Petrie schrieb on 20.09.11 um 12:41:17:


Ein "User" kann sowieso kein SP installieren, und sollte auch nicht dazu in der Lage sein. Falls den den Admin meinst, dann stell die SPs für die Server mit der Option 3 bereit. Manueller Download und manuelle Installation des Servicepacks.

Habt vielen Dank, ihr zwei. Dann habe ich ja was zu lesen! 

@Sunny: Welche Option Nr. 3 meinst du? Ich habe bei meiner Suche irgendwo gelesen, ich könne unter der Freigabe (also "Approval" bei uns) mehrere Optionen festlegen, darunter "Install" und "Detect only". Meinst du diese Stelle?  -  Allerdings kann ich bei unserer Installation unter "Approval" klicken, wie ich will, - dort kann ich nichts einstellen. 

Ich habe die WSUS Version: 3.1.6001.65, - ist das vielleicht ein später installiertes Feature...?

Viele Grüße,
Petrie

Schau dir die Option 3 in der GPO an, die macht was Du suchst. Die sollte man eh bei Servern via GPO aktiviert haben.

Petrie schrieb on 20.09.11 um 16:03:09:

Dann solltest Du Dir als Erstes mal das SP2 für den WSUS installieren, aktuell ist die Version 3.2.7600.226

Petrie schrieb on 20.09.11 um 16:03:09:

Das gab es damals beim WSUS2. Der WSUS3 macht den "Detect" dagegen sowieso automatisch solange ein Update nicht abgelehnt ist. Es gibt nur "genehmigt", dann wird es bei Option 4 automatisch installiert oder bei Option 3 bekommt es jeder User mit Adminrechten zur Installation angeboten. Oder "nicht genehmigt" dann kann es am Server auch keiner vom WSUS holen. In deinem geschilderten Fall wirst du wohl, wie Sunny schon schrieb, keine SP verteilen können. Von Genehmigung mit "Stichtag" solltest du Abstand nehmen, da werden die Clients gnadenlos nach dem Patchen neu gestartet, so kann man sich in der Firma *ähem* eine Menge "Freunde" machen

Du kannst die SP im WSUS auf "nicht genehmigt" stehen lassen und bekommst so zumindest eine Rückmeldung welcher Server die gerne hätte, ohne die Möglichkeit sie dort zu installieren. Das mußt du dann manuell erledigen, also z.B. die EXE von einem freigegebenen Netzlaufwerk oder von einem Wechselmedium installieren, jedoch nicht vom WSUS. Danach meldet der Server dem WSUS zurück daß der SP nicht mehr erforderlich ist. Du hast so wenigstens im WSUS eine zentrale Kontrolle wem was fehlt. Also nur noch Update-Kontrolle statt Update-Verteilung.

Aber am Rande: Wenn du den Leuten nicht zutraust verantwortungsvoll mit Servicepack-Installationen umzugehen dürfen die dann "normale" Updates installieren? Denn dabei stellt sich doch die gleiche Problematik, ich wüsste nicht was an Servicepacks jetzt gravierend schlimmer wäre als an sonstigen Updates? Und auch damit kann einer im laufenden Betrieb mal den Server neu booten lassen ...

Sunny schrieb on 21.09.11 um 23:02:46:

Ha ... wir haben auch Systeme, die ein SP nicht bekommen dürfen. 

Bei der einen Truppe fliegen die FC-Controller samt EMC2 weg.

Bei der andern kann Uraltsoftware nicht mehr weiterbetrieben werden.

Manches Feature in Windows wurden von Firmen eben "konsequent" genutzt ... und waren zum Schluß doch nur ein BUG / eine Sicherheitslücke.

Gruß Dani

Hi AraldoL,

Araldo.L schrieb on 24.09.11 um 08:51:48:

Ist schon klar und wie Sunny bereits sagte ist das ja auch ein Widerspruch in sich, wenn Administratoren einen Teil des Selben nicht tun können sollen.

Im Grunde sollte auf dem System das "verstecken und nicht wieder zur Intsallation anbieten" des SP's beim ersten Angebot zur Installation ausreichen. Da darf aber nicht der Distributionsordner gelöscht werden, da dann das SP doch wieder angeboten wird.

Beliebter Trick auf TS/RDS -Servern ist, den Zugriff auf die wuau.exe zu entziehen. Das könnte man für den lokalen Administrator tun und ersatztweise einer neuen Gruppe UpdateAdministratoren gewähren.

Aber jeder Admin kann sich selbst dieser wieder als Mitglied zuordnen .... Ne ne man sollte als Admin wissen was man tut. Und wenn nicht, ist das eine Sache der Personalabteilung (Weiterbildung vs. Disziplinierung).

Gruß Dani