Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

GELÖST

Gruppenrichtlinien für WSUS

Mitglied: JonasQuinn

JonasQuinn (Level 1) - Jetzt verbinden

18.11.2011 um 09:11 Uhr, 5752 Aufrufe, 8 Kommentare

Hallo,

Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS/Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS/Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?

herzlichen Dank für jede Hilfe.
Mitglied: Chonta
18.11.2011 um 09:25 Uhr
Hallo,

GPOs wirken nur auf Objekte (Benutzer oder Computerkonten). Man kann sie filtern, sodass die nur von bestimmten Gruppen akzeptiert werden.
Standard Einstellung sind Autentifizierte Benutzer.

Soweit mi bekannt wirken die GPOs auch nur Auf Objekte unterhalb ihrer verlinkung, also wenn Du die Computer im Standardordner lassen willst (was ich nicht empfehlen würde), müsstest Du dein GPO auf die Gesammte Domäne anwenden und dann nach Gruppen Filtern.

Am besten Du machst eine OU Computer wo die Computer nach Standorten/Abteilungen hinterlegt sind und dann eine Gruppe(Sicherheit) WSUS-Clients und dort werden alle Computer die vom WSUS bedient werden sollen Mitglied.
Dann die GPO an höchster Stelle der Computer OU Strucktur verlinken und auf die Gruppe WSUS-Clients filtern.
(Du kannst natürlich deine bestehende Gruppe verwenden.)

So bist du dann auch flexibel genug um Neue GPOs für Komputer nachzurüsten.
Eine ähnliche Strucktur empfehlt sich auch für Benutzerkonten.
Wenn man besonders viel auf die höchste Domänenebene verlinkt sinkt bei großen Umgebungen die Leistung des AD.

Gruß

Chonta
Bitte warten ..
Mitglied: JonasQuinn
18.11.2011 um 09:55 Uhr
ich sehe schon, ich habe vom AD null Ahnung. Hab mir das jetzt schon 5x durchgelesen und bin mir immer noch nicht sicher ob ich es auch verstanden habe.
Also mache ich das so:

ich lege eine OU Computer an mit Unterordner für Abteilung

OU Computer
|_ Zentrale
|_ Kasse
|_ Verwaltung
usw.

in OU Computer lege ich eine Sicherheitsgruppe WSUS-Clients an und mache als Mitglieder alle Rechner die ich per WSUS bedienen will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.

Hab ich das so richtig verstanden?
Bitte warten ..
Mitglied: Chonta
18.11.2011 um 10:43 Uhr
Hallo,

aller Anfang ist schwer

in OU Computer lege ich eine Sicherheitsgruppe WSUS-Clients an und mache als Mitglieder alle Rechner die ich per WSUS bedienen
will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort
authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.

Hab ich das so richtig verstanden?

Jein

Irgendwo eine OU oder ein Container mit Gruppen

OU Gruppen
WSUS-Clients


OU Computer
-WSUS-GPO verlinkt
|_OU_ Zentrale
Computerconten
|_OU_Kasse
Computerkonten
|_OU_Verwaltung
Computerkonten


Wo die Gruppe ist ist egal. Bei der Anwendung der GPO wird nachgesehen welche Objekte (Benutzerkonten oder Computerkonten) Mitglied der Gruppe ist auf die es angewendet werden soll. Und alle Computer die Mitgleid sind ziehn sich dann die GPO alle anderen nicht.

Achtung bei Großen Struckturen verlinke nur dort wo es gebraucht wird. Der ganze Baum wird durchsucht.
Die Computer werden auch erst nach einem Neustart mitgleid der neuen Gruppe sein!

Achso es kann ne weile Dauern bis der WSUS alle Clients kennt, nicht wundern

Gruß

Chonta

PS: Ganz vergessen zu fragen welches System / Falls es noch ein 2003er ist, die GPMC runterladen und installieren. Macht das ganze übersichtlicher und Du verstehst das was ich mit dem verlinken gemeint habe besser.
Bitte warten ..
Mitglied: JonasQuinn
18.11.2011 um 11:01 Uhr
achja - hab ich vergessen: der DC ist ein 2003er Server und GPMC hab ich schon. Der WSUS ist ein 2008R2

Ich hab jetzt auf die Schnelle einfach mal in Computers eine Gruppe angelegt wo nur ich drin bin und das GPO in der Domäne verlinkt. Hat sofort alles funktioniert.
Nur mit dem aufräumen des AD wie Du oben schreibst komme ich doch nicht so richtig klar. Ich mache mal einen Screenshot und reiche den gleich nach.
Bilder kann man hier nicht anhängen? Oder?

das AD:

d2153448ca11a9917da928b80284b141 - Klicke auf das Bild, um es zu vergrößern

und hier GPO:

126798d2ad8275a56ec8c06a5874a50e - Klicke auf das Bild, um es zu vergrößern


P.S. ganz schön kompliziert mit den Bilder einfügen
Bitte warten ..
Mitglied: Chonta
18.11.2011 um 12:53 Uhr
Hallo,

so wie Du es im Moment hast, hast Du die GPO WSUS-Computer auf Domänenebene verlinkt. Das bedeutet Alle Objekte, die in der Gruppe sind auf die der Filter der GPO steht werden versuchen die GPO anzuwenden. Und alle Objekte der Domäne werden überprüft ob sie in der Gruppe sind.
Das kann mit unter lange dauern (mehrter 1000 Objekte).

Wenn in WSUS-Computer drin steht zeieh dir Updates vom WSUS, dann würde ich den Link vonder Domäne entfernen und nur auf entweder Clients, oder auf Computer setzen. Jeh nachdem ob für Server und Workstations die gleichen Reglen gelten sollen.

Wer welche Updates beklommen soll usw. wird über die WSUS-Console und das einrichten von WSUS-Gruppen im WSUS selber erledigt. Die WSUS-Gruppen haben nichts mit den AD-Gruppen gemeinsam.

Du musst dann noch die Updates syncen und alles was installiert werden soll genemigen.
Bei MS-Updates ziehen sich die Clients in der Regel nur Updates die a für ihre WSUS-Gruppe freigegeben sind und b nur Updates die sie auch verwenden können.

Gruß

Chonta
Bitte warten ..
Mitglied: JonasQuinn
18.11.2011 um 13:13 Uhr
Hallo Chonta,

erst mal herzlichen Dank für Deine Hilfe.
Also ich denke jetzt habe ich es verstanden. Ich muss in meiner OU Clients nur noch die Abteilungen anlegen (wenn ich das denn so will) und alle Computerkonten aus dem Container Computers entsprechend in meine OU verschieben. Die Sicherheitsgruppe (wo die Computer die WSUS kennen soll drin stehen) lege ich direkt in meiner OU Clients an und im Gruppenrichtlinieneditor verschiebe ich meine GPO WSUS-Computer dann nach OU - Clients.
Bedeutet aber dann auch - wenn ich einen neuen Rechner zur Domäne hinzu füge, landet der ja erst mal im Container Computers und ich muss in dann manuell in meine OU Clients verschieben? Richtig?

wegen der Einstellungen am WSUS bin ich gerade am suchen, wie ich einstelle welche Updates ich zu den Gruppen dort verlinke und ob der WSUS-Server selber auch dort in einer Gruppe erscheinen muss oder ob der sowieso die Updates von sich selber bekommt.

Man ist das alles kompliziert - aber einen Lehrgang für das ganze wird mein Chef wohl nicht bezahlen.

Grüße
Micha
Bitte warten ..
Mitglied: Chonta
18.11.2011 um 14:38 Uhr
Hallo,

wo die Gruppe ist, ist egal. Denn nicht die Gruppe wird gefragt sondern die Computer/Benutzerkonten werden "gefragt" in welcher Gruppe sie sind.

Wenn Du einen neuen Computer der Domäne hinzufügst musst Du den verschieben, ausser du legst das Konto gleich dort an.
Man kann auch den Defautort für automatisch erstlelte Konten ändern.

Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.

Gruß

Chonta
Bitte warten ..
Mitglied: JonasQuinn
18.11.2011 um 14:48 Uhr
Zitat von Chonta:

Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor
allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.

Gruß

Chonta

Hallo,

genau das habe ich gemacht. Habe aber noch eingestellt das jeden Mittwoch 20:00 uhr Update mit Neustart ist und wollte den Leuten sagen sie sollen jeden Mittwoch den Rechner an lassen. Dann kann ich auch Mittwochs immer die volle Antivirenscans laufen lassen.
Na mal schauen was bei der Sache so raus kommt.

Ich danke Dir nochmal ganz herzlich für eine Geduld.

Gruß Micha
Bitte warten ..
Ähnliche Inhalte
Windows Server
Gruppenrichtlinie für WSUS wird nicht übernommen
gelöst Frage von takvorianWindows Server4 Kommentare

Hallo zusammen, folgende Konstellation habe ich derzeit bei einem Kunden: Server 1: SBS2011 Server, DC, GC, FSMO Inhaber ( ...

Windows Server
WSUS Package Publisher auf WSUS Downstreamserver
Frage von knomusWindows Server

Hallo, ich nutze den WSUS Package Publisher auf meinem Haupt WSUS Server (Server 2008 R2). Dort klappt es auch ...

Windows Userverwaltung
Gruppenrichtlinie greift nicht
gelöst Frage von Flais78Windows Userverwaltung3 Kommentare

Moin Moin liebe Community, ich habe das folgende Problem Auf meinem Domain Controller ist eine Gruppenrichtlinie für eine Ordnerumleitung ...

Windows Netzwerk
Gruppenrichtlinien werden nicht umgesetzt
Frage von JohnsonWindows Netzwerk2 Kommentare

Guten Abend, ich lerne momentan mit Server umzugehen, bzw. mich an der allgemeinen Netzwerktechnik zu versuchen. Nun haben wir ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...