12
Volle Kontrolle über Windows-Updates an Admins delegieren und nicht Microsoft
Hallo,
einfache Frage, vermutlich komplizierte Lösung
Ich hätte nur gerne eine Funktion für Windows Server 2016 und Windows 10-Clients, wo ich sagen kann:
"Jetzt machst du scheiß Ding deine Updates, startest neu und dann lässt du die Leute in Ruh, bis ich wieder sage, es ist soweit."
Problem: die Dinger starten quer durch den Gemüsgarten einfach während der Arbeitszeit neu. Hinweis: die Arbeitszeit ist hier 24h, da Schichtbetrieb, also nichts mit Produktivzeiten setzen.
Einzige Möglichkeit wäre am Freitag morgen ein Zeitfenster zwischen 6h und 8h. Da läuft nämlich auch die Wartung der gesteuerten Maschinen und es erfolgt Auslieferung und Verpackung der Produkte. Heißt auch: innerhalb dieser 2 Stunden sollten die Updates auch abgeschlossen sein.
Kann ja nicht sein, dass Microsoft hier diktiert, wann wer seine Systeme nutzt.
Mit GPOs hab ich mich schon beschäftigt, von so nicht neu starten mit eingeloggten Usern oder Zeitpunkte für Updates setzen. Irgendwie funktioniert das allerdings nicht. Die Systeme starten nach wie vor einfach so neu.
Ist das überhaupt gebacken zu bekommen? Denke nämlich mittlerweile ernsthaft darüber nach, die Produktionssteuerungen auf Linux-Maschinen auszulagern.
LG,
holliknolli
einfache Frage, vermutlich komplizierte Lösung
Ich hätte nur gerne eine Funktion für Windows Server 2016 und Windows 10-Clients, wo ich sagen kann:
"Jetzt machst du scheiß Ding deine Updates, startest neu und dann lässt du die Leute in Ruh, bis ich wieder sage, es ist soweit."
Problem: die Dinger starten quer durch den Gemüsgarten einfach während der Arbeitszeit neu. Hinweis: die Arbeitszeit ist hier 24h, da Schichtbetrieb, also nichts mit Produktivzeiten setzen.
Einzige Möglichkeit wäre am Freitag morgen ein Zeitfenster zwischen 6h und 8h. Da läuft nämlich auch die Wartung der gesteuerten Maschinen und es erfolgt Auslieferung und Verpackung der Produkte. Heißt auch: innerhalb dieser 2 Stunden sollten die Updates auch abgeschlossen sein.
Kann ja nicht sein, dass Microsoft hier diktiert, wann wer seine Systeme nutzt.
Mit GPOs hab ich mich schon beschäftigt, von so nicht neu starten mit eingeloggten Usern oder Zeitpunkte für Updates setzen. Irgendwie funktioniert das allerdings nicht. Die Systeme starten nach wie vor einfach so neu.
Ist das überhaupt gebacken zu bekommen? Denke nämlich mittlerweile ernsthaft darüber nach, die Produktionssteuerungen auf Linux-Maschinen auszulagern.
LG,
holliknolli
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 495481
Url: https://administrator.de/contentid/495481
Printed on: April 24, 2024 at 08:04 o'clock
12 Comments
Latest comment
Moin,
mit einer Kombination aus GPOs, einem WSUS Server und Windows 10 Enterprise geht das
lg,
Slainte
mit einer Kombination aus GPOs, einem WSUS Server und Windows 10 Enterprise geht das
lg,
Slainte
Moin,
das könnte schwierig werden, speziell bei Upgrades. Meiner Erfahrung nach dauern runterladen (auch vom WSUS) inkl. Installation schnell mal ne Stunde. Der erforderliche Neustart im Anschluß auch schnell mal 30min. Wenn dann was passiert, wird es eng mit Deinem Zeitfenster.
Grundsätzlich sehe ich das wie Kollege @SlainteMhath. Ein korrekt konfigurierter WSUS mit entsprechenden GPOs sind hier der Weg zum Erfolg.
Wenn die kritischen Systeme mit einem Linux funktionieren, ist auch das eine schicke Alternative. Bedenke aber, dass Du hier für die Wartung händisch ran mußt für die Installation von Updates.
Btw.....Windows 2016 Server ist da noch am pflegeleichtesten......solange Du die Updates nicht installierst, laufen die einfach weiter. Rest aber auch hier wie oben.
Gruß
Looser
Heißt auch: innerhalb dieser 2 Stunden sollten die Updates auch abgeschlossen sein.
das könnte schwierig werden, speziell bei Upgrades. Meiner Erfahrung nach dauern runterladen (auch vom WSUS) inkl. Installation schnell mal ne Stunde. Der erforderliche Neustart im Anschluß auch schnell mal 30min. Wenn dann was passiert, wird es eng mit Deinem Zeitfenster.
Grundsätzlich sehe ich das wie Kollege @SlainteMhath. Ein korrekt konfigurierter WSUS mit entsprechenden GPOs sind hier der Weg zum Erfolg.
Wenn die kritischen Systeme mit einem Linux funktionieren, ist auch das eine schicke Alternative. Bedenke aber, dass Du hier für die Wartung händisch ran mußt für die Installation von Updates.
Btw.....Windows 2016 Server ist da noch am pflegeleichtesten......solange Du die Updates nicht installierst, laufen die einfach weiter. Rest aber auch hier wie oben.
Gruß
Looser
1... Linux.... Bedenke aber, dass Du hier für die Wartung händisch ran mußt für die Installation von Updates.
in Zeiten von Ansible, Puppet oder Chef muss das auch nicht mehr sein 
Wenn die kritischen Systeme mit einem Linux funktionieren, ist auch das eine schicke Alternative. Bedenke aber, dass Du hier für die Wartung händisch ran mußt für die Installation von Updates.
Ist eigentlich genau das, was ich will.
LG
Also laut Duden heißt das aber "das ###ding".
1
Hallo,
auf Produktionssteuerungen ein Standard Windows drauf zu knallen ist aber auch ne selten schlechte Idee.
Dafür gibt's Windows 10 IoT Enterprise
auf Produktionssteuerungen ein Standard Windows drauf zu knallen ist aber auch ne selten schlechte Idee.
Dafür gibt's Windows 10 IoT Enterprise
Servus,
die Kisten machen i.d.R. genau, was du ihnen als Admin erlaubst oder befiehlst.
WSUS aufsetzen, die entsprechende GPO richtig konfigurieren und fertig ist der Lack.
Updates genehmigst du auf dem WSUS, wenn du die Verträglichkeit und Funktionalität getestet hast.
Installation erfolgt in dem Zeitfenster, das du per GPO vorgibst. Neustart erfolgt nur in dem
von dir per GPO erlaubten Zeitraum/Zeitpunkt.
Wenn es zeitlich nicht anders geht, dann muss man eben am Wochenende (gegen entsprechenden Zuschlag)
ran und das da erledigen.
Gruß NV
die Kisten machen i.d.R. genau, was du ihnen als Admin erlaubst oder befiehlst.
WSUS aufsetzen, die entsprechende GPO richtig konfigurieren und fertig ist der Lack.
Updates genehmigst du auf dem WSUS, wenn du die Verträglichkeit und Funktionalität getestet hast.
Installation erfolgt in dem Zeitfenster, das du per GPO vorgibst. Neustart erfolgt nur in dem
von dir per GPO erlaubten Zeitraum/Zeitpunkt.
Wenn es zeitlich nicht anders geht, dann muss man eben am Wochenende (gegen entsprechenden Zuschlag)
ran und das da erledigen.
Gruß NV
WSUS aufsetzen, die entsprechende GPO richtig konfigurieren und fertig ist der Lack.
nun, werde es mal versuchen.
Wenn es zeitlich nicht anders geht, dann muss man eben am Wochenende (gegen entsprechenden Zuschlag)
ran und das da erledigen.
ran und das da erledigen.
Ne!!!!!! Am Wochenende will ich meine Ruhe haben. ;)
Zitat von @holliknolli:
nun, werde es mal versuchen.
WSUS aufsetzen, die entsprechende GPO richtig konfigurieren und fertig ist der Lack.
nun, werde es mal versuchen.
Sehe ich etwas anders. Auf solche Maschinen gehört eine LTSC (Long-Term Servicing Channel) Version drauf. Eben wie die IoT Enterprise.
Dann gibt es nur Sicherheitsupdates. Nicht das du dir irgendwann ein Funktionsupdate drauf packen musst und Maschinensoftware spielt nicht mehr mit.
Wichtig ist auch die korrekte Windows Edition! Home/Pro lässt nicht alle Updatefeatures konfigurieren - Nur Enterprise "kann" das.
Sehe ich etwas anders. Auf solche Maschinen gehört eine LTSC (Long-Term Servicing Channel) Version drauf. Eben wie die IoT Enterprise.
Dann gibt es nur Sicherheitsupdates. Nicht das du dir irgendwann ein Funktionsupdate drauf packen musst und Maschinensoftware spielt nicht mehr mit.
Dann gibt es nur Sicherheitsupdates. Nicht das du dir irgendwann ein Funktionsupdate drauf packen musst und Maschinensoftware spielt nicht mehr mit.
Das eine schließt das andere ja nicht aus. Wenn diese Maschinen eine LTSC-Version haben, packst du die Kisten in eine eigene Gruppe,
genehmigst Nicht-LTSC-Funktionsupdates für diese Maschinen dann nicht und alles ist gut.
Gruß NV
Zitat von @NixVerstehen:
Das eine schließt das andere ja nicht aus. Wenn diese Maschinen eine LTSC-Version haben, packst du die Kisten in eine eigene Gruppe,
genehmigst Nicht-LTSC-Funktionsupdates für diese Maschinen dann nicht und alles ist gut.
Gruß NV
Sehe ich etwas anders. Auf solche Maschinen gehört eine LTSC (Long-Term Servicing Channel) Version drauf. Eben wie die IoT Enterprise.
Dann gibt es nur Sicherheitsupdates. Nicht das du dir irgendwann ein Funktionsupdate drauf packen musst und Maschinensoftware spielt nicht mehr mit.
Dann gibt es nur Sicherheitsupdates. Nicht das du dir irgendwann ein Funktionsupdate drauf packen musst und Maschinensoftware spielt nicht mehr mit.
Das eine schließt das andere ja nicht aus. Wenn diese Maschinen eine LTSC-Version haben, packst du die Kisten in eine eigene Gruppe,
genehmigst Nicht-LTSC-Funktionsupdates für diese Maschinen dann nicht und alles ist gut.
Gruß NV
Wie schon @SlainteMhath geschrieben hat bedingt das ganze Konzept eine vernünftige Windows Version. Mit einer Pro kommst du nicht weit.
Und die IoT Enterprise ist genau für den Einsatzzweck gedacht.
