Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenrichtlinien für WSUS

Frage Microsoft Windows Server

Mitglied: JonasQuinn

JonasQuinn (Level 1) - Jetzt verbinden

18.11.2011 um 09:11 Uhr, 5581 Aufrufe, 8 Kommentare

Hallo,

Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS/Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS/Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?

herzlichen Dank für jede Hilfe.
Mitglied: Chonta
18.11.2011 um 09:25 Uhr
Hallo,

GPOs wirken nur auf Objekte (Benutzer oder Computerkonten). Man kann sie filtern, sodass die nur von bestimmten Gruppen akzeptiert werden.
Standard Einstellung sind Autentifizierte Benutzer.

Soweit mi bekannt wirken die GPOs auch nur Auf Objekte unterhalb ihrer verlinkung, also wenn Du die Computer im Standardordner lassen willst (was ich nicht empfehlen würde), müsstest Du dein GPO auf die Gesammte Domäne anwenden und dann nach Gruppen Filtern.

Am besten Du machst eine OU Computer wo die Computer nach Standorten/Abteilungen hinterlegt sind und dann eine Gruppe(Sicherheit) WSUS-Clients und dort werden alle Computer die vom WSUS bedient werden sollen Mitglied.
Dann die GPO an höchster Stelle der Computer OU Strucktur verlinken und auf die Gruppe WSUS-Clients filtern.
(Du kannst natürlich deine bestehende Gruppe verwenden.)

So bist du dann auch flexibel genug um Neue GPOs für Komputer nachzurüsten.
Eine ähnliche Strucktur empfehlt sich auch für Benutzerkonten.
Wenn man besonders viel auf die höchste Domänenebene verlinkt sinkt bei großen Umgebungen die Leistung des AD.

Gruß

Chonta
Bitte warten ..
Mitglied: JonasQuinn
18.11.2011 um 09:55 Uhr
ich sehe schon, ich habe vom AD null Ahnung. Hab mir das jetzt schon 5x durchgelesen und bin mir immer noch nicht sicher ob ich es auch verstanden habe.
Also mache ich das so:

ich lege eine OU Computer an mit Unterordner für Abteilung

OU Computer
|_ Zentrale
|_ Kasse
|_ Verwaltung
usw.

in OU Computer lege ich eine Sicherheitsgruppe WSUS-Clients an und mache als Mitglieder alle Rechner die ich per WSUS bedienen will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.

Hab ich das so richtig verstanden?
Bitte warten ..
Mitglied: Chonta
18.11.2011 um 10:43 Uhr
Hallo,

aller Anfang ist schwer

in OU Computer lege ich eine Sicherheitsgruppe WSUS-Clients an und mache als Mitglieder alle Rechner die ich per WSUS bedienen
will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort
authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.

Hab ich das so richtig verstanden?

Jein

Irgendwo eine OU oder ein Container mit Gruppen

OU Gruppen
WSUS-Clients


OU Computer
-WSUS-GPO verlinkt
|_OU_ Zentrale
Computerconten
|_OU_Kasse
Computerkonten
|_OU_Verwaltung
Computerkonten


Wo die Gruppe ist ist egal. Bei der Anwendung der GPO wird nachgesehen welche Objekte (Benutzerkonten oder Computerkonten) Mitglied der Gruppe ist auf die es angewendet werden soll. Und alle Computer die Mitgleid sind ziehn sich dann die GPO alle anderen nicht.

Achtung bei Großen Struckturen verlinke nur dort wo es gebraucht wird. Der ganze Baum wird durchsucht.
Die Computer werden auch erst nach einem Neustart mitgleid der neuen Gruppe sein!

Achso es kann ne weile Dauern bis der WSUS alle Clients kennt, nicht wundern

Gruß

Chonta

PS: Ganz vergessen zu fragen welches System / Falls es noch ein 2003er ist, die GPMC runterladen und installieren. Macht das ganze übersichtlicher und Du verstehst das was ich mit dem verlinken gemeint habe besser.
Bitte warten ..
Mitglied: JonasQuinn
18.11.2011 um 11:01 Uhr
achja - hab ich vergessen: der DC ist ein 2003er Server und GPMC hab ich schon. Der WSUS ist ein 2008R2

Ich hab jetzt auf die Schnelle einfach mal in Computers eine Gruppe angelegt wo nur ich drin bin und das GPO in der Domäne verlinkt. Hat sofort alles funktioniert.
Nur mit dem aufräumen des AD wie Du oben schreibst komme ich doch nicht so richtig klar. Ich mache mal einen Screenshot und reiche den gleich nach.
Bilder kann man hier nicht anhängen? Oder?

das AD:

d2153448ca11a9917da928b80284b141 - Klicke auf das Bild, um es zu vergrößern

und hier GPO:

126798d2ad8275a56ec8c06a5874a50e - Klicke auf das Bild, um es zu vergrößern


P.S. ganz schön kompliziert mit den Bilder einfügen
Bitte warten ..
Mitglied: Chonta
18.11.2011 um 12:53 Uhr
Hallo,

so wie Du es im Moment hast, hast Du die GPO WSUS-Computer auf Domänenebene verlinkt. Das bedeutet Alle Objekte, die in der Gruppe sind auf die der Filter der GPO steht werden versuchen die GPO anzuwenden. Und alle Objekte der Domäne werden überprüft ob sie in der Gruppe sind.
Das kann mit unter lange dauern (mehrter 1000 Objekte).

Wenn in WSUS-Computer drin steht zeieh dir Updates vom WSUS, dann würde ich den Link vonder Domäne entfernen und nur auf entweder Clients, oder auf Computer setzen. Jeh nachdem ob für Server und Workstations die gleichen Reglen gelten sollen.

Wer welche Updates beklommen soll usw. wird über die WSUS-Console und das einrichten von WSUS-Gruppen im WSUS selber erledigt. Die WSUS-Gruppen haben nichts mit den AD-Gruppen gemeinsam.

Du musst dann noch die Updates syncen und alles was installiert werden soll genemigen.
Bei MS-Updates ziehen sich die Clients in der Regel nur Updates die a für ihre WSUS-Gruppe freigegeben sind und b nur Updates die sie auch verwenden können.

Gruß

Chonta
Bitte warten ..
Mitglied: JonasQuinn
18.11.2011 um 13:13 Uhr
Hallo Chonta,

erst mal herzlichen Dank für Deine Hilfe.
Also ich denke jetzt habe ich es verstanden. Ich muss in meiner OU Clients nur noch die Abteilungen anlegen (wenn ich das denn so will) und alle Computerkonten aus dem Container Computers entsprechend in meine OU verschieben. Die Sicherheitsgruppe (wo die Computer die WSUS kennen soll drin stehen) lege ich direkt in meiner OU Clients an und im Gruppenrichtlinieneditor verschiebe ich meine GPO WSUS-Computer dann nach OU - Clients.
Bedeutet aber dann auch - wenn ich einen neuen Rechner zur Domäne hinzu füge, landet der ja erst mal im Container Computers und ich muss in dann manuell in meine OU Clients verschieben? Richtig?

wegen der Einstellungen am WSUS bin ich gerade am suchen, wie ich einstelle welche Updates ich zu den Gruppen dort verlinke und ob der WSUS-Server selber auch dort in einer Gruppe erscheinen muss oder ob der sowieso die Updates von sich selber bekommt.

Man ist das alles kompliziert - aber einen Lehrgang für das ganze wird mein Chef wohl nicht bezahlen.

Grüße
Micha
Bitte warten ..
Mitglied: Chonta
18.11.2011 um 14:38 Uhr
Hallo,

wo die Gruppe ist, ist egal. Denn nicht die Gruppe wird gefragt sondern die Computer/Benutzerkonten werden "gefragt" in welcher Gruppe sie sind.

Wenn Du einen neuen Computer der Domäne hinzufügst musst Du den verschieben, ausser du legst das Konto gleich dort an.
Man kann auch den Defautort für automatisch erstlelte Konten ändern.

Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.

Gruß

Chonta
Bitte warten ..
Mitglied: JonasQuinn
18.11.2011 um 14:48 Uhr
Zitat von Chonta:

Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor
allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.

Gruß

Chonta

Hallo,

genau das habe ich gemacht. Habe aber noch eingestellt das jeden Mittwoch 20:00 uhr Update mit Neustart ist und wollte den Leuten sagen sie sollen jeden Mittwoch den Rechner an lassen. Dann kann ich auch Mittwochs immer die volle Antivirenscans laufen lassen.
Na mal schauen was bei der Sache so raus kommt.

Ich danke Dir nochmal ganz herzlich für eine Geduld.

Gruß Micha
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Server 2016 WSUS, Updates auf Windows 10 werden nicht entfernt

Frage von Maeffjus zum Thema Windows Server ...

Windows Update
WSUS zeigt max. 69 Clients an (2)

Frage von TheGoodOne zum Thema Windows Update ...

Windows Server
WSUS Neuinstallation auf SBS2011 schlägt fehl (3)

Frage von Blongmon zum Thema Windows Server ...

Windows Server
gelöst Gruppenrichtlinien-Vorlage Office 2013 auf einem DC 2003 (5)

Frage von bluepython zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...