4
Gruppenrichtlinien für den Wsus (Unterscheidung Server und Clients)
Hallo,
ich habe eine kleine Verständnisfrage:
Ich habe mir einen WSUS Server aufgesetzt, welcher auch soweit problemlos funktioniert.
Auf diesem WSUS-Server habe ich mir zwei Gruppen angelegt: Server und Clients.
Nun möchte ich mir zwei GPOs erstellen, einmal eine für die Server und einmal eine für die Clients.
Der Unterschied der beiden GPOs soll, vereinfacht gesagt, der sein, dass die Clients sich die Update automatisch laden und abends beim Herunterfahren installieren,
wobei hingegen die Server dieses nicht machen sollen. Da muss ich als Administrator immer noch selber eingreifen und die Updates installieren und neustarten lassen.
Mein Problem bzw. meine Verständnisfrage ist nun:
Wie kann ich die jeweilige GPO dem richtigen "Rechner" zuordnen?
Die Gruppen auf dem WSUS-Server dienen ja nur zur Unterteilung der "Rechner" bzgl. der Vergabe der Updates, aber das Verhalten "Installieren, neustarten, usw." muss man ja über die GPOs eingestellt werden.
Daher gibt es ja bei den GPOs-Einstellungen den Punkt: "Clientseitige Zuordnung aktivieren". Hier müsste ich ja nun z.B. bei der GPO1 "Server" eintragen und bei der GPO2 "Clients".
Reicht dies bereits, um die Verknüpfung zwischen einem Rechner und der richtigen GPO zu erstellen oder müssen dafür unbedingt OU erstellt werden, wo ich das jeweilige GPO anlege?
Weil sonst hätte ich jetzt beides GPOs einfach nur in unserer Domäne verknüpft, um Sie zu aktiveren und gerade da kommt meine Verständnisfrage zum Tragen.
Zum Verständnis beschreibe ich es nochmal wie ich es mir vorstelle:
Es gibt beides GPOs in der Domäne (also es gibt keine OU) ein "Rechner" egal ob Server oder Client zieht sich die GPO(s). Anhand der GPOs selber weiß der Rechner ja noch nicht was er machen soll, beide Richtlinien wiedersprechen sich ja.
Nun checkt der Rechner den WSUS und wird dort als "nicht zugewiesener Computer" behandelt. (Also er macht erst mal Garnichts und prüft nur was könnte er den an Updates gebrauchen). Nun weiße ich dem Rechner eine Gruppe im WSUS zu.
Jetzt Weiß der "Rechner" zu welcher gruppe er gehört und übernimmt somit die GPO der nun manuell im WSUS zugeteilten Gruppe.
Im AD brauchen wir sonst diese Unterscheidung nicht, daher würd ich es gerne auf diesem Wege machen.
Hoffe es ist verständlich geworden was mein Problem genau ist.
Mit freundlichen Grüßen
Milch
ich habe eine kleine Verständnisfrage:
Ich habe mir einen WSUS Server aufgesetzt, welcher auch soweit problemlos funktioniert.
Auf diesem WSUS-Server habe ich mir zwei Gruppen angelegt: Server und Clients.
Nun möchte ich mir zwei GPOs erstellen, einmal eine für die Server und einmal eine für die Clients.
Der Unterschied der beiden GPOs soll, vereinfacht gesagt, der sein, dass die Clients sich die Update automatisch laden und abends beim Herunterfahren installieren,
wobei hingegen die Server dieses nicht machen sollen. Da muss ich als Administrator immer noch selber eingreifen und die Updates installieren und neustarten lassen.
Mein Problem bzw. meine Verständnisfrage ist nun:
Wie kann ich die jeweilige GPO dem richtigen "Rechner" zuordnen?
Die Gruppen auf dem WSUS-Server dienen ja nur zur Unterteilung der "Rechner" bzgl. der Vergabe der Updates, aber das Verhalten "Installieren, neustarten, usw." muss man ja über die GPOs eingestellt werden.
Daher gibt es ja bei den GPOs-Einstellungen den Punkt: "Clientseitige Zuordnung aktivieren". Hier müsste ich ja nun z.B. bei der GPO1 "Server" eintragen und bei der GPO2 "Clients".
Reicht dies bereits, um die Verknüpfung zwischen einem Rechner und der richtigen GPO zu erstellen oder müssen dafür unbedingt OU erstellt werden, wo ich das jeweilige GPO anlege?
Weil sonst hätte ich jetzt beides GPOs einfach nur in unserer Domäne verknüpft, um Sie zu aktiveren und gerade da kommt meine Verständnisfrage zum Tragen.
Zum Verständnis beschreibe ich es nochmal wie ich es mir vorstelle:
Es gibt beides GPOs in der Domäne (also es gibt keine OU) ein "Rechner" egal ob Server oder Client zieht sich die GPO(s). Anhand der GPOs selber weiß der Rechner ja noch nicht was er machen soll, beide Richtlinien wiedersprechen sich ja.
Nun checkt der Rechner den WSUS und wird dort als "nicht zugewiesener Computer" behandelt. (Also er macht erst mal Garnichts und prüft nur was könnte er den an Updates gebrauchen). Nun weiße ich dem Rechner eine Gruppe im WSUS zu.
Jetzt Weiß der "Rechner" zu welcher gruppe er gehört und übernimmt somit die GPO der nun manuell im WSUS zugeteilten Gruppe.
Im AD brauchen wir sonst diese Unterscheidung nicht, daher würd ich es gerne auf diesem Wege machen.
Hoffe es ist verständlich geworden was mein Problem genau ist.
Mit freundlichen Grüßen
Milch
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 156891
Url: https://administrator.de/contentid/156891
Printed on: April 23, 2024 at 06:04 o'clock
4 Comments
Latest comment
Hallo.
Also wenn ich es richtig verstanden habe, dann brauchst du einfach 2 OUs. Eine für deine Clients und eine für die Server. Dazu 2 verschiedene GPOs und die korrekt zuweisen.
Die Zuweisung im WSUS hat damit erstmal nichts zu tun. Da kannst ja nur unterschiedlich freigeben.
MfG Andi
Also wenn ich es richtig verstanden habe, dann brauchst du einfach 2 OUs. Eine für deine Clients und eine für die Server. Dazu 2 verschiedene GPOs und die korrekt zuweisen.
Die Zuweisung im WSUS hat damit erstmal nichts zu tun. Da kannst ja nur unterschiedlich freigeben.
MfG Andi
Hi,
ich kann Andi nur zustimmen...
Du wirst mit dem was Du vor hast nicht um OUs herum kommen.
ich kann Andi nur zustimmen...
Du wirst mit dem was Du vor hast nicht um OUs herum kommen.
Ok Danke für die schnelle Antwort, habs mir eigentlich schon fast gedacht!
Allerdings hab ich in Sachen OU noch nichts gemacht, habt ihr da vielleicht ein gutes Tut oder so zur Hand?
Sonst werd ich einfach mal schauen!!
Danke vielmals!
Allerdings hab ich in Sachen OU noch nichts gemacht, habt ihr da vielleicht ein gutes Tut oder so zur Hand?
Sonst werd ich einfach mal schauen!!
Danke vielmals!
Also mit OUs kannste nix falsch machen, das sind ja sozusagen nur Ordner in die Du was rein packst...
Entscheidend ist das du dann je OU eine GPO zuweist...
Entscheidend ist das du dann je OU eine GPO zuweist...
