Marcel Ellerbrok schrieb on 18.06.08 um 15:17:43:
Ich hab so wenig Erfahrung mit GPOs... hmm ich hab im "Active Directory Benutzer und Computer"-Manager für die ganze lokale Domäne die Option auf "4" eingestellt. Und den Rest auch so wie auf deinem Bildchen.
Dann triffst Du auch die Server. Das ist schlecht. Hast Du die GPO innerhalb der Default Domain Policy erstellt oder gibts eine eigene GPO für den WSUS? Eine eigene ist sehr zu empfehlen, in der Default Domain Policy hat nichts außer Passwortrichtlinien etwas zu suchen. Das SMB-Signing muß in dieser DDP + in der DDCP eingestellt sein:
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).Somit kannst Du sicherstellen, jede Einstellung in einer eigenen GPO getroffen zu haben, bei der Fehlersuche tust du dich auch viel leichter.
Mach eine OU, in dieser OU kannst Du beispielsweise noch eine OU für die Clients und eine für die User erstellen. Auf der OberOU verlinkst Du nun die einzelnen GPOs. Damit triffst Du immer alle Computer- und Userobjekte die drunter, bzw. innerhalb dieser OberOU liegen. Im Fall eines Fehlers, ziehst Du den betroffenen Client einfach raus und schon wirken keine GPOs mehr. Ein Beispiel gibts hier:
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).Marcel Ellerbrok schrieb on 18.06.08 um 15:17:43:
Wenn ich jetzt in dem Domänen-Unterordner "Domain-Controlers" die Policy zurück auf "3" einstelle sollte das doch eigentlich reichen, oder?
Wenn es die gleiche GPO ist, dann nein. Denn dann wird die komplette GPO verändert, das wirkt sich logischerweise auch auf die Clients aus.
Beispiel:
Domain.TLD (hier ist die Default Domain Policy)
Computers (das ist ein Container)
DomainControllers (das ist eine OU in der die Default Domain Controller Policy liegt)
OberOU (selbst erstellt)
OUComputer(selbst erstellt)
OUUser (selbst erstellt)
Besser Du erstellst eine WSUS-GPO für die Server und eine eigene für die Clients und User.