlich einige Problemchen im Bezug auf Clientverwaltung. Aber mal schauen, vllt klappts ja mal noch mit nem echten AD

Die Benutzer sind keine Admins, aber wir haben eine Softwareverteilung (OPSI) mit der ich die Registry Einträge mit Adminrechten setzen kann. Somit sollte das okay sein, oder?

Ich hab jetzt festgestellt, dass er die Updates immer beim Herunterfahren installiert, ist das normal? Eigentlich sollte der Hinweis mit "Updates beim Herunterfahren installieren" ja deaktiviert sein, oder?

Ahja, hatte natürlich einen Fehler drin! Nun klappts!

Noch ne kurze Frage:

Die Updates sollen ja jetzt laut Zeitplan um 15 Uhr installiert werden.

Das "Updates beim Herunterfahren installieren" wird ja nur ausgeblendet. Werden die Updates dann automatisch um 15 Uhr installiert, außer man fährt den Rechner vorher runter?

Ok,

Das heißt also, alle Updates werden nur zur geplanten Zeit installiert?

Bestechend logisch

Vielen Dank für deine schnelle und freundliche Hilfe!
Dann werd ich das die nächsten Tag mal noch ein wenig testen bevor ichs ausrolle!

Noch nen schönen Feierabend!

Guten Tag

Also das mit dem Registry Einträge verteilen klappt soweit, bis auf....

Das mit den [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate] Einstellungen.

Meine Benutzer dürfen gar nicht in die Registry schreiben, is das normal?
Wie bekomm ich dann den Eintrag da hin? ;-(

Danke schonmal im Vorraus!

bioperiodik schrieb on 24.04.12 um 11:53:54:


Hmm, das hatte ich gar nicht bedacht. Mit GPOs passiert dir so etwas nicht.

Du könntest natürlich in der Registry in diesem Teil HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion den nötigen Rest anfügen und hier die Berechtigungen ändern, sowie auch die nötigen Werte setzen. Evtl. wird das ja auf den User übertragen, ich hab es selbst nie probiert.

Sieh dir doch auch die Einträge mit der SID an, evtl. kannst Du dort die NTFS-Berechtigungen für den o.g. Pfad anpassen.