Normales Thema WSUS 3.0 - no domain - Shutdown der XP CLients feinsteuern via gpedit (Gelesen: 912 mal)
fidel
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 21
Standort: moohausen
Mitglied seit: 24.05.07
Geschlecht: männlich
WSUS 3.0 - no domain - Shutdown der XP CLients feinsteuern via gpedit
05.06.08 um 13:45:22
Beitrag drucken  
Hallo

ich verwende WSUS 3.0 auf einem Windows 2003 SBS in einem Netzwerk ohne Domain.

Die Clients sind zu 95 % Windows XP Prof Rechner, ergänzt durch wenige Windows 2000 & Windows Vista Kisten

Die Clients erhalten jeweils eine GPO verpasst welche das Update-Verhalten regelt.

Frage:
Ist es möglich die Installation der Updates auf den XP Clients  so zu konfigurieren, dass diese die verfügbaren Updates bei Prüfung holen, aber die Installation eben dieser Updates IMMER erst beim Shutdown durch den User startet ?

Primäres Ziel ist es die User (nicht priviliegierte Benutzerkonten) möglichst unbehelligt zu lassen. Sie sollen im Optimalfall nicht von der Aktualisierung mitbekommen, daher wäre beim Shutdown sehr schön.



Ich verwende folgende Gruppenrichtlinien Einstellungen auf den Client-Rechnern:

Aktivieren des Windows Update-Energieverwaltungsfeatures...            
-->Nicht konfiguriert

Automatische Updates konfigurieren                                      -->Aktiviert (3)

Automatische Updates sofort installieren                               
--> Aktiviert

Clientseitige Zielzuordnung aktivieren                                  -->Deaktiviert

Die Standardoption "Updates installieren und herunterfahren"..          -->Deaktiviert

Empfohlene Updates über "Automatische Updates" aktivieren               
-->Aktiviert

Erneut zu einem Neustart für geplante Installationen auffordern         -->Aktiviert (1440)

Internen Pfad für den Microsoft Updatedienst angeben                    -->Aktiviert (http://ip:8530)

Keinen automatischen Neustart für geplante Installationen durchführen   
-->Aktiviert


Neustart für geplante Installationen verzögern                          -->Aktiviert (30)

Nicht-Administratoren gestatten, Updatebenachrichtigungen zu erhalten   
-->Deaktiviert

Option "Updates installieren und herunterfahren" im Dialogfeld          -->Deaktiviert

Signierten Inhalte aus internem Speicherort für Microsoft-              -->Aktiviert

Suchhäufigkeit für automatische Updates                                 -->Aktiviert (3)

Zeitplan für geplante Installationen neu erstellen                      -->Aktiviert (60)






Aktuell resultieren diese Einstellungen darin, dass die USer teilweise voll aus dem Arbeitsrythmus geworfen werden, da sie nach Hinweis maximal 30 minuten zur Verfügung haben, bis die Kisten einen Reboot machen. Mag auch mit der Kategorie des jeweiligen Updates zu tun haben das ist klar.


Würde mich freuen sollte jmd eine praktikable Lösung für dieses Problem haben.

Die Updates in der Mittagspause temriniert einspielen ist auch keine Wahl ,da einige MA's die Mittagszeit zum Surfen verwenden.

Gruss
fidel
  
Zum Seitenanfang
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13354
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS 3.0 - no domain - Shutdown der XP CLients feinsteuern via gpedit
Antwort #1 - 05.06.08 um 14:07:55
Beitrag drucken  
fidel schrieb on 05.06.08 um 13:45:22:
ich verwende WSUS 3.0 auf einem Windows 2003 SBS in einem Netzwerk ohne Domain.


Wie geht das denn? SBS ohne Domain?

fidel schrieb on 05.06.08 um 13:45:22:
Die Clients erhalten jeweils eine GPO verpasst welche das Update-Verhalten regelt.


Wie sollen die Clients eine GPO erhalten, wenn es keine Domain gibt? Tunrschuhadministration?

fidel schrieb on 05.06.08 um 13:45:22:
Frage:
Ist es möglich die Installation der Updates auf den XP Clients  so zu konfigurieren, dass diese die verfügbaren Updates bei Prüfung holen, aber die Installation eben dieser Updates IMMER erst beim Shutdown durch den User startet ?


Natürlich.

fidel schrieb on 05.06.08 um 13:45:22:
Primäres Ziel ist es die User (nicht priviliegierte Benutzerkonten) möglichst unbehelligt zu lassen. Sie sollen im Optimalfall nicht von der Aktualisierung mitbekommen, daher wäre beim Shutdown sehr schön.


Aha, gehts auch ohne Shutdown? Einfach nur zu einem bestimmten Zeitpunkt installieren, ohne weitere Aufforderung oder ähnliches? Beim Shutdown ist einfach nur Mist, wenn es dem User nicht gefällt, dann drückt er einfach auf den Knopf bis die Kiste aus ist. Oder die Putzfrau zieht den Stecker aus der Wand. Oder ein anderer schaltet die Steckleiste aus. Nein, es gibt für mich keinen vernünftigen Grund das beim Shutdown zu machen.


fidel schrieb on 05.06.08 um 13:45:22:
Automatische Updates konfigurieren                                      -->Aktiviert (3)


1. Fehler. Verwende nie die Option 3 für Clients. Die 4 tut was sie soll und das genau zu der richtigen Uhrzeit. Sind die User alles lokale Admins?

Auf alle Fälle solltest Du auch die Benutzereinstellung konfigurieren: Zugriff auf alle Windows Update Funktionen entfernen.
Damit werden die systemweiten Einträge auf Windows Update entfernt, z.B. im IE ist via das Menü Extras kein Eintrag zu Windows Update mehr vorhanden. Ebenfalls gibt es keine Benachrichtigung, also kein Symbol im Systray, für angemeldete Administratoren. Dies gilt natürlich nur für User, die auch im Verwaltungsbereich der Richtlinie liegen. Obwohl im Explain nicht explizit genannt, kann diese Richtlinie auch unter W2K erfolgreich eingesetzt werden.

Damit bekommen die User überhaupt nix mehr mit. Bei mir wird mittags um 12.00 Uhr installiert, nicht mal das merken die User.

Anbei meine GPO.

  
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). WSUSGPO_006.png (Anhang gelöscht)
Zum Seitenanfang
 
fidel
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 21
Standort: moohausen
Mitglied seit: 24.05.07
Geschlecht: männlich
Re: WSUS 3.0 - no domain - Shutdown der XP CLients feinsteuern via gpedit
Antwort #2 - 05.06.08 um 15:02:17
Beitrag drucken  
na du hast die anforderung ja wunderbar gelesen.</ironie>

wie gesagt: Mittagspause ist nicht, da nicht alle zur gleichen Zeit mittag machen und hier jeder das REcht hat die Kisten in der Pause für private Surf-Jobs zu verwenden.


bzgl Domain:
--
Ok es gibt eine Domain, aber kein Rechner verwendet sie. Die Windows Clients befinden sich in einer einfachen Worgroup, Der Win2003 Server verteilt..... auch das geht ja =)


bzgl Gruppenrichtlinie:
--
Wenn ein PC aufgesetzt wird, erhält er mittels gpedit die passenden Settings verpasst. Wenn du das turnschuh nennst, gut. Wir sind primär Mac User und dieser weg ist für uns einfach und praktikabel.


bzgl User-Status:
--
Wie schon gesagt, wiederholung scheint von nöten, die User sind im Kern keine Admins sondern normale USer Accounts


Shutdown oder nicht:
--
Also bitte, diese Argumentation, die sich leider fast durch deinen kompletten Post zieht ist arm und einseitig.

ach auf den Rest geh ich gar nicht mehr ein, um ehrlich zu sein, ist die Art und weise deiner antwort einfach bullshit und mit etwas abstand solltest du das selber wissen. aber ich hoffe es hat dir gut getan


MfG
fidel





  
Zum Seitenanfang
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13354
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS 3.0 - no domain - Shutdown der XP CLients feinsteuern via gpedit
Antwort #3 - 05.06.08 um 15:31:46
Beitrag drucken  
fidel schrieb on 05.06.08 um 15:02:17:
na du hast die anforderung ja wunderbar gelesen.</ironie>


Und Du hast vermutlich mein Posting nicht richtig gelesen. Denn dann wäre dir wohl aufgefallen, die Lösung die Du möchtest, steht da drin.

fidel schrieb on 05.06.08 um 15:02:17:
wie gesagt: Mittagspause ist nicht, da nicht alle zur gleichen Zeit mittag machen und hier jeder das REcht hat die Kisten in der Pause für private Surf-Jobs zu verwenden.


Dann lies meine Antwort einfach nochmal in Ruhe durch.

fidel schrieb on 05.06.08 um 15:02:17:
bzgl Domain:
--
Ok es gibt eine Domain, aber kein Rechner verwendet sie. Die Windows Clients befinden sich in einer einfachen Worgroup, Der Win2003 Server verteilt..... auch das geht ja =)


Dann zeig mir doch mal wie das gehen soll.

fidel schrieb on 05.06.08 um 15:02:17:
bzgl Gruppenrichtlinie:
--
Wenn ein PC aufgesetzt wird, erhält er mittels gpedit die passenden Settings verpasst. Wenn du das turnschuh nennst, gut. Wir sind primär Mac User und dieser weg ist für uns einfach und praktikabel.


MacUser hin oder her. Ihr verschließt euch hier vor Möglichkeiten, die eine zentrale Verwaltung lokaler Einstellungen bietet.
Und ja, wenn ich bei einem neuen Rechner alle Einstellungen manuell per GPEDIT.MSC vornehmen muß oder müsste, sowas nenn ich Turnschuhadministration. Nach der Installation in die Domain aufnehmen, in die passende OU verschieben, Neustart und alle Einstellungen sind da.

Wenn Du nun nachträglich eine Einstellung, wie z.b. den Namen des WSUS verändern mußt, warum auch immer, dann läufst Du durchs Haus, egal ob es 2, 3  oder 10 Clients sind.

fidel schrieb on 05.06.08 um 15:02:17:
bzgl User-Status:
--
Wie schon gesagt, wiederholung scheint von nöten, die User sind im Kern keine Admins sondern normale USer Accounts


Du glaubst gar nicht wie oft ich sowas schon gehört hatte, und am Ende waren die User dann doch lokale Admins. OK, sind sie in deinem Fall nicht. Gut. Dann lies das einfach nochmal, was ich geschrieben habe, oder frag einfach nach, wenn Du etwas nicht verstehst.

fidel schrieb on 05.06.08 um 15:02:17:
Shutdown oder nicht:
--
Also bitte, diese Argumentation, die sich leider fast durch deinen kompletten Post zieht ist arm und einseitig.


Mehr hast Du nicht gelesen? Schade, dann hätte ich mir das ja sparen können.


fidel schrieb on 05.06.08 um 15:02:17:
ach auf den Rest geh ich gar nicht mehr ein, um ehrlich zu sein, ist die Art und weise deiner antwort einfach bullshit und mit etwas abstand solltest du das selber wissen. aber ich hoffe es hat dir gut getan


Reagierst Du immer so, wenn Du etwas nicht verstehst? Schlaf mal eine Nacht drüber, lies es morgen nochmal und dann frag was Du nicht verstehst.
  
Zum Seitenanfang
 
fidel
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 21
Standort: moohausen
Mitglied seit: 24.05.07
Geschlecht: männlich
Re: WSUS 3.0 - no domain - Shutdown der XP CLients feinsteuern via gpedit
Antwort #4 - 05.06.08 um 16:25:35
Beitrag drucken  
Dein erster Post ist und bleibt im Stile und der Art nicht richtig. Magst du argumentieren wie du willst.  Ich für meinen Teil ziehe es vor auf Informationen einzugehen, hast du teilweise gemacht im Kern aber nicht....aber egal.

Quotes auf beide Posts bezogen:
Quote:
MacUser hin oder her. Ihr verschließt euch hier vor Möglichkeiten, die eine zentrale Verwaltung lokaler Einstellungen bietet.
Und ja, wenn ich bei einem neuen Rechner alle Einstellungen manuell per GPEDIT.MSC vornehmen muß oder müsste, sowas nenn ich Turnschuhadministration. Nach der Installation in die Domain aufnehmen, in die passende OU verschieben, Neustart und alle Einstellungen sind da.

Reply: hast du im Kern recht, aber ich kann nicht wegen Windows Update und den mikrigen 30 Clients unsere Grundstruktur komplett umwerfen. Sowas geht aktuell bei uns einfach nicht, wenngleich ich das Thema auf der Lang-Zeit ToDo Liste habe. Dafür fehlt aber in der anderen Welt noch etwas.

Das Putzfrauenbeispiel  / Update at Shutdown ist btw  unsinning. Warum sollte ein User den die Kiste ausmachen ?
Gemäss dem IT'ler Spruch "pebcac" kann dies klar passieren...aber bei geschulten Usern sollte dies nicht.
Es reicht ihm komplett auf Shutdown zu drücken und heimzugehen.
Alles andere geht automatisch....warum sich mit was beschäftigen was mein zutun nicht erfordert..
Die Putzfrau ist dabei auch nicht gültig, da dies genauso zu jeder beliebigen Zeit passieren kann. Ob der Updateprozess in der Mittagspause nicht sauber durchläuft warum auch immer (Strom etc..), oder im Feierabend / Shutdown-Fall ist doch genau das gleiche.


is ja auch egal, lassen wir das....



Und nun zurück zur Sachlichkeit:
Ich lese mir deinen Post gerne nochmal in alles Ruhe morgen früh durch, keine Frage. Jedoch will ich einwerfen dass der Grossteil unserer XP Clients genau mit den Einstellungen in meinem ersten Post macht was wir wollen.




Updates werden im Betrieb geholt und sobald der "gemeine User" die Kiste herunterfahren will, setzt der Prozess ein.
Ist und bleibt aus unserer Sicht der beste Ablauf.. Dies mag von deinem Alltag variieren, schön Smiley


Einige wenige XP Client verhalten sich jedoch nicht so. Die genauen Gründe kann ich mir bisher noch nicht ableiten. jedoch nötigen diese   wenigen Clients (mit interessanterweise gleiche Einstellungen) den User im Betrieb einen Reboot ab. Dies ist je nach Dauer des Update Prozesses und der Arbeitssituation nicht akzeptabel.
auch dies mag bei dir anderst sein...wiederrum schön hehe.

Ok hiermit zur konkretisierung des Problemes:
---
Ich will unser Update-Setup im Kern so lassen wie es ist (Option 3 NICHT Option 4).

Fraglich ist für mich warum dies auf einen Clients funktioniert und auf anderen widerrum nicht. Es sind exakt die gleichen Settings via gpedit.msc gesetzt.

Obige Einstellungensollten mit meinem MS Kenntniss-Stand (der sicher limitiert ist, da ich das OS nicht als Haupt OS verwende) im Falle eines normalen User-Accounts genau machen was wir wollen.....nämlich keine gezwungene / nicht abbrechbaren Reboot im Betrieb. Verstehe ich hier was falsch bin ich offen für korrektur.

Abschliessend: Sorry wenn ich dich angegriffen habe, aber dein Post/Posting-Art regt mich auf. Mag sein dass ich keinen guten Tag hatte (whatever) aber ich habe lange genug in Foren rumgewühlt/administriert um zu wissen dass man anderst auf Anfragen reagieren kann.


Vllt erschließt sich mir ja morgen inwiefern Option 4 meinen Fall abdecken soll/kann. Oder aber wir kommen überein dass Option 4 in meinem Fall keine Wahl ist und ich gerne, sofern irgendwie möglich Option 3 verwenden will.

Bzgl Debug des Verhaltens der Rechner mit gleichen Einstellungen aber unterschiedlichem Verhalten im alltag bin ich für Ideen offen.

Schönen Tag noch
fidel




  
Zum Seitenanfang
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13354
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS 3.0 - no domain - Shutdown der XP CLients feinsteuern via gpedit
Antwort #5 - 05.06.08 um 18:37:57
Beitrag drucken  
fidel schrieb on 05.06.08 um 16:25:35:
is ja auch egal, lassen wir das....


Persönlich wollte ich dich natürlich nicht angreifen, wenn das so rüber gekommen ist, dann entschuldige ich mich natürlich bei dir.


fidel schrieb on 05.06.08 um 16:25:35:
Und nun zurück zur Sachlichkeit:
Ich lese mir deinen Post gerne nochmal in alles Ruhe morgen früh durch, keine Frage. Jedoch will ich einwerfen dass der Grossteil unserer XP Clients genau mit den Einstellungen in meinem ersten Post macht was wir wollen.


OK, jeder Client bekommt die Einstellung LOKAL via GPEDIT.MSC verpasst? Wenn ja, dann sind diese Einstellungen in der Registry abgelegt: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Und darunter. Zusätzlich noch in den hier gen. Orten: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

Wenn sich Clients vom Verhalten her unterscheiden, kannst Du als erstes die Registry kontrollieren, ob wirklich auf allen Clients noch die gleichen Einstellungen vorhanden sind. Wenn ja, dann ist der Rest im Filesystem dran, wie im o.g. Artikel vermerkt ist.

Welches Verhalten ist bei dem einen anders als bei dem anderen?

fidel schrieb on 05.06.08 um 16:25:35:
Updates werden im Betrieb geholt und sobald der "gemeine User" die Kiste herunterfahren will, setzt der Prozess ein.
Ist und bleibt aus unserer Sicht der beste Ablauf.. Dies mag von deinem Alltag variieren, schön Smiley


Das hat IMHO nichts mit dem Alltag zu tun, sondern es geht um die Funktionalität. Mit der von mir geposteten GPO ist es möglich, Updates zu einem bestimmten Zeitpunkt installieren zu lassen und nichts, aber auch gar nichts, bekommt der User davon mit. Auch wird er nicht zu einem Neustart aufgefordert. Das ist eigentlich die GPO, die sich alle Admins wünschen. Zwinkernd



fidel schrieb on 05.06.08 um 16:25:35:
Einige wenige XP Client verhalten sich jedoch nicht so. Die genauen Gründe kann ich mir bisher noch nicht ableiten. jedoch nötigen diese   wenigen Clients (mit interessanterweise gleiche Einstellungen) den User im Betrieb einen Reboot ab. Dies ist je nach Dauer des Update Prozesses und der Arbeitssituation nicht akzeptabel.
auch dies mag bei dir anderst sein...wiederrum schön hehe.


Und jetzt kommt schon wieder meine GPO ins Spiel. Zwinkernd Da Du jeden Client manuell konfigurieren mußt, kannst Du dir bestimmt einen user aussuchen und mit ihm den Test machen. Oder Du nimmst dir einen virtuellen Client, der immer läuft.

Kannst Du es auf ein bestimmtes Update festmachen? IE7 oder SP3?


fidel schrieb on 05.06.08 um 16:25:35:
Fraglich ist für mich warum dies auf einen Clients funktioniert und auf anderen widerrum nicht. Es sind exakt die gleichen Settings via gpedit.msc gesetzt.


Du wirst wohl vergleichen und evtl. auch löschen müssen.


fidel schrieb on 05.06.08 um 16:25:35:
Obige Einstellungensollten mit meinem MS Kenntniss-Stand (der sicher limitiert ist, da ich das OS nicht als Haupt OS verwende) im Falle eines normalen User-Accounts genau machen was wir wollen.....nämlich keine gezwungene / nicht abbrechbaren Reboot im Betrieb. Verstehe ich hier was falsch bin ich offen für korrektur.


Probier die Einstellungen mal aus, aber bitte 1 zu 1 übernehmen. Incl. der Benutzereinstellungen.


fidel schrieb on 05.06.08 um 16:25:35:
Abschliessend: Sorry wenn ich dich angegriffen habe, aber dein Post/Posting-Art regt mich auf. Mag sein dass ich keinen guten Tag hatte (whatever) aber ich habe lange genug in Foren rumgewühlt/administriert um zu wissen dass man anderst auf Anfragen reagieren kann.


Jeder hat mal einen schlechten Tag, ich auch. Belassen wir es dabei und schliessen Frieden. OK? Zwinkernd

fidel schrieb on 05.06.08 um 16:25:35:
vielleicht erschließt sich mir ja morgen inwiefern Option 4 meinen Fall abdecken soll/kann. Oder aber wir kommen überein dass Option 4 in meinem Fall keine Wahl ist und ich gerne, sofern irgendwie möglich Option 3 verwenden will.


Kommt Zeit, kommt Rat. Zwinkernd

fidel schrieb on 05.06.08 um 16:25:35:
Bzgl Debug des Verhaltens der Rechner mit gleichen Einstellungen aber unterschiedlichem Verhalten im alltag bin ich für Ideen offen.


Nicht falsch verstehen, mit einer Domain und OU-Struktur, wäre genau das jetzt IMHO viel einfacher.

Schönen Abend noch.
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden