Heißes Thema (mehr als 10 Antworten) Reboot trotz angemeldetem User / kein Abbruch möglich (Gelesen: 2036 mal)
netandif
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 8
Mitglied seit: 13.11.08
Reboot trotz angemeldetem User / kein Abbruch möglich
13.11.08 um 14:28:30
Beitrag drucken  
Ich habe mit WSUS 3.0 SP1 folgendes Problem:
Die Rechner starten bei Updates, die einen Neustart benötigen automatisch neu, trotz angemeldeten Benutzern.
Desweiteren erscheint zwar ein Dialogfeld mit dem Hinweis, dass der Rechner in 5 Minuten neu gestartet wird, dies lässt sich aber nicht abbrechen (obwohl ich als Admin angemeldet bin)
Relevant sind hier wohl folgende Einträge:

Keinen automatischen Neustart für geplante Installationen durchführen       (Aktiviert)
Nicht-Administratoren gestatten, Updatebenachrichtigungen zu erhalten       (Aktiviert)

Desweiteren habe ich folgenden Registry-Eintrag auf Vorhandensein überprüft:

NoAutoRebootWithLoggedOnUsers (Wert: 1)

Ich habe keine Idee mehr was hier los ist.
Die automatischen Updates verhalten sich völlig irrational.

Hier noch ein Auszug aus der WindowsUpdate.log:

# Approval type: Pre-install notify (Policy)
# Auto-install minor updates: Yes (Policy)
# Will interact with non-admins (Non-admins are elevated)
...
Obtained Post reboot hr from Agent:8024000c
setting pending client directive to 'Forced Reboot'
Triggering Offline detection (non-interactive)

Es kann doch nicht sein, dass man selbst als Admin nichts dagegen tun kann, dass der Rechner einfach neu startet?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13413
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #1 - 13.11.08 um 14:38:41
Beitrag drucken  
Stell um auf die Option 4 und auch gleich die hier gen. Benutzereinstellung: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). Damit gibts dann auch keine Benachrichtigung mehr, der Client schweigt wie ein Grab. Zwinkernd
  
Zum Seitenanfang
 
netandif
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 8
Mitglied seit: 13.11.08
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #2 - 14.11.08 um 08:09:19
Beitrag drucken  
Sunny schrieb on 13.11.08 um 14:38:41:
Stell um auf die Option 4 und auch gleich die hier gen. Benutzereinstellung: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). Damit gibts dann auch keine Benachrichtigung mehr, der Client schweigt wie ein Grab. Zwinkernd


Ok, soweit war ich auch schonmal. Es kommt keinerlei Benachrichtigung. Und jetzt der Hammer: ich habe festgestellt, dass die automatischen Reboots nur dann stattfinden, wenn ich als Administrator angemeldet bin. Also normaler User ohne Admin-Rechte verhält sich das ganze völlig anders! Ich hatte schonmal die Richtlinie so eingestellt, dass im Dialogfeld 'Ausschalten' die Option stand: Updates installieren und Herunterfahren. Auch dies nur bei normalen Benutzern. Administratoren bekamen auch diese Möglichkeit nicht. Und jetzt, also wenn keinerlei Benachrichtigungen erfolgen, kann der normale Benutzer völlig normal arbeiten, während ein Administrator nicht von automatischen Reboots verschont wird.

Mir scheint, die ganzen Konfigurationsmöglichkeiten gelten nur für normale Benutzer, nicht für Administratoren (zumindest nicht für reine Domänen-Admins).
Das ist sehr sehr verwirrend, wenn man es nicht weiß...

Da muss man erstmal draufkommen!
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13413
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #3 - 14.11.08 um 08:45:32
Beitrag drucken  
Deshalb hab ich diese Einstellung auch nur auf die Benutzer der Computerobjekte verlinkt, der richtige Domainadministrator ist davon nicht betroffen. Das wäre auf Servern ja auch fatal. Da hab ich allerdings die Option 3 eingestellt.
  
Zum Seitenanfang
 
netandif
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 8
Mitglied seit: 13.11.08
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #4 - 14.11.08 um 08:51:52
Beitrag drucken  
Was meinst Du mit:
Sunny schrieb on 14.11.08 um 08:45:32:
Deshalb hab ich diese Einstellung auch nur auf die Benutzer der Computerobjekte verlinkt,


Bei der Windows Update Richtlinie ist doch noch nur die Computer-Policy relevant? Der Benutzer-Bereich bezieht sich doch nur auf die Option 'Updates installieren und herunterfahren'.
Ich habe eine spezielle OU wo nur die zu aktualisierenden Rechner drin sind!
  
Zum Seitenanfang
 
netandif
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 8
Mitglied seit: 13.11.08
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #5 - 14.11.08 um 09:10:32
Beitrag drucken  
Achja, bevor ich's vergesse: danke für die Hilfe! Bin eigentlich ziemlich froh, dass es dieses Forum gibt. Dachte schon man ist da ziemlich aufgeschmissen wenn man Hilfe braucht.

Und wenn ich schon mal hier bin, gleich noch ne andere Frage.
Kennst Du Dich auch mit Forefront Client Security aus? Bzw. gibt es da auch ein gutes Forum?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13413
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #6 - 14.11.08 um 09:34:55
Beitrag drucken  
netandif schrieb on 14.11.08 um 08:51:52:
Was meinst Du mit:
Sunny schrieb on 14.11.08 um 08:45:32:
Deshalb hab ich diese Einstellung auch nur auf die Benutzer der Computerobjekte verlinkt,


Bei der Windows Update Richtlinie ist doch noch nur die Computer-Policy relevant? Der Benutzer-Bereich bezieht sich doch nur auf die Option 'Updates installieren und herunterfahren'.


Ja fast. Updates installieren und Herunterfahren gibts bei mir nicht. Meine Struktur sieht wie folgt aus:
Domain
  OU-Standort (mit Computer und Benutzerobjekten
  WSUS-GPO mit Computer- und Benutzerobjekteinstellungen
Im Container Users auf Domain Ebene liegt der Domain Admin, der kriegt von dieser GPO nichts mit.

netandif schrieb on 14.11.08 um 08:51:52:
Ich habe eine spezielle OU wo nur die zu aktualisierenden Rechner drin sind!


OK, und der Domain Admin liegt im Verwaltungsbereich der GPO, richtig?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13413
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #7 - 14.11.08 um 09:39:28
Beitrag drucken  
netandif schrieb on 14.11.08 um 09:10:32:
Achja, bevor ich's vergesse: danke für die Hilfe! Bin eigentlich ziemlich froh, dass es dieses Forum gibt. Dachte schon man ist da ziemlich aufgeschmissen wenn man Hilfe braucht.


Bitte, gern geschehen. Zwinkernd

netandif schrieb on 14.11.08 um 09:10:32:
Und wenn ich schon mal hier bin, gleich noch ne andere Frage.
Kennst Du Dich auch mit Forefront Client Security aus? Bzw. gibt es da auch ein gutes Forum?


Keine Ahnung von dem Zeugs. Zwinkernd

(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

Was anderes hab ich auf die schnelle nicht gefunden. Eine deutsche Newsgroup gibts wohl auch nicht. Griesgrämig
  
Zum Seitenanfang
 
netandif
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 8
Mitglied seit: 13.11.08
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #8 - 14.11.08 um 10:11:10
Beitrag drucken  
Quote:
OK, und der Domain Admin liegt im Verwaltungsbereich der GPO, richtig?


Nein, der Domain-Admin liegt in der OU Users. Die anderen Domänen-Admins sind in anderen OUs. Kriegen also auch nichts von der Richtlinie mit. Wie gesagt, nur die PCs. Die Server liegen sowieso auch woanders, haben damit überhaupts nichts zu tun.

Ich denke mal, so komm ich dann schon hin mit dem was ich will.
Das einzige was ich noch problematisch finde ist, dass es bei uns manche User gibt, die lokale Admins sind. Und genaue diese PCs haben die ungefragten Reboots gemacht. Dafür muss ich noch eine Lösung finden. Denn dies hebelt dann irgendwie die komplette Strategie aus.
Werde da noch etliche Tests machen müssen.

  
Zum Seitenanfang
 
netandif
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 8
Mitglied seit: 13.11.08
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #9 - 14.11.08 um 10:13:42
Beitrag drucken  
Sunny schrieb on 14.11.08 um 09:39:28:
Was anderes hab ich auf die schnelle nicht gefunden. Eine deutsche Newsgroup gibts wohl auch nicht. Griesgrämig


Danke!
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13413
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #10 - 14.11.08 um 11:08:40
Beitrag drucken  
netandif schrieb on 14.11.08 um 10:11:10:
Das einzige was ich noch problematisch finde ist, dass es bei uns manche User gibt, die lokale Admins sind. Und genaue diese PCs haben die ungefragten Reboots gemacht. Dafür muss ich noch eine Lösung finden. Denn dies hebelt dann irgendwie die komplette Strategie aus.
Werde da noch etliche Tests machen müssen.


Und genau auf die User zielt die Benutzereinstellung ab. Ist bei mir nicht anders. Auf meinem Client bin ich Admin, aber die Benutzereinstellung greift, es wird bei mir auf meinem Client um 12.00 Uhr installiert und es erfolgt kein Reboot und auch kein PopUp kommt hoch. Irgendwas passt also bei dir noch nicht. Zwinkernd
  
Zum Seitenanfang
 
netandif
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 8
Mitglied seit: 13.11.08
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #11 - 14.11.08 um 14:16:05
Beitrag drucken  
So, ich habe jetz mal ein frisches Experiment gemacht.

- ein nacktes Windows XP SP2 in einer virtuellen Maschine installiert
- eigene OU mit neuer Windows Update Richtlinie. Einstellungen wie oben  bereits erwähnt und empfohlen
- folgendes nochmal überprüft: der Registry-Eintrag NoAutoRebootWithLoggedOnUsers ist vorhanden und steht auf 1
- als ganz normaler User angemeldet und den Zeitpunkt abgewartet
- die WindowsUpdate.log beobachtet

Und wieder: automatische Neustarts, die nicht verhindert werden können.
Ich würde sagen, hier stimmt etwas gewaltig nicht.
Wie kann es sein, dass der oben erwähnte Registry-Eintrag ignoriert wird? Das macht mich langsam dermassen verrückt dass ich bald keine Lust mehr habe. Was ich dann mache ist: alle Updates in WSUS ablehnen bis auf die benötigten Forefront Client Updates.
Leute ihr könnt euch nicht vorstellen wie es nervt, wenn mal soviel Zeit in das ganze investiert und es dann offensichtlich aufgrund eines unbekannten Fehlers einfach nicht funktioniert, obwohl es überall genau so als funktionierend dokumentiert ist.

  
Zum Seitenanfang
 
netandif
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 8
Mitglied seit: 13.11.08
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #12 - 14.11.08 um 15:01:47
Beitrag drucken  
So, noch ein letztes 'Update' für heute. (hach, was für ein Wortspiel Zwinkernd)

Die Benutzer Option Zugriff auf alle Windows Update Funktionen entfernen bewirkt folgendes: nämlich dass kein Reboot stattfindet, weil der User keinen Zugriff auf die Updatefunktionen hat. Was aber nicht bedeutet, dass das Update dann gar nicht läuft. Denn, wenn ich nun in der WindowsUpdate.log nachsehe, steht da folgendes: Windows Update is disabled by policy for user (sehr mißverständlich).
Mit anderen Worten: die Updates werden installiert, aber der Benutzer hat keinen Zugriff auf die Windows Update Funktionen, als bekommt er auch keinen Reboot.
Irgendwie schon seltsam, das ganze Prinzip. Aber ich glaub ich habe es jetzt kapiert.
Nochmals danke an Sunny, und sorry dass ich so lange gebraucht habe um es zu checken. Aber wie gesagt, logisch ist das ganze nicht unbedingt.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13413
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Reboot trotz angemeldetem User / kein Abbruch möglich
Antwort #13 - 15.11.08 um 23:53:10
Beitrag drucken  
netandif schrieb on 14.11.08 um 15:01:47:
Mit anderen Worten: die Updates werden installiert, aber der Benutzer hat keinen Zugriff auf die Windows Update Funktionen, als bekommt er auch keinen Reboot.
Irgendwie schon seltsam, das ganze Prinzip. Aber ich glaub ich habe es jetzt kapiert.


Macht ja nix, Hauptsache des fünferl is gfallen, wie man bei uns in Bayern zu sagen pflegt. Zwinkernd

netandif schrieb on 14.11.08 um 15:01:47:
Nochmals danke an Sunny, und sorry dass ich so lange gebraucht habe um es zu checken. Aber wie gesagt, logisch ist das ganze nicht unbedingt.


Bitte, gern geschehen, doch, das ist logisch. Zwinkernd
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden