15
Gruppenrichtlinie - Automatische Updates NUR bei LAN und WLAN
Hallo zusammen,
ich hoffe hier kann mir jemand bei meinem Problem weiterhelfen.
Wir haben in unserer Firma nicht nur Desktop-Rechner sondern auch einige Laptops.
Auf allen unseren Clients ist Windows 7 installiert.
Als Server kommt bei uns Windows Server 2008 R2 zum Einsatz.
Über eine Gruppenrichtlinie werden die Einstellungen für die Automatischen Updates festgelegt.
Das Problem ist, dass die Firmenlaptops manchmal außerhalb des Firmennetzes mit Hilfe einer SIM-Karte ins
Internet gehen. Der Gruppenrichtlinie ist das aber relativ egal, und so werden ziemlich große Datenmengen
über das UMTS Netz geladen. Das führt natürlich dazu, dass das Volumen hierfür relativ schnell aufgebraucht ist.
Ich habe natürlich auch schon Google & Co bemüht nur leider kann ich nicht wirklich etwas hilfreiches finden.
Kann mir irgendjemand sagen, wie ich es hinbekomme, dass die Updates (automatisch via Gruppenrichtlinie) nur
gezogen werden sollen, wenn sich das Gerät im LAN oder WLAN befindet?
Und zwar in irgendeinem, welches ist mir dabei egal.
Danke
ich hoffe hier kann mir jemand bei meinem Problem weiterhelfen.
Wir haben in unserer Firma nicht nur Desktop-Rechner sondern auch einige Laptops.
Auf allen unseren Clients ist Windows 7 installiert.
Als Server kommt bei uns Windows Server 2008 R2 zum Einsatz.
Über eine Gruppenrichtlinie werden die Einstellungen für die Automatischen Updates festgelegt.
Das Problem ist, dass die Firmenlaptops manchmal außerhalb des Firmennetzes mit Hilfe einer SIM-Karte ins
Internet gehen. Der Gruppenrichtlinie ist das aber relativ egal, und so werden ziemlich große Datenmengen
über das UMTS Netz geladen. Das führt natürlich dazu, dass das Volumen hierfür relativ schnell aufgebraucht ist.
Ich habe natürlich auch schon Google & Co bemüht nur leider kann ich nicht wirklich etwas hilfreiches finden.
Kann mir irgendjemand sagen, wie ich es hinbekomme, dass die Updates (automatisch via Gruppenrichtlinie) nur
gezogen werden sollen, wenn sich das Gerät im LAN oder WLAN befindet?
Und zwar in irgendeinem, welches ist mir dabei egal.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 304347
Url: https://administrator.de/contentid/304347
Printed on: April 25, 2024 at 19:04 o'clock
15 Comments
Latest comment
Hallo,
für sowas ist ab Windows 8 die "Getaktete Verbindung" eingeführt worden.
für sowas ist ab Windows 8 die "Getaktete Verbindung" eingeführt worden.
Wenn du eine gute Endpoint Security hast, kannst du dir darin im Normalfall eine Regel erstellen, die den Zugriff, je nach verwendetem Netzwerk, auf deinen WSUS erlaubt oder eben auch sperrt.
Hi,
sowas gibt es schon seid Windows 2000. Schau mal z.B. hier: Slow Link Detection - Erkennung langsamer Verbindungen
E.
Edit:
Weiterhin könntest Du das Netz, in welchem die VPN-Clients landen, im AD als Subnet-Objekt eintragen, dafür ein extra Standort-Objekt erstellen und das Subnet diesem Standort zuweisen. Dann könntest Du die GPO auch Standortbezogen verteilen.
sowas gibt es schon seid Windows 2000. Schau mal z.B. hier: Slow Link Detection - Erkennung langsamer Verbindungen
E.
Edit:
Weiterhin könntest Du das Netz, in welchem die VPN-Clients landen, im AD als Subnet-Objekt eintragen, dafür ein extra Standort-Objekt erstellen und das Subnet diesem Standort zuweisen. Dann könntest Du die GPO auch Standortbezogen verteilen.
Hi,
hast denn einen Wsus installiert oder lediglich per Gruppenrichtlinie eingestellt, dass die Windows Updates aus dem Internet gezogen werden?
Gruß
hast denn einen Wsus installiert oder lediglich per Gruppenrichtlinie eingestellt, dass die Windows Updates aus dem Internet gezogen werden?
Gruß
Hi.
Windows Updates kann man über die Kommandozeile installieren lassen: https://gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9d ... - Teil 1 der Übung. Teil 2 ist, festzustellen, wo man nun gerade ist. Dazu eignen sich die Pingzeiten ganz gut, falls man nur zwischen LAN (Latenz < 1ms) und anderem unterscheiden will. Du willst nun aber auch zwischen WLAN und UMTS unterscheiden, das ist schwieriger.
Wiesis Vorschlag schon ausgelotet?
Windows Updates kann man über die Kommandozeile installieren lassen: https://gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9d ... - Teil 1 der Übung. Teil 2 ist, festzustellen, wo man nun gerade ist. Dazu eignen sich die Pingzeiten ganz gut, falls man nur zwischen LAN (Latenz < 1ms) und anderem unterscheiden will. Du willst nun aber auch zwischen WLAN und UMTS unterscheiden, das ist schwieriger.
Wiesis Vorschlag schon ausgelotet?
Nabend,
ist nur ein ungetesteter Gedanke: Viele UMTS-Clients lassen sich so konfigurieren, das beim Aufbau und Abbau einer Verbindung Scripte / Anwendungen gestartet werden können. Das könnte man dazu nutzen, um den Windows-Update-Service zu stoppen / starten. Um sicher zu gehen, das der WSUS-Dienst Grundsätzlich läuft, kann man noch ein weiteres Script erstellen, welches beim anmelden per Aufgabenplanung sicher stellt, das der Dienst gestartet wird/ist.
Gruß Krämer
ist nur ein ungetesteter Gedanke: Viele UMTS-Clients lassen sich so konfigurieren, das beim Aufbau und Abbau einer Verbindung Scripte / Anwendungen gestartet werden können. Das könnte man dazu nutzen, um den Windows-Update-Service zu stoppen / starten. Um sicher zu gehen, das der WSUS-Dienst Grundsätzlich läuft, kann man noch ein weiteres Script erstellen, welches beim anmelden per Aufgabenplanung sicher stellt, das der Dienst gestartet wird/ist.
Gruß Krämer
Hallo zusammen,
erst einmal: vielen Dank für die schnellen Antworten. Ich hatte wirklich befürchtet, dass sich zu dem Thema keiner melden wird.
Hier noch ein paar Infos:
o) Wir haben keinen eigenen WSUS
o) Es geht mir nicht um VPN
--> Teilweise haben die Laptops einen SIM-Karten Slot integeriert, teilweise gehen sie mit einem USB-Stick ins Netz.
Danke
erst einmal: vielen Dank für die schnellen Antworten. Ich hatte wirklich befürchtet, dass sich zu dem Thema keiner melden wird.
Hier noch ein paar Infos:
o) Wir haben keinen eigenen WSUS
o) Es geht mir nicht um VPN
--> Teilweise haben die Laptops einen SIM-Karten Slot integeriert, teilweise gehen sie mit einem USB-Stick ins Netz.
Danke
Noch ein drittes Mal...
Definiere die UMTS-Verbindung als getaktete Verbindung, dann werden darüber keine Windowsupdates gefahren - fertig.
Definiere die UMTS-Verbindung als getaktete Verbindung, dann werden darüber keine Windowsupdates gefahren - fertig.
Hier mal ein Auszug aus einem anderen Forum:
Windows Update wird doch über c:\Windows\System32\wuauclt.exe ausgeführt.
Erstelle doch mal in der Windows Firewall eine Regel zu "C:\Windows\System32\wuauclt.exe" - "blockieren" - "öffentlich"
So sollte Windows Update beim WWAN-Zugriff (=öffentliches Netzwerk) blockiert werden.
Windows Update wird doch über c:\Windows\System32\wuauclt.exe ausgeführt.
Erstelle doch mal in der Windows Firewall eine Regel zu "C:\Windows\System32\wuauclt.exe" - "blockieren" - "öffentlich"
So sollte Windows Update beim WWAN-Zugriff (=öffentliches Netzwerk) blockiert werden.
und sein WLAN-Zugriff ist kein öffentliches Netzwerkprofil?
Zitat von @DerWoWusste:
Definiere die UMTS-Verbindung als getaktete Verbindung, dann werden darüber keine Windowsupdates gefahren - fertig.
Die gab es schon bei Windows 7? Ich finde nur Infos darüber in Verbindung mit Windows 8.Definiere die UMTS-Verbindung als getaktete Verbindung, dann werden darüber keine Windowsupdates gefahren - fertig.
Gruß Krämer
Verbinden sich die Laptops denn per VPN mit deinem Firmennetzwerk, wenn die außer Haus ins Internet gehen? Falls nicht, würde ich mir einfach einen WSUS einrichten und per GPO einstellen, dass nur über den WSUS Updates installiert werden, was automatisch nur der Fall ist, wenn der WSUS erreichbar ist, so mach ich das zumindest bei uns und das klappt super.
Der TE hat aber Windows 7 und nutzt daher vermutlich Network Location Awareness?
Kommt die auch mit LTE Verbindungen klar?
Wir wissen ja nicht welche Netze vom TE genutzt werden.
Vieleicht bei Anmeldung an der Domain erst den wuauserv starten...müsste dann bei Abmeldung wieder beendet werden.
Setzt aber voraus, dass er nicht über mobil bzw VPN sich an der Domain anmeldet...hmm
Die gab es schon bei Windows 7? Ich finde nur Infos darüber in Verbindung mit Windows 8.
Nein, gab es nicht. Glatt überlesen, dass Wiesi nur darauf aufmerksam gemacht hatte, wie es unter 8 und höher laufen würde aber dies hier gar nicht anwendbar ist. Tja, dann muss man eben mit der Firewall arbeiten und Regeln an bestimmte Adapter knüpfen, die wuauclt.exe ausgehend behindern, wenn am UMTS Adapter, das ist auch kein Problem.das ist auch kein Problem.
Bis auf die Fehlermeldungen in der Ereignisanzeige 
