michael-itler
Goto Top

Windows Client von WSUS lösen und "Windows Updates" wieder vom Client steuern

Hallo an alle,

ich bin über folgendes Problem in Zusammenhang mit WSUS gestoßen. Die Client Zuordnung zum WSUS läuft über eine GPO die folgende Einstellungen betrifft. Die GPO greift auf die Computerkonfiguration.

gpo_wsus

Es funktioniert auch alles soweit.
Ich wollte nun einen Client vom WSUS "lösen" um die Windows Updates wieder manuell am Client steuern zu können. Nehme ich den Client aus der Zuordnung der GPO heraus, wird in den "Windows Update" Einstellungen immer noch Angezeigt, dass "Einige Einstellungen werden vom Systemadministrator verwaltet." werden.

Ich habe auch heraus gefunden, dass folgender Registry Key dafür verantwortlich ist:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:

00000001 schaltet die Verwaltung der Windows Updates aus
00000000 schaltet die Verwaltung der Windows Updates ein

Da der Registry Key im "HKEY_CURRENT_USER" ist und ich nach meinem Kenntnisstand Veränderungen in diesem nur über GPO die auf "Benutzerkonfiguration" beruhen ändern kann, habe ich jetzt das Problem diese Funktion zu Ändern.

Zusammengefasst wird eine Einstellung, die auf die "Computerkonfiguration" und somit über eine Zuordnung des PCs erfolgt, gesetzt. Diese Einstellung ändert eine Konfiguration der Registry die man nur mit einer GPO die auf "Benutzerkonfiguration" greift deaktivieren kann. Das hätte zur Folge, dass ich Benutzer vom WSUS ausklammern müsste, dies soll aber über Computer gesteuert werden.

Ich hoffe ich konnte das Problem verständlich schildern und jemand hat einen Tipp für mich.

Danke
Michael-ITler

Content-Key: 321291

Url: https://administrator.de/contentid/321291

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Winary
Winary 17.11.2016 um 16:06:24 Uhr
Goto Top
Hallo,

eine angewendete GPO macht man am besten so rückgängig wie man sie erstellt hat, nur mit gegenteiligem Wert.

Erstelle also eine GPO, die als Letztes (oder nach der WSUS GPO falls diese trotzdem noch angewendet wird) auf den Client wirkt, mit der Einstellung, dass der Pfad zum WSUS deaktiviert ist (nicht "nicht konfiguriert" - ändert nichts).

Grüße Winary
Mitglied: sabines
sabines 17.11.2016 um 16:29:13 Uhr
Goto Top
Zitat von @Winary:


eine angewendete GPO macht man am besten so rückgängig wie man sie erstellt hat, nur mit gegenteiligem Wert.


Moin,
das kenne ich so nicht generell . Es gibt unzählige GPOs die nach dem Entfernen des Users/Computers nicht mehr greifen.
Für diesen aktuellen Fall würde ich das aber so wie Du geschrieben hast auch machen.

Gruss
Mitglied: Winary
Winary 17.11.2016 um 16:34:44 Uhr
Goto Top
Zitat von @sabines:
das kenne ich so nicht generell . Es gibt unzählige GPOs die nach dem Entfernen des Users/Computers nicht mehr greifen.

Das will ich auf keinen Fall bestreiten, nur habe ich nie Lust das auszuprobieren, ob das Entfernen ausreicht oder nicht. Außerdem lassen sich geänderte GPOs besser ausfinden machen als jene, die auf Standard (nicht konfiguriert) stehen.

Nachdem der Client die deaktivierte GPO-Einstellung angewendet hat, kann man sie danach auch wieder auf nicht konfiguriert stellen, wenn auf den Client keine andere GPO wirkt, die die Einstellung wieder deaktiviert. So hat man es dann wieder auf Ursprungszustand und verheddert sich dann nicht in restriktiven Rechten.
Mitglied: Knorkator
Knorkator 17.11.2016 um 16:51:28 Uhr
Goto Top
Bei uns funktioniert es, wenn ich dem Client den Zugriff auf die GPO verweigere!
Mitglied: Winary
Winary 17.11.2016 um 16:59:55 Uhr
Goto Top
Zitat von @Knorkator:
Bei uns funktioniert es, wenn ich dem Client den Zugriff auf die GPO verweigere!

Das ist dasselbe wie die GPO für den Client zu entfernen. ;)
Mitglied: Knorkator
Knorkator 17.11.2016 um 17:02:12 Uhr
Goto Top
Na ja.. bei uns klappt es jedenfalls.
face-smile

Da ich momentan mit einigen Clients Probleme habe, nutze ich das ab und zu mal..
Mitglied: Michael-ITler
Michael-ITler 17.11.2016 um 17:02:22 Uhr
Goto Top
Hallo,

leider funktioniert keine der beiden vorgeschlagenen Lösungen. Weder das Erstellen einer gleichen GPO bei der die Werte "deaktiviert" werden, noch das verweigern des PCs auf die Ursprüngliche GPO.

Der Angesprochene Registry Key [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:00000001

bleibt bei diesem Wert und somit kann ich die Windows Updates nicht manuell steuern.
Mitglied: Knorkator
Knorkator 17.11.2016 um 17:04:06 Uhr
Goto Top
Bin mir nicht sicher, aber evtl. kann der Wsus Helper nützlich sein.
http://www.wsus.de/de/?section=downloads&category=8&id=5
Mitglied: Winary
Winary 17.11.2016 um 17:09:19 Uhr
Goto Top
Dann mach mal eine Gruppenrichtlinienmodellierung in der Gruppenrichtlinenverwaltung. Irgendeine GPO mit der Einstellung wirkt noch auf den Client.

Die Reihenfolge der abzuarbeitenden GPO's beim starten des Clients ist wichtig. Wird eine Einstellung erst aktivert, dann deaktiviert und dann von einer anderen GPO wieder aktiviert, ist sie auch aktiviert. Die Reihenfolge kannst du in der Gruppenrichtlinenverwaltung (gpmc.msc) in der entsprechenden OU festlegen.
Mitglied: Michael-ITler
Michael-ITler 17.11.2016 um 17:23:07 Uhr
Goto Top
Hallo,

die nochmalige Prüfung der auf den Client wirkenden GPOs brachte leider auch keine Lösung. Für mich liegt der Fehler weder beim WSUS noch bei den GPOs.
Wie kommt den die Einstellung in dem genannten Registry Key überhaupt zustande, das ist ja auch nirgends konfiguriert.
Mitglied: Winary
Winary 18.11.2016 aktualisiert um 08:16:00 Uhr
Goto Top
"Einige Einstellungen werden vom Systemadministrator verwaltet" bedeutet, dass mindestens eine GPO-Einstellung, die Windows Update betrifft auf dem Client angewendet wird, egal welche. Wenn du den Client nur Updates aus dem Internet bereitstellen willst musst du wie gesagt den internen Pfad zum WSUS entfernen.

"DisableWindowsUpdateAccess" schaltet den Zugang zu Windows Update ein und aus, so wie ich das herauslese.

Leg den Client im AD in eine untergeordnete OU, in der du in der Gruppenrichtlinienverwaltung die Vererbung deaktivierst und alle notwendigen Richtlinien dahin neu verknüpft, in der keine einzige Windows-Update-Einstellung ist.

Nebenbei hast du nicht erwähnt um welchen Client es sich handelt. Bei Windows 10 Home kann man den Windows Update Dienst nicht einfach beenden ohne dass er gleich wieder neu startet. Ich weiß nicht ob das bei Pro auch so ist.

GPOs ändern Registry-Keys, nichts anderes machen sie, zur Info.

Edit: Hast du mehrere Domänencontroller? Wenn ja, hast du einen gemeinsamen Speicher für deine GPOs? Wenn man keinen gemeinsamen Speicher hat kann es passieren, dass man auf dem einen DC eine Einstellung (alles unter Administrative Vorlagen) definiert und diese auf dem anderen DC nicht synchronisiert wird. Bedeutet du konfigurierst deine GPO auf DC1, aber dein Client zieht seine GP von DC2, in der das nicht konfiguriert wurde. Und Windows Update steht unter Administrative Vorlagen.
Mitglied: Henere
Henere 21.11.2016 um 19:12:43 Uhr
Goto Top
Es gibt doch auch die Option, wie der Client sich verhalten soll, wenn die GPO für ihn nicht mehr aktiv ist. An der Stelle würde ich ansetzen.