8
Gruppenrichtlinien für WSUS
Hallo,
Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS/Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS/Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?
herzlichen Dank für jede Hilfe.
Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS/Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS/Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?
herzlichen Dank für jede Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176439
Url: https://administrator.de/contentid/176439
Printed on: April 19, 2024 at 01:04 o'clock
8 Comments
Latest comment
Hallo,
GPOs wirken nur auf Objekte (Benutzer oder Computerkonten). Man kann sie filtern, sodass die nur von bestimmten Gruppen akzeptiert werden.
Standard Einstellung sind Autentifizierte Benutzer.
Soweit mi bekannt wirken die GPOs auch nur Auf Objekte unterhalb ihrer verlinkung, also wenn Du die Computer im Standardordner lassen willst (was ich nicht empfehlen würde), müsstest Du dein GPO auf die Gesammte Domäne anwenden und dann nach Gruppen Filtern.
Am besten Du machst eine OU Computer wo die Computer nach Standorten/Abteilungen hinterlegt sind und dann eine Gruppe(Sicherheit) WSUS-Clients und dort werden alle Computer die vom WSUS bedient werden sollen Mitglied.
Dann die GPO an höchster Stelle der Computer OU Strucktur verlinken und auf die Gruppe WSUS-Clients filtern.
(Du kannst natürlich deine bestehende Gruppe verwenden.)
So bist du dann auch flexibel genug um Neue GPOs für Komputer nachzurüsten.
Eine ähnliche Strucktur empfehlt sich auch für Benutzerkonten.
Wenn man besonders viel auf die höchste Domänenebene verlinkt sinkt bei großen Umgebungen die Leistung des AD.
Gruß
Chonta
GPOs wirken nur auf Objekte (Benutzer oder Computerkonten). Man kann sie filtern, sodass die nur von bestimmten Gruppen akzeptiert werden.
Standard Einstellung sind Autentifizierte Benutzer.
Soweit mi bekannt wirken die GPOs auch nur Auf Objekte unterhalb ihrer verlinkung, also wenn Du die Computer im Standardordner lassen willst (was ich nicht empfehlen würde), müsstest Du dein GPO auf die Gesammte Domäne anwenden und dann nach Gruppen Filtern.
Am besten Du machst eine OU Computer wo die Computer nach Standorten/Abteilungen hinterlegt sind und dann eine Gruppe(Sicherheit) WSUS-Clients und dort werden alle Computer die vom WSUS bedient werden sollen Mitglied.
Dann die GPO an höchster Stelle der Computer OU Strucktur verlinken und auf die Gruppe WSUS-Clients filtern.
(Du kannst natürlich deine bestehende Gruppe verwenden.)
So bist du dann auch flexibel genug um Neue GPOs für Komputer nachzurüsten.
Eine ähnliche Strucktur empfehlt sich auch für Benutzerkonten.
Wenn man besonders viel auf die höchste Domänenebene verlinkt sinkt bei großen Umgebungen die Leistung des AD.
Gruß
Chonta
ich sehe schon, ich habe vom AD null Ahnung. Hab mir das jetzt schon 5x durchgelesen und bin mir immer noch nicht sicher ob ich es auch verstanden habe.
Also mache ich das so:
ich lege eine OU Computer an mit Unterordner für Abteilung
OU Computer
|_ Zentrale
|_ Kasse
|_ Verwaltung
usw.
in OU Computer lege ich eine Sicherheitsgruppe WSUS-Clients an und mache als Mitglieder alle Rechner die ich per WSUS bedienen will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.
Hab ich das so richtig verstanden?
Also mache ich das so:
ich lege eine OU Computer an mit Unterordner für Abteilung
OU Computer
|_ Zentrale
|_ Kasse
|_ Verwaltung
usw.
in OU Computer lege ich eine Sicherheitsgruppe WSUS-Clients an und mache als Mitglieder alle Rechner die ich per WSUS bedienen will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.
Hab ich das so richtig verstanden?
Hallo,
aller Anfang ist schwer
Jein
Irgendwo eine OU oder ein Container mit Gruppen
OU Gruppen
WSUS-Clients
OU Computer
-WSUS-GPO verlinkt
|_OU_ Zentrale
Computerconten
|_OU_Kasse
Computerkonten
|_OU_Verwaltung
Computerkonten
Wo die Gruppe ist ist egal. Bei der Anwendung der GPO wird nachgesehen welche Objekte (Benutzerkonten oder Computerkonten) Mitglied der Gruppe ist auf die es angewendet werden soll. Und alle Computer die Mitgleid sind ziehn sich dann die GPO alle anderen nicht.
Achtung bei Großen Struckturen verlinke nur dort wo es gebraucht wird. Der ganze Baum wird durchsucht.
Die Computer werden auch erst nach einem Neustart mitgleid der neuen Gruppe sein!
Achso es kann ne weile Dauern bis der WSUS alle Clients kennt, nicht wundern
Gruß
Chonta
PS: Ganz vergessen zu fragen welches System / Falls es noch ein 2003er ist, die GPMC runterladen und installieren. Macht das ganze übersichtlicher und Du verstehst das was ich mit dem verlinken gemeint habe besser.
aller Anfang ist schwer
in OU Computer lege ich eine Sicherheitsgruppe WSUS-Clients an und mache als Mitglieder alle Rechner die ich per WSUS bedienen
will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort
authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.
Hab ich das so richtig verstanden?
will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort
authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.
Hab ich das so richtig verstanden?
Jein
Irgendwo eine OU oder ein Container mit Gruppen
OU Gruppen
WSUS-Clients
OU Computer
-WSUS-GPO verlinkt
|_OU_ Zentrale
Computerconten
|_OU_Kasse
Computerkonten
|_OU_Verwaltung
Computerkonten
Wo die Gruppe ist ist egal. Bei der Anwendung der GPO wird nachgesehen welche Objekte (Benutzerkonten oder Computerkonten) Mitglied der Gruppe ist auf die es angewendet werden soll. Und alle Computer die Mitgleid sind ziehn sich dann die GPO alle anderen nicht.
Achtung bei Großen Struckturen verlinke nur dort wo es gebraucht wird. Der ganze Baum wird durchsucht.
Die Computer werden auch erst nach einem Neustart mitgleid der neuen Gruppe sein!
Achso es kann ne weile Dauern bis der WSUS alle Clients kennt, nicht wundern
Gruß
Chonta
PS: Ganz vergessen zu fragen welches System
/ Falls es noch ein 2003er ist, die GPMC runterladen und installieren. Macht das ganze übersichtlicher und Du verstehst das was ich mit dem verlinken gemeint habe besser.
achja - hab ich vergessen: der DC ist ein 2003er Server und GPMC hab ich schon. Der WSUS ist ein 2008R2
Ich hab jetzt auf die Schnelle einfach mal in Computers eine Gruppe angelegt wo nur ich drin bin und das GPO in der Domäne verlinkt. Hat sofort alles funktioniert.
Nur mit dem aufräumen des AD wie Du oben schreibst komme ich doch nicht so richtig klar. Ich mache mal einen Screenshot und reiche den gleich nach.
Bilder kann man hier nicht anhängen? Oder?
das AD:
und hier GPO:
P.S. ganz schön kompliziert mit den Bilder einfügen
Ich hab jetzt auf die Schnelle einfach mal in Computers eine Gruppe angelegt wo nur ich drin bin und das GPO in der Domäne verlinkt. Hat sofort alles funktioniert.
Nur mit dem aufräumen des AD wie Du oben schreibst komme ich doch nicht so richtig klar. Ich mache mal einen Screenshot und reiche den gleich nach.
Bilder kann man hier nicht anhängen? Oder?
das AD:
und hier GPO:
P.S. ganz schön kompliziert mit den Bilder einfügen
Hallo,
so wie Du es im Moment hast, hast Du die GPO WSUS-Computer auf Domänenebene verlinkt. Das bedeutet Alle Objekte, die in der Gruppe sind auf die der Filter der GPO steht werden versuchen die GPO anzuwenden. Und alle Objekte der Domäne werden überprüft ob sie in der Gruppe sind.
Das kann mit unter lange dauern (mehrter 1000 Objekte).
Wenn in WSUS-Computer drin steht zeieh dir Updates vom WSUS, dann würde ich den Link vonder Domäne entfernen und nur auf entweder Clients, oder auf Computer setzen. Jeh nachdem ob für Server und Workstations die gleichen Reglen gelten sollen.
Wer welche Updates beklommen soll usw. wird über die WSUS-Console und das einrichten von WSUS-Gruppen im WSUS selber erledigt. Die WSUS-Gruppen haben nichts mit den AD-Gruppen gemeinsam.
Du musst dann noch die Updates syncen und alles was installiert werden soll genemigen.
Bei MS-Updates ziehen sich die Clients in der Regel nur Updates die a für ihre WSUS-Gruppe freigegeben sind und b nur Updates die sie auch verwenden können.
Gruß
Chonta
so wie Du es im Moment hast, hast Du die GPO WSUS-Computer auf Domänenebene verlinkt. Das bedeutet Alle Objekte, die in der Gruppe sind auf die der Filter der GPO steht werden versuchen die GPO anzuwenden. Und alle Objekte der Domäne werden überprüft ob sie in der Gruppe sind.
Das kann mit unter lange dauern (mehrter 1000 Objekte).
Wenn in WSUS-Computer drin steht zeieh dir Updates vom WSUS, dann würde ich den Link vonder Domäne entfernen und nur auf entweder Clients, oder auf Computer setzen. Jeh nachdem ob für Server und Workstations die gleichen Reglen gelten sollen.
Wer welche Updates beklommen soll usw. wird über die WSUS-Console und das einrichten von WSUS-Gruppen im WSUS selber erledigt. Die WSUS-Gruppen haben nichts mit den AD-Gruppen gemeinsam.
Du musst dann noch die Updates syncen und alles was installiert werden soll genemigen.
Bei MS-Updates ziehen sich die Clients in der Regel nur Updates die a für ihre WSUS-Gruppe freigegeben sind und b nur Updates die sie auch verwenden können.
Gruß
Chonta
Hallo Chonta,
erst mal herzlichen Dank für Deine Hilfe.
Also ich denke jetzt habe ich es verstanden. Ich muss in meiner OU Clients nur noch die Abteilungen anlegen (wenn ich das denn so will) und alle Computerkonten aus dem Container Computers entsprechend in meine OU verschieben. Die Sicherheitsgruppe (wo die Computer die WSUS kennen soll drin stehen) lege ich direkt in meiner OU Clients an und im Gruppenrichtlinieneditor verschiebe ich meine GPO WSUS-Computer dann nach OU - Clients.
Bedeutet aber dann auch - wenn ich einen neuen Rechner zur Domäne hinzu füge, landet der ja erst mal im Container Computers und ich muss in dann manuell in meine OU Clients verschieben? Richtig?
wegen der Einstellungen am WSUS bin ich gerade am suchen, wie ich einstelle welche Updates ich zu den Gruppen dort verlinke und ob der WSUS-Server selber auch dort in einer Gruppe erscheinen muss oder ob der sowieso die Updates von sich selber bekommt.
Man ist das alles kompliziert - aber einen Lehrgang für das ganze wird mein Chef wohl nicht bezahlen.
Grüße
Micha
erst mal herzlichen Dank für Deine Hilfe.
Also ich denke jetzt habe ich es verstanden. Ich muss in meiner OU Clients nur noch die Abteilungen anlegen (wenn ich das denn so will) und alle Computerkonten aus dem Container Computers entsprechend in meine OU verschieben. Die Sicherheitsgruppe (wo die Computer die WSUS kennen soll drin stehen) lege ich direkt in meiner OU Clients an und im Gruppenrichtlinieneditor verschiebe ich meine GPO WSUS-Computer dann nach OU - Clients.
Bedeutet aber dann auch - wenn ich einen neuen Rechner zur Domäne hinzu füge, landet der ja erst mal im Container Computers und ich muss in dann manuell in meine OU Clients verschieben? Richtig?
wegen der Einstellungen am WSUS bin ich gerade am suchen, wie ich einstelle welche Updates ich zu den Gruppen dort verlinke und ob der WSUS-Server selber auch dort in einer Gruppe erscheinen muss oder ob der sowieso die Updates von sich selber bekommt.
Man ist das alles kompliziert - aber einen Lehrgang für das ganze wird mein Chef wohl nicht bezahlen.
Grüße
Micha
Hallo,
wo die Gruppe ist, ist egal. Denn nicht die Gruppe wird gefragt sondern die Computer/Benutzerkonten werden "gefragt" in welcher Gruppe sie sind.
Wenn Du einen neuen Computer der Domäne hinzufügst musst Du den verschieben, ausser du legst das Konto gleich dort an.
Man kann auch den Defautort für automatisch erstlelte Konten ändern.
Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.
Gruß
Chonta
wo die Gruppe ist, ist egal. Denn nicht die Gruppe wird gefragt sondern die Computer/Benutzerkonten werden "gefragt" in welcher Gruppe sie sind.
Wenn Du einen neuen Computer der Domäne hinzufügst musst Du den verschieben, ausser du legst das Konto gleich dort an.
Man kann auch den Defautort für automatisch erstlelte Konten ändern.
Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.
Gruß
Chonta
Zitat von @Chonta:
Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor
allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.
Gruß
Chonta
Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor
allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.
Gruß
Chonta
Hallo,
genau das habe ich gemacht. Habe aber noch eingestellt das jeden Mittwoch 20:00 uhr Update mit Neustart ist und wollte den Leuten sagen sie sollen jeden Mittwoch den Rechner an lassen. Dann kann ich auch Mittwochs immer die volle Antivirenscans laufen lassen.
Na mal schauen was bei der Sache so raus kommt.
Ich danke Dir nochmal ganz herzlich für eine Geduld.
Gruß Micha
