Normales Thema WSUS GPO "Neustart für geplante Installationen verzögern" (Gelesen: 3756 mal)
phatair
WSUS Senior Member
***
Offline


I Love WSUS!

Beiträge: 123
Mitglied seit: 26.07.11
WSUS GPO "Neustart für geplante Installationen verzögern"
20.07.15 um 17:02:50
Beitrag drucken  
Hallo zusammen,

ich bin etwas verunsichert und deshalb möchte ich zur Sicherheit noch mal nachfragen.

Ich möchte, dass die User eine Benachrichtung erhalten - das alle 2 Stunden. Der PC soll aber nicht automatisch neu gestartet werden und die Updates automatisch installiert werden. Dazu habe ich die GPO wie folgt konfiguriert:

Automatische Updates konfigurieren: Aktiv mit Wert 4
Internen Pfad für Updatedienst: Aktiv
Automatische Updates installieren: Aktiv
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen: Aktiv
Erneut zu einem Neustart für geplante Installationen auffordern: Aktiv mit Wert 120
Neustart für geplante Installationen verzögern: Nicht konfiguriert
Zeitplan für geplante Installationen neu erstellen: Aktiv mit Wert 30

Was ich nicht ganz verstehe, was ist mit diesen beiden Richtlinien gemeint bzw. widersprechen die sich nicht...?

"Erneut zu einem Neustart für geplante Installation auffordern"
Verstehe ich so, dass nach der Meldung "möchten Sie den PC neustarten, Updates wurden installiert" die angegebene Zeit vergeht bevor die Meldung wieder erscheint.

"Neustart für eine geplante Installtion verzögern"
In der GPO Erklärung steht: Quote:
Bestimmt nach der Installation automatischer Updates die Wartezeit vor einem geplanten Neustart.

Wenn der Status auf "Aktiviert" festgelegt ist, wird nach Abschluss der Installation und nach Ablauf der angegebenen Minuten ein geplanter Neustart durchgeführt.

Wenn der Status auf "Deaktiviert" oder "Nicht konfiguriert" festgelegt ist, beträgt die Standardwartezeit 15 Minuten.

Das klingt für mich, wenn ich diese Richtline nicht konfiguriere oder deaktiviere wird nach 15 Minuten der PC automatisch neu gestartet. Wenn ich sie aktiviere, müsste ich aber einen festen Wert angeben nach dem der PC neu automatisch neu gestartet wird. Nun bin ich total verwirrt, ich will ja gar keinen automatischen Neustart, deshalb habe ich ja die Richtlinie "Keinen automatischen Neustart für geplante Installationen..." aktiviert. Oder gilt dann die "verzögern" Richtlinie gar nicht.

Wäre für eine kurze Aufklärung sehr dankbar Smiley

Gruß,
Steffen

  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS GPO "Neustart für geplante Installationen verzögern"
Antwort #1 - 20.07.15 um 21:37:45
Beitrag drucken  
phatair schrieb on 20.07.15 um 17:02:50:
Ich möchte, dass die User eine Benachrichtung erhalten - das alle 2 Stunden. Der PC soll aber nicht automatisch neu gestartet werden und die Updates automatisch installiert werden. Dazu habe ich die GPO wie folgt konfiguriert:



Erklär mir doch bitte, weshalb ein Benutzer alle 2 Stunden mit so einer unsinnigen Meldung genervt werden soll? Wenn die Benutzer am Abend ihre Rechner ausschalten am nächsten Tag neu starten, ist alles grün, oder nicht?
  
Zum Seitenanfang
 
phatair
WSUS Senior Member
***
Offline


I Love WSUS!

Beiträge: 123
Mitglied seit: 26.07.11
Re: WSUS GPO "Neustart für geplante Installationen verzögern"
Antwort #2 - 21.07.15 um 08:11:23
Beitrag drucken  
Hallo Sunny, da gebe ich dir erstmal vollkommen Recht.
Das Problem ist folgendes. Ich bin erst neu in der Firma und die IT Umgebung ist deutlich anders als ich es bisher kannte (User haben hier lokale Admin Rechte, WSUS gab es keinen - der Azubi ist einmal im Monat rumgelaufen und hat die Updates bei ca. 80 PCs eingespielt, die Rechner laufen oft mehrere Tage einfach durch usw....)

Normalerweise habe ich den WSUS auch so konfiguriert, dass keine Benachrichtung erscheint. Da ich mir hier aber erstmal nicht sicher bin ob User Ihren PC überhaupt runterfahren, möchte ich erstmal die Benachrichtung einschalten um Sie auf Updates aufmerksam zu machen. Ist sicherlich nicht die optimale Lösung aber erstmal muss ich versuchen etwas Struktur in die Umgebung zu bekommen.

Was ich mich zu der GPO "Neustart für eine geplante Installtion verzögern" Frage. Ist damit wirklich gemeint, dass der PC nach der angegebenen Zeit einfach neu startet? Wenn das so wäre, hätte ich ja keine Möglichkeit den automatischen Neustart zu verhindern, da bei aktivierter GPO meine Zeiteinstellung gilt und bei deaktiverter GPO die Standard Zeit von 15 Minuten.

Oder überschreibt die GPO "Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen" diese?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS GPO "Neustart für geplante Installationen verzögern"
Antwort #3 - 21.07.15 um 08:38:35
Beitrag drucken  
phatair schrieb on 21.07.15 um 08:11:23:
Ich bin erst neu in der Firma und die IT Umgebung ist deutlich anders als ich es bisher kannte (User haben hier lokale Admin Rechte, WSUS gab es keinen - der Azubi ist einmal im Monat rumgelaufen und hat die Updates bei ca. 80 PCs eingespielt, die Rechner laufen oft mehrere Tage einfach durch usw....)


Das ist wie ein Märchen, keiner glaubt es, aber es ist wohl trotzdem wahr. Ich kann einfach nicht verstehen, das es solche produktiven Umgebungen heute noch gibt. Zuerst würde ich vermutlich per GPO den Benutzern die Adminrechte entziehen, ist viel gefährlicher als Windows Updates verzögert zu installieren.

phatair schrieb on 21.07.15 um 08:11:23:
Normalerweise habe ich den WSUS auch so konfiguriert, dass keine Benachrichtung erscheint. Da ich mir hier aber erstmal nicht sicher bin ob User Ihren PC überhaupt runterfahren, möchte ich erstmal die Benachrichtung einschalten um Sie auf Updates aufmerksam zu machen. Ist sicherlich nicht die optimale Lösung aber erstmal muss ich versuchen etwas Struktur in die Umgebung zu bekommen.


Du kannst und sollst soziale Dinge nicht mit Technik erschlagen. Wenn es keinen triftigen Grund für das nicht abschalten gibt, würde ich ein Script per GPP verteilen, das die Rechner um Mitternacht einfach abschaltet.

phatair schrieb on 21.07.15 um 08:11:23:
Was ich mich zu der GPO "Neustart für eine geplante Installtion verzögern" Frage. Ist damit wirklich gemeint, dass der PC nach der angegebenen Zeit einfach neu startet? Wenn das so wäre, hätte ich ja keine Möglichkeit den automatischen Neustart zu verhindern, da bei aktivierter GPO meine Zeiteinstellung gilt und bei deaktiverter GPO die Standard Zeit von 15 Minuten.

Oder überschreibt die GPO "Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen" diese?


Da ich mich damit noch nie auseinandergesetzt habe, kann ich dir auch nicht wirklich helfen. Norbert hatte so eine ähnliche Anforderung gehabt, in seinem Howto ist das ganz gut beschrieben: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). Evtl. hilft es dir weiter.

Aber ich würde es wirklich vorher mit reden probieren, notfalls ein Mail vom Abteilungsleiter an alle MA verschicken lassen, mit der Bitte die PCs am Abend auszuschalten. Gründe gibt es genügend dafür. Habt ihr denn einen Zangsbildschirmschoner per GPO konfiguriert? Wenn nein, dann kann sich jetzt abends jeder an einen anderen PC setzen und mit dem Account vom Kollegen arbeiten.
  
Zum Seitenanfang
 
phatair
WSUS Senior Member
***
Offline


I Love WSUS!

Beiträge: 123
Mitglied seit: 26.07.11
Re: WSUS GPO "Neustart für geplante Installationen verzögern"
Antwort #4 - 21.07.15 um 08:47:42
Beitrag drucken  
Erstmal bin ich ganz froh das ich doch nicht ganz falsch ticke... Ich war und bin immer noch ganz überrascht und entsetzt was hier für Strukturen herschen. Ganz abgesehen von Berechtigungen auf dem file-server usw. Aber gut, dass ist ein anderes Thema.

Vielleicht hast Du da Recht, lieber ein Ende mit Schrecken als ein Schrecken ohne Ende Smiley Ich bin jetzt 3 Wochen da und so langsam muss mal aufgeräumt werden.

Wenn ich Dich richtig verstehe, konfiguriere ich die GPO einfach mit folgenden Optionen:
Automatische Updates konfigurieren: Aktiv mit Wert 4
Internen Pfad für Updatedienst: Aktiv
Automatische Updates installieren: Aktiv
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen: Aktiv
Zeitplan für geplante Installationen neu erstellen: Aktiv mit Wert 30

Dazu noch die Einstellungen in den Benutzereinstellungen der GPO unter "Windows Update" mit Benachrichtigung ausblenden.

Somit werden die Updates zum gewünschten Zeitpunkt installiert, die User erhalten keine Info und bei einem Neustart werden sie automatisch installiert.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS GPO "Neustart für geplante Installationen verzögern"
Antwort #5 - 21.07.15 um 10:04:02
Beitrag drucken  
phatair schrieb on 21.07.15 um 08:47:42:
Vielleicht hast Du da Recht, lieber ein Ende mit Schrecken als ein Schrecken ohne Ende Smiley Ich bin jetzt 3 Wochen da und so langsam muss mal aufgeräumt werden.


Ja, man erwartet Veränderungen von einem neuen Admin. Zwinkernd
Trotz allem, langsam angehen und nicht zu viel auf einmal machen. So manche Dinge müssen erst bei Benutzern 'wirken'. Zwinkernd Und alles ausreichend dokumentieren.

phatair schrieb on 21.07.15 um 08:47:42:
Wenn ich Dich richtig verstehe, konfiguriere ich die GPO einfach mit folgenden Optionen:
Automatische Updates konfigurieren: Aktiv mit Wert 4
Internen Pfad für Updatedienst: Aktiv
Automatische Updates installieren: Aktiv
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen: Aktiv
Zeitplan für geplante Installationen neu erstellen: Aktiv mit Wert 30

Dazu noch die Einstellungen in den Benutzereinstellungen der GPO unter "Windows Update" mit Benachrichtigung ausblenden.

Somit werden die Updates zum gewünschten Zeitpunkt installiert, die User erhalten keine Info und bei einem Neustart werden sie automatisch installiert.


Dieses GPO ist bei uns im Einsatz, wirkt nur auf die Clients und die Benutzer: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). Und wenn Du in der WSUS-Konsole bei den Clients den Installationsstatus einblenden lässt, dann siehst du auch gleich am Symbol ob ein Rechner einen Neustart braucht oder nicht.  die Suchhäufigkeit hab ich auch auf 4 Stunden eingestellt, so meldet sich ein normaler Client mindestens zweimal täglich.
  
Zum Seitenanfang
 
phatair
WSUS Senior Member
***
Offline


I Love WSUS!

Beiträge: 123
Mitglied seit: 26.07.11
Re: WSUS GPO "Neustart für geplante Installationen verzögern"
Antwort #6 - 21.07.15 um 11:32:21
Beitrag drucken  
Hallo Winfried,

ja, dass kann gut sein. Ich bin mir selber aber noch nicht sicher wieviel Veränderungen Sie wirklich wollen Zwinkernd
Werde versuchen nichts zu überstürzen, auch wenn es mich in den Fingern juckt und ich hier gerne etwas aufräumen würde. Gerade eben hat mir doch glatt ein User das Domain Admin Passwort gesagt Lippen versiegelt

Vielen Dank für die GPO - ich habe sie so ähnlich aufgebaut und werde Sie jetzt ohne Benachrichtugng verteilen.
Allerdings habe ich gerade beschlossen, dass es definitiv wichtigere Themen als den WSUS gibt und wir wohl viel tiefer bei den Veränderungen ansetzen müssen....

Danke Dir trotzdem für deine Hilfe!
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS GPO "Neustart für geplante Installationen verzögern"
Antwort #7 - 21.07.15 um 12:51:10
Beitrag drucken  
phatair schrieb on 21.07.15 um 11:32:21:
Werde versuchen nichts zu überstürzen, auch wenn es mich in den Fingern juckt und ich hier gerne etwas aufräumen würde. Gerade eben hat mir doch glatt ein User das Domain Admin Passwort gesagt Lippen versiegelt



Oje, wenn ein User so etwas wichtiges weiß, hast Du andere Sorgen, richtig. Bei Nils gibt es ein nettes Script um Dienst- und Task-Konten zu identifizieren und notfalls die Passwörter zu ändern. (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

Evtl. hilft dir das hier auch: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

Wir haben bei uns KeePass im Einsatz, dort werden die Passwörter gespeichert. Und jedesmal wenn sich die Möglichkeit gibt, den Domain Admin Account nicht verwenden, sondern einen eigenen Login pro Server oder pro Einsatzzweck generieren. So kann man die Benutzung des Domain Admin Account auch reduzieren. Und dabei natürlich so wenig Rechte wie möglich vergeben, nur so viele wie nötig. Ist zwar unbequem, aber so ist Sicherheit. Zwinkernd

Viel Erfolg weiterhin!
  
Zum Seitenanfang
 
phatair
WSUS Senior Member
***
Offline


I Love WSUS!

Beiträge: 123
Mitglied seit: 26.07.11
Re: WSUS GPO "Neustart für geplante Installationen verzögern"
Antwort #8 - 21.07.15 um 13:06:50
Beitrag drucken  
Vielen Dank für die beiden Links. Vor allem das erste Script ist sehr hilfreich, da mein erster Gedanke war - wie bekomme ich jetzt alle Task-Konten raus bei denen der Admin verwendet wurde. Hier wird sehr viel mit selbst geschriebenen Programmen und Tasks gearbeitet und da ist sicherlich fast überall der Domain Admin eingetragen.... Das script hilft mir da sehr.

Keepass setze ich auch schon seit ein paar Jahren ein und hat sich bis jetzt sehr bewährt. War mit das erste Tool das ich hier eingeführt habe, da hier keine Passwörter oder ähnliches dokumentiert sind.

Die User auf den Servern werden auch eine Aufgabe sein, dass stimmt.
Ich werde jetzt erstmal versuchen die Kollegen zu sensibilisieren und hoffe das dies auch verstanden wird.

Danke - kann ich gut gebrauchen Smiley
Vielen Dank noch mal für die Tips!
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden