8
WSUS - Installation von Patches für Clients und Server
Hallo zusammen,
wir haben hier Windows Server 2012 R2 mit installiertem WSUS im Einsatz.
Folgendes möchte ich erzielen:
Clients sollen automatisch die Updates herunterladen und nach einem Zeitplan um 11:00 Uhr installieren. Es soll kein Neustart ausgeführt werden. (Gruppenrichtlinie ist dafür schon eingerichtet und funktioniert)
Server sollen automatisch die Updates herunterladen, allerdings nicht installieren. (Gruppenrichtlinie müsste dann nur zum Teil abgeändert werden. (4 -> 3)
Meine Frage:
Wie löse ich dass Clients die eine Gruppenrichtlinie zieht, während Server die andere ziehen?
Müssen hier OUs für Clients und Server eingerichtet werden?
Muss etwas an der Registry angepasst werden?
Viele Grüße
wir haben hier Windows Server 2012 R2 mit installiertem WSUS im Einsatz.
Folgendes möchte ich erzielen:
Clients sollen automatisch die Updates herunterladen und nach einem Zeitplan um 11:00 Uhr installieren. Es soll kein Neustart ausgeführt werden. (Gruppenrichtlinie ist dafür schon eingerichtet und funktioniert)
Server sollen automatisch die Updates herunterladen, allerdings nicht installieren. (Gruppenrichtlinie müsste dann nur zum Teil abgeändert werden. (4 -> 3)
Meine Frage:
Wie löse ich dass Clients die eine Gruppenrichtlinie zieht, während Server die andere ziehen?
Müssen hier OUs für Clients und Server eingerichtet werden?
Muss etwas an der Registry angepasst werden?
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 393420
Url: https://administrator.de/contentid/393420
Printed on: April 26, 2024 at 10:04 o'clock
8 Comments
Latest comment
Entweder du machst es über OUs oder über den WMI Filter ProductType.
http://www.nogeekleftbehind.com/2013/09/10/updated-list-of-os-version-q ...
http://www.nogeekleftbehind.com/2013/09/10/updated-list-of-os-version-q ...
Zitat von @xondra1909:
Wie löse ich dass Clients die eine Gruppenrichtlinie zieht, während Server die andere ziehen?
Müssen hier OUs für Clients und Server eingerichtet werden?
Wie löse ich dass Clients die eine Gruppenrichtlinie zieht, während Server die andere ziehen?
Müssen hier OUs für Clients und Server eingerichtet werden?
Hi,
entweder zwei WSUS-GPOs und dann via OUs trennen, oder zwei WSUS-GPOs und via AD-Gruppen und Sicherheitsfilterung trennen.
Hallo xondra,
Ja, du musst für Server und Clients getrennte OU's anlegen. Wie man eine Gruppenrichtlinie mit einer OU verknüpft weißt du?
Es ist grundsätzlich empfehlenswert die OUs und Gruppenrichtlinien von Clients und Servern zu trennen - z.B. können für die Server dann auch strengere Sicherheitsrichtlinien konfiguriert werden.
Ggf. nochmal die Grundlagen zu ActiveDirectory und GPO anschauen
Gruß, JD
Ja, du musst für Server und Clients getrennte OU's anlegen. Wie man eine Gruppenrichtlinie mit einer OU verknüpft weißt du?
Es ist grundsätzlich empfehlenswert die OUs und Gruppenrichtlinien von Clients und Servern zu trennen - z.B. können für die Server dann auch strengere Sicherheitsrichtlinien konfiguriert werden.
Ggf. nochmal die Grundlagen zu ActiveDirectory und GPO anschauen
Gruß, JD
Hab das selbst erst neulich mal wieder eingerichtet.
Ja am besten über OUs.
Ich verwende dann 3 GPOs für den WSUS damit ich keine redundanten Einträge in mehreren GPOs habe.
Eine GPO ist dann für die komplette Domäne gültig und beinhaltet die allgemeinen Einstellungen die sowohl für Server als auch für Clients identisch sind.
z.B. die WSUS URL
Und dann jeweils eine GPO für Clients und eine GPO für Server die dann nur für die jeweilige OU gilt.
Hier kommen dann alle Einstellungen rein die jeweils für Clients und Server unterschiedlich eingestellt sind.
Vorteil von 3 Richtlinien statt Zwei (nur eine für Clients und eine für Server):
Sollte sich z.B. mal die WSUS URL ändern muss nur eine Richtlinie angepasst werden.
Mögliche Fehlerquellen (z.B. das nur in einer der beiden Richtlinien die URL geändert wird) werden vermieden.
Ja am besten über OUs.
Ich verwende dann 3 GPOs für den WSUS damit ich keine redundanten Einträge in mehreren GPOs habe.
Eine GPO ist dann für die komplette Domäne gültig und beinhaltet die allgemeinen Einstellungen die sowohl für Server als auch für Clients identisch sind.
z.B. die WSUS URL
Und dann jeweils eine GPO für Clients und eine GPO für Server die dann nur für die jeweilige OU gilt.
Hier kommen dann alle Einstellungen rein die jeweils für Clients und Server unterschiedlich eingestellt sind.
Vorteil von 3 Richtlinien statt Zwei (nur eine für Clients und eine für Server):
Sollte sich z.B. mal die WSUS URL ändern muss nur eine Richtlinie angepasst werden.
Mögliche Fehlerquellen (z.B. das nur in einer der beiden Richtlinien die URL geändert wird) werden vermieden.
Vielen Dank für die Antworten bis hierhin.
Kann ich dann beruhigt die Objekte von "Computers" in die jeweiligen OUs verschieben oder muss ich dabei etwas berücksichtigen?
Hängt wahrscheinlich von der Umgebung ab, nehme ich an... (?)
Kann ich dann beruhigt die Objekte von "Computers" in die jeweiligen OUs verschieben oder muss ich dabei etwas berücksichtigen?
Hängt wahrscheinlich von der Umgebung ab, nehme ich an... (?)
Die OUs haben eigene Berechtigungsstrukturen, sofern du da aber nichts geändert hast, dürfte es da normal kein Problem geben.
Prinzipiell musst du beim verschieben eines Computers oder Benutzers nur aufpassen, dass wenn auf der vorhergehenden OU es bereits eine GPO gab diese natürlich dann für den Computer oder User nicht mehr aktiv ist.
Bei den Standardordnern Users und Computers musst du dir aber keine Sorgen machen.
Diese sind nämlich eigentlich keine OUs sondern Container.
Deshalb kann man auf diese auch keine GPOs legen und auch keine Subfolder OUs machen.
Was sich evtl. noch anbietet wäre die Standard OU in der neue Computer landen auf etwas anders als den Container "Computers" zu legen, damit neue Clients automatisch in der richtigen OU landen.
Wenn neue Server dazu kämen müsste man die natürlich manuell wieder in deren Server OU verschieben, aber neue Clients dürften ja sicher häufiger dazu kommen als neue Server.
Gibt haufenweise Anleitungen zum verschieben der Standard OU.
Bei den Standardordnern Users und Computers musst du dir aber keine Sorgen machen.
Diese sind nämlich eigentlich keine OUs sondern Container.
Deshalb kann man auf diese auch keine GPOs legen und auch keine Subfolder OUs machen.
Was sich evtl. noch anbietet wäre die Standard OU in der neue Computer landen auf etwas anders als den Container "Computers" zu legen, damit neue Clients automatisch in der richtigen OU landen.
Wenn neue Server dazu kämen müsste man die natürlich manuell wieder in deren Server OU verschieben, aber neue Clients dürften ja sicher häufiger dazu kommen als neue Server.
Gibt haufenweise Anleitungen zum verschieben der Standard OU.
Vielen Dank für eure Unterstützung und für die Beantwortung meiner Fragen.
Ich habe das soweit umgesetzt und es sieht sehr gut aus.
Ich habe das soweit umgesetzt und es sieht sehr gut aus.