4
Windows-Update-Einstellungen per Gruppenrichtlinie erzwingen?
Hallo alle zusammen,
Ich habe bei uns in der Firma gleich drei Probleme: Erstens laufen die Arbeitsplatzrechner größtenteils mit OEM-SB-Installationen (XP Pro) von Fujitsu Siemens, welche von WGA allzu gerne als falsch-illegal erkannt werden (Ob es wohl daran liegt daß es die Firma nicht mehr gibt?). Zweitens habe ich leider nicht die Zeit, einen WSUS aufzusetzen und vorallem zu pflegen. Drittens breitet sich im Netz diese mysteriöse Krankheit aus, daß sich die Einstellungen von Windows-Update "von alleine" verändern.
Standardmäßig sind alle Rechner auf "Benachrichtigen und Installationszeitpunkt manuell festlegen" eingestellt sowie alle betroffenen Mitarbeiter geschult, nach dem WGA-Teil zu fahnden und vor dem Herunterladen abzuwählen. Leider verändern sich die Einstellungen von Windows-Update immer wieder auf "Automatisch herunterladen und installieren". Die Mitarbeiter schwören Stein und Bein daß sie nicht daran gedreht haben und ich glaube ihnen auch da es mir selbst an meinem Rechner auch schon mehrfach passierte.
Eine Zeitlang bin ich den normalen Weg gegangen und habe solche falsch-illegal erkannten Installationen telefonisch abgeklärt. Es wurde auch bestätigt, daß es Falschmeldungen waren. Dann habe ich den Mitarbeitern beigebracht, den Installationsassistenten von WGA abzubrechen und mir Bescheid zu sagen, wenn er sich mal wieder ins System geschlichen hat. Aber das Ganze wird schon lästig. Alle paar Wochen auf zig Rechnern das System putzen oder für jeden einzelnen Rechner eine Viertelstunde zu telefonieren.
Daher die Frage: Kann es sein, daß eine Gruppenrichtlinie diese Einstellung für Windows-Update vorgibt und die Rechner deshalb von Zeit zu Zeit die Konfiguration ändern? Wenn ja, wo kann ich diese Einstellung verändern und dies für alle Rechner in der Domäne erzwingen?
Zweite, eher theoretische Frage: Angenommen, ich hätte einen WSUS, könnte man darüber überhaupt verhindern daß WGA an die Rechner im Netz ausgeteilt wird oder hat die Redmonder Firma da entsprechend vorgebaut?
Grüße
Cody
Ich habe bei uns in der Firma gleich drei Probleme: Erstens laufen die Arbeitsplatzrechner größtenteils mit OEM-SB-Installationen (XP Pro) von Fujitsu Siemens, welche von WGA allzu gerne als falsch-illegal erkannt werden (Ob es wohl daran liegt daß es die Firma nicht mehr gibt?). Zweitens habe ich leider nicht die Zeit, einen WSUS aufzusetzen und vorallem zu pflegen. Drittens breitet sich im Netz diese mysteriöse Krankheit aus, daß sich die Einstellungen von Windows-Update "von alleine" verändern.
Standardmäßig sind alle Rechner auf "Benachrichtigen und Installationszeitpunkt manuell festlegen" eingestellt sowie alle betroffenen Mitarbeiter geschult, nach dem WGA-Teil zu fahnden und vor dem Herunterladen abzuwählen. Leider verändern sich die Einstellungen von Windows-Update immer wieder auf "Automatisch herunterladen und installieren". Die Mitarbeiter schwören Stein und Bein daß sie nicht daran gedreht haben und ich glaube ihnen auch da es mir selbst an meinem Rechner auch schon mehrfach passierte.
Eine Zeitlang bin ich den normalen Weg gegangen und habe solche falsch-illegal erkannten Installationen telefonisch abgeklärt. Es wurde auch bestätigt, daß es Falschmeldungen waren. Dann habe ich den Mitarbeitern beigebracht, den Installationsassistenten von WGA abzubrechen und mir Bescheid zu sagen, wenn er sich mal wieder ins System geschlichen hat. Aber das Ganze wird schon lästig. Alle paar Wochen auf zig Rechnern das System putzen oder für jeden einzelnen Rechner eine Viertelstunde zu telefonieren.
Daher die Frage: Kann es sein, daß eine Gruppenrichtlinie diese Einstellung für Windows-Update vorgibt und die Rechner deshalb von Zeit zu Zeit die Konfiguration ändern? Wenn ja, wo kann ich diese Einstellung verändern und dies für alle Rechner in der Domäne erzwingen?
Zweite, eher theoretische Frage: Angenommen, ich hätte einen WSUS, könnte man darüber überhaupt verhindern daß WGA an die Rechner im Netz ausgeteilt wird oder hat die Redmonder Firma da entsprechend vorgebaut?
Grüße
Cody
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 120743
Url: https://administrator.de/contentid/120743
Printed on: April 23, 2024 at 23:04 o'clock
4 Comments
Latest comment
Hallo,
zu allen Fragen habe ich leider keine Antwort. Aber die Autoupdate-Einstellungen kann man über Gruppenlichtlienen festlegen; dann verstellen sie sich i.d.R. auch nicht mehr selbstständig.
Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows Update.
Hier sind die entsprechenden Einstellungen.
Also eine entsprechende GPO bauen und den Client-PCs zuweisen.
Gruss
Randy
zu allen Fragen habe ich leider keine Antwort. Aber die Autoupdate-Einstellungen kann man über Gruppenlichtlienen festlegen; dann verstellen sie sich i.d.R. auch nicht mehr selbstständig.
Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows Update.
Hier sind die entsprechenden Einstellungen.
Also eine entsprechende GPO bauen und den Client-PCs zuweisen.
Gruss
Randy
Hallo 
was ich mich bei deiner Frage zuerst einmal frage ist: Wieso in aller Welt haben die Mitarbeiter überhaupt die Möglichkeit zu diesen Aktionen ??? Das setzt doch schon mal voraus, dass bei euch die Mitarbeiter an Ihren Rechnern Administratoren sind.
Also vielleiht die Sache mal von der Seite angehen, eine vernünftige Rechtestuktur einzuführen.
Gruß
Hubert
was ich mich bei deiner Frage zuerst einmal frage ist: Wieso in aller Welt haben die Mitarbeiter überhaupt die Möglichkeit zu diesen Aktionen ??? Das setzt doch schon mal voraus, dass bei euch die Mitarbeiter an Ihren Rechnern Administratoren sind.
Also vielleiht die Sache mal von der Seite angehen, eine vernünftige Rechtestuktur einzuführen.
Gruß
Hubert
Du kannst beim WSUS relativ schön sagen wer was kriegen soll. Installiert ist der auch schnell.
Das mit den Gruppenrichtlinien kann man machen (wird in Installationsanleitungen vom WSUS beschrieben).
Ich glaub ich hab nicht's vergessen.
Das mit den Gruppenrichtlinien kann man machen (wird in Installationsanleitungen vom WSUS beschrieben).
Ich glaub ich hab nicht's vergessen.
Erstmal vielen Dank für die vielen Antworten. Ich werde mich am Montag mal hinsetzen und ein GPO dafür bauen.
@Hubert: Was meinst du wie gerne ich denen die Admin-Rechte wegnehmen würde. Aber leider werden viele ältere, nicht auf NT-Systeme ausgelegte Programme verwendet die sich nicht ohne hohen finanziellen Aufwand ersetzen lassen (CNC-Steuerung, Siemens Hipath COMWIN, Arbeitszeiterfassung etc. um mal einige zu nennen).. Diese laufen nur mit Admin-Rechten und das ist die Krux in dem Netz.
@Hubert: Was meinst du wie gerne ich denen die Admin-Rechte wegnehmen würde. Aber leider werden viele ältere, nicht auf NT-Systeme ausgelegte Programme verwendet die sich nicht ohne hohen finanziellen Aufwand ersetzen lassen (CNC-Steuerung, Siemens Hipath COMWIN, Arbeitszeiterfassung etc. um mal einige zu nennen).. Diese laufen nur mit Admin-Rechten und das ist die Krux in dem Netz.
