6
Windows 2012 R2: "Es sind Updates verfügbar" als Benutzer auf Remote Desktop Session Host
Die Meldung "Es sind Updates verfügbar" erscheint als stink normaler Benutzer auf eimem Remote Desktop Session Host.
Folgende GPO ist aktiv:
Computerkonfiguration \ Richtlinien \ Administrative Vorlagen \ Windows Komponenten \ Windows Update
Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen Nicht konfiguriert
Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen Nicht konfiguriert
Windows Update-Energieverwaltung aktivieren, um das System zur Installation von geplanten Updates automatisch zu reaktivieren Nicht konfiguriert
Neustart immer automatisch zur geplanten Zeit durchführen Nicht konfiguriert
Automatische Updates konfigurieren Aktiviert 2; 0; 13:00 Uhr
Internen Pfad für den Microsoft Updatedienst angeben Aktiviert
Suchhäufigkeit für automatische Updates Aktiviert 22 Stunden
Keine Verbindung mit Windows Update-Internetadressen herstellen Nicht konfiguriert
Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten Deaktiviert
Softwarebenachrichtigungen aktivieren Nicht konfiguriert
Automatische Updates sofort installieren Nicht konfiguriert
Empfohlene Updates über automatische Updates aktivieren Nicht konfiguriert
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind Nicht konfiguriert
Erneut zu einem Neustart für geplante Installationen auffordern Aktiviert 1440 Minuten
Neustart für geplante Installationen verzögern Nicht konfiguriert
Zeitplan für geplante Installationen neu erstellen Aktiviert 1 Minute
Clientseitige Zielzuordnung aktivieren Nicht konfiguriert
Signierte Updates aus einem Intranetspeicherort für Microsoft-Updatedienste zulassen Aktiviert
Was übersehe ich hier?
Folgende GPO ist aktiv:
Computerkonfiguration \ Richtlinien \ Administrative Vorlagen \ Windows Komponenten \ Windows Update
Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen Nicht konfiguriert
Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen Nicht konfiguriert
Windows Update-Energieverwaltung aktivieren, um das System zur Installation von geplanten Updates automatisch zu reaktivieren Nicht konfiguriert
Neustart immer automatisch zur geplanten Zeit durchführen Nicht konfiguriert
Automatische Updates konfigurieren Aktiviert 2; 0; 13:00 Uhr
Internen Pfad für den Microsoft Updatedienst angeben Aktiviert
Suchhäufigkeit für automatische Updates Aktiviert 22 Stunden
Keine Verbindung mit Windows Update-Internetadressen herstellen Nicht konfiguriert
Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten Deaktiviert
Softwarebenachrichtigungen aktivieren Nicht konfiguriert
Automatische Updates sofort installieren Nicht konfiguriert
Empfohlene Updates über automatische Updates aktivieren Nicht konfiguriert
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind Nicht konfiguriert
Erneut zu einem Neustart für geplante Installationen auffordern Aktiviert 1440 Minuten
Neustart für geplante Installationen verzögern Nicht konfiguriert
Zeitplan für geplante Installationen neu erstellen Aktiviert 1 Minute
Clientseitige Zielzuordnung aktivieren Nicht konfiguriert
Signierte Updates aus einem Intranetspeicherort für Microsoft-Updatedienste zulassen Aktiviert
Was übersehe ich hier?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 279980
Url: https://administrator.de/contentid/279980
Printed on: April 20, 2024 at 03:04 o'clock
6 Comments
Latest comment
Den 2. Teil der Konfigurationsmöglichkeit via GPO: 
Benutzerkonfiguration->Administrative Vorlagen->Windows-Komponenten->Windows-Update.
Erstell dir eine neue GPO, in der du nur diesen Teil konfigurierst und auf die entsprechenden User verlinkst.
Benutzerkonfiguration->Administrative Vorlagen->Windows-Komponenten->Windows-Update.
Erstell dir eine neue GPO, in der du nur diesen Teil konfigurierst und auf die entsprechenden User verlinkst.
Klingt so erstmal einleuchtend, das wäre dann wohl "Zugriff auf alle Windows Update-Funktionen entfernen" für die betreffenden User.
Allerdings drängen sich bei mir dann zwei Fragen / Probleme auf:
1) Wenn ich einem User die User-GPO zuordne, kann er zwar auf meinem RD-SH keine Updates mehr sehen aber lokal auch nicht, wo er es aktuell gerne darf. Muss ich dann noch mit Filtern arbeiten? - nicht sonderlich schön.
2) Was tut dann eigentlich die Comptuer-GPO "Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten", ich dachte die wäre genau dafür da. Mein User hat lokal mehr Rechte, z.B. ein Update durchzuführen, also macht der Zugriff auf die Funktionen auch Sinn. Auf dem RD-SH hingegen macht sie keinen Sinn da er nichts damit anfangen kann.
Allerdings drängen sich bei mir dann zwei Fragen / Probleme auf:
1) Wenn ich einem User die User-GPO zuordne, kann er zwar auf meinem RD-SH keine Updates mehr sehen aber lokal auch nicht, wo er es aktuell gerne darf. Muss ich dann noch mit Filtern arbeiten? - nicht sonderlich schön.
2) Was tut dann eigentlich die Comptuer-GPO "Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten", ich dachte die wäre genau dafür da. Mein User hat lokal mehr Rechte, z.B. ein Update durchzuführen, also macht der Zugriff auf die Funktionen auch Sinn. Auf dem RD-SH hingegen macht sie keinen Sinn da er nichts damit anfangen kann.
Zitat von @ukulele-7:
Klingt so erstmal einleuchtend, das wäre dann wohl "Zugriff auf alle Windows Update-Funktionen entfernen" für die betreffenden User.
Korrekt.Klingt so erstmal einleuchtend, das wäre dann wohl "Zugriff auf alle Windows Update-Funktionen entfernen" für die betreffenden User.
Zitat von @ukulele-7:
1) Wenn ich einem User die User-GPO zuordne, kann er zwar auf meinem RD-SH keine Updates mehr sehen aber lokal auch nicht, wo er
es aktuell gerne darf. Muss ich dann noch mit Filtern arbeiten? - nicht sonderlich schön.
Warum dürfen deine User das sehen? Ich bin immer dafür, dass die User gerade von den Updates so wenig wie irgend möglich mitbekommen, dann gibt es auch keine Mißverständnisse, was ggfs. zu tun oder auch nicht zu tun ist. Und wenn du deinen Usern lokal gestatten willst, die Updates zu installieren, aber sie auf dem TS nichts sehen sollen, erstellst du dir, wenn du nicht mit Filtern arbeiten willst, einfach mehrere GPOs mit unterschiedlichen Bedingungen und verknüpfst sie entsprechend.1) Wenn ich einem User die User-GPO zuordne, kann er zwar auf meinem RD-SH keine Updates mehr sehen aber lokal auch nicht, wo er
es aktuell gerne darf. Muss ich dann noch mit Filtern arbeiten? - nicht sonderlich schön.
Zitat von @ukulele-7:
2) Was tut dann eigentlich die Comptuer-GPO "Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten", ich
dachte die wäre genau dafür da.
Korrekt, dafür ist sie da. Wenn diese aber nicht "greift", solltest du nach dem Grund suchen, warum sie nicht greift.2) Was tut dann eigentlich die Comptuer-GPO "Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten", ich
dachte die wäre genau dafür da.
Zitat von @ukulele-7:
Mein User hat lokal mehr Rechte, z.B. ein Update durchzuführen, also macht der
Zugriff auf die Funktionen auch Sinn. Auf dem RD-SH hingegen macht sie keinen Sinn da er nichts damit anfangen kann.
Siehe erster Antwortteil.Mein User hat lokal mehr Rechte, z.B. ein Update durchzuführen, also macht der
Zugriff auf die Funktionen auch Sinn. Auf dem RD-SH hingegen macht sie keinen Sinn da er nichts damit anfangen kann.
Gruß edelweis
Zitat von @Edelweis:
Warum dürfen deine User das sehen? Ich bin immer dafür, dass die User gerade von den Updates so wenig wie irgend
möglich mitbekommen, dann gibt es auch keine Mißverständnisse [...]
Normal lasse ich Updates auf Clients in der Mittagspause installieren, manche Geräte, z.B. in Besprechungen, fangen dann aber zu ungünstigen Zeiten an zu rödeln. Daher macht das Sinn wenn man Updates manuell machen kann.Warum dürfen deine User das sehen? Ich bin immer dafür, dass die User gerade von den Updates so wenig wie irgend
möglich mitbekommen, dann gibt es auch keine Mißverständnisse [...]
Zitat von @Edelweis:
> Zitat von @ukulele-7:
> 2) Was tut dann eigentlich die Comptuer-GPO "Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten",
ich
> dachte die wäre genau dafür da.
Korrekt, dafür ist sie da. Wenn diese aber nicht "greift", solltest du nach dem Grund suchen, warum sie nicht
greift.
Nun sie wird übermittelt an den Server. Alle weiteren GPOs die Windows Update betreffen stehen oben. Ich hab keine Idee warum sie nicht tut was sie soll.> Zitat von @ukulele-7:
> 2) Was tut dann eigentlich die Comptuer-GPO "Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten",
ich
> dachte die wäre genau dafür da.
Korrekt, dafür ist sie da. Wenn diese aber nicht "greift", solltest du nach dem Grund suchen, warum sie nicht
greift.
Automatische Updates konfigurieren Aktiviert 2; 0; 13:00 Uhr
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind Nicht konfiguriert
Diese beiden Einstellungen sehen bei mir anders aus:Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind Nicht konfiguriert
FÜR ALLE CLIENTS: Automatische Updates konfigurieren Aktiviert 4; 0; 03:00 Uhr
FÜR ALLE SERVER: Automatische Updates konfigurieren Aktiviert 3; 0; 03:00 Uhr
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind Aktiviert
Wahrscheinlich bringt dir die erste der beiden Einstellungen generell (auch für Nichtadministratoren) die Meldung(en) über die Updates. Ich hab es nicht getestet, da ich generell etwas anders verfahre. Bei mir sind verschiedene GPOs (getrennt nach Clients und Server) konfiguriert, auf den Clients bekommt kein User mit, ob und wann Updates installiert werden.
Normal lasse ich Updates auf Clients in der Mittagspause installieren, manche Geräte, z.B. in Besprechungen, fangen dann aber
zu ungünstigen Zeiten an zu rödeln. Daher macht das Sinn wenn man Updates manuell machen kann.
Wenn du es vollkommen silent und automatisch machst, dann lädt der Client im Hintergrund die Updates herunter und installiert diese komplett im Hintergrund. Wenn er mit der Installation "fertig" ist, wartet er, bis der User den Client herunterfährt (Weil ein User angemeldet ist) und schließt den Prozess ab, sofern ein oder mehrere Updates einen Neustart benötigen.zu ungünstigen Zeiten an zu rödeln. Daher macht das Sinn wenn man Updates manuell machen kann.
Ich hab keine Idee warum sie nicht tut was sie soll.
Deswegen sollst du suchen.
Da bei mir RD-SH Server betroffen sind und ich alle Server manuell anstoße würde ich es erstmal dabei belassen und nicht automatisch installieren.
Die User bekommen jetzt zusätzlich alle Update Funktionen entzogen und wir warten mal bis zum Patchday was passiert
Danke erstmal.
Die User bekommen jetzt zusätzlich alle Update Funktionen entzogen und wir warten mal bis zum Patchday was passiert
Danke erstmal.
