Sunny schrieb on 24.09.10 um 16:25:06:
Was genau bekommt man mit GPOs nicht hin?
In grösseren Umgebungen wie unserer gibt es nur bestimmte Wartungsfenster die immer einzeln vereinbart werden müssen. z.B. Freitag 29.10.2010 und man bekommt nur einige Stunden Zeit für die Updates.
In den Policy Einstellungen kann ich z.B. kein DAtum eingeben um diese zur 'Steuerung' zu benutzen. Ich kann nur sagen 'Donnerstags' 12Uhr...
Die Computergruppen im WSUS sind nach verschiedenen GEsichtspunkten zusammengestellt. Diese haben teils nichts mit der Einsortierung im AD zu tun.
Ich müsste also erstmal für jeden Computergruppe, die einen anderen Installationszeitpunkt bekommen solle eine eigene Policy erstellen..habe dann aber noch das Problem, dass ich diese nicht einfach auf eine OU verlinken kann, da die Rechner ja wie oben beschrieben nicht alle in einer OU sind...so müsste ich also mit Gruppenfilterung arbeiten und die Policy so hoch in der OU Struktur verlinken, dass diese alle betrifft.
Der Stichtag ist das einzige und beste Mittel um sicherzustellen, dass die Computergruppen zu einem bestimmten Zeitpunkten updaten und vor allem natürlich auch durchbooten! Admins, die u.U. noch angemeldet sind haben Pech und hätten sich vorher melden müssen. (Patchzeitpunkte sind mind. 1 Woche vorher bekannt meist)
Zu 'Wichtige Updates': Mir ist schon klar, dass es nur eine 'Ansicht' ist...aber mit dem Ziel, dass ich alle von Microsoft als 'Wichtige Updates' (wie auf der Windows Update Seite bzw. Microsoft Update Seite angezeigt) installieren will, reicht halt die KLassifizierung im WSUS 'Wichtige Updates' nicht aus..diese stimmt nicht mit der auf der Windows/Microsoft UPdate Seite überein..warum auch immer.
Mit der von mir erzeugten Benutzerdefinierten Ansicht, wo ich versucht habe alle Klassifizierungen zu filtern, damit das Ergebnis so aussieht wie die Windows/MS Update Seite (also Sicherheitsupdates, Update Rollups und Wichtige Updates) kann ich dann nach der Spalte 'Erforderliche Anzahl' sortieren und dann alle diese Updates freigeben.
Die Frage war da nur von mir, ob es schonmal vorgekommen ist, dass z.B. bei Update Rollups Updates erschienen sind, die nicht 'Wichtige Updates' sind und deshalb ein Haken in dieser Filterung der Klassifizierung wäre.
Ich synce z.B. noch die 'Updates', nur gebe davon nur ausgewählte ausgewählten Computergruppen frei .. je nach Bedarf. Das stört aber leider immer diese vordefinierten Ansichten wo diese Updates dann immer als noch benötigt im WSUS angezeigt werden, obwohl diese nicht wichtig sind. (In der Definition der Windows/MS Update Seite).
Naja..ok muss dann halt nun einige Wochen erstmal laufen lassen und schauen ob und was sich z.B. zur UPdate Seite unterscheidet udn schauen woran es lag.
ServicePacks tauchen ja auch bei Wichtige UPdates auf..aber die werden bei uns manuell installiert und deshalb absichtlich nicht im WSUS.