"Aktualisieren und Herunterfahren" nach Windows Update erzwingen

frm222
Goto Top
Hallo Zusammen,

wir verteilen unsere Windows Updates über WSUS (2016) und haben hier inzwischen eigentlich einen ganz guten Stand. Die Updates werden sehr zügig auf allen Clients installiert. Als Neustart-Option haben wir "keinen automatischen Neustart, wenn Benutzer angemeldet sind" ausgewählt. Das heißt, die Updates werden installiert und die Benutzer gehen vor Feierabend dann nur noch auf "Aktualisieren und Herunterfahren" oder "Aktualisieren und neu starten".

So viel zu der Theorie...

Nachdem neben den Optionen "Aktualisieren und Herunterfahren" und "Aktualisieren und Neu starten" ja auch noch das normale "Herunterfahren" und "Neu starten" möglich ist, schaffen es einige Benutzer immer wieder gekonnt die orange gekennzeichneten Punkte zu ignorieren und über Tage und Wochen hinweg einfach normal herunterzufahren. Hier wird dann allerdings das Update auch nie ganz abgeschlosssen.
unbenanntes bild

Nun meine Frage:
Gibt es irgendeine Möglichkeit, das "Aktualisieren und Herunterfahren/Neu starten" nach einem Update zu erzwingen? Also dass die normalen Optionen "Hertunerfahren/Neu starten" gar nicht angezeigt werden?

Leider habe ich zu diesem Thema bisher nicht viel gefunden...
Ich freu mich auf eure Antworten und Anregungen.
Vielen Dank im Voraus.

Content-Key: 1288513109

Url: https://administrator.de/contentid/1288513109

Ausgedruckt am: 09.08.2022 um 20:08 Uhr

Mitglied: Cloudrakete
Cloudrakete 21.09.2021 um 16:14:27 Uhr
Goto Top
Mitglied: PeterleB
PeterleB 21.09.2021 um 16:21:07 Uhr
Goto Top
Hallo

eventuell reicht in den Lokalen Gruppenrichtlinien
"Neustart immer automatisch zur geplanten Zeit durchführen" zu aktivieren.

Das ist bestimmt auch in obigem Artikel beschrieben.

Gruß
Peter
Mitglied: FrM222
FrM222 21.09.2021 um 16:23:41 Uhr
Goto Top
Naja, die Seite hatte ich auch schon mal gefunden. Allerdings werden hier ja nur die anderen GPO-Neustart-Optionen noch erklärt...
Eigentlich finde ich aber den Grundgedanken, dass die Updates dann installiert werden, wenn der Benutzer kurz vor Feierabend auf "Aktualisieren und Herunterfahren/Neu starten" klickt ganz gut. Hier wird der Benutzer wirklich gar nicht eingeschränkt.
Mitglied: Cloudrakete
Cloudrakete 21.09.2021 um 16:28:21 Uhr
Goto Top
Aber deine eigene Erfahrung zeigt doch, dass genau das nicht funktioniert.
Ich kann dir da aus Erfahrung sagen: Das funktioniert nirgendwo!

Wenn du deine User nicht dazu zwingst, wirst du immer Chaoten haben, die sowas umschiffen.
Wir haben das ganze für on-prem via SCCM gelöst, dieser erzwingt ein Restart in spätestens 8 Stunden, welcher nicht auch (ohne weiteres) nicht beenden lässt.
Ähnliches haben wir für cloud-betankte Devices via Intune gelöst.


Wenn SCCM als auch Intune (oder andere, vergleichbare Produkte) keine Lösung sind und ihr beim WSUS bleiben möchtet, ist die Variante es via GPO zu erzwingen imo die beste Variante.
Mitglied: DerWoWusste
DerWoWusste 21.09.2021 aktualisiert um 18:38:26 Uhr
Goto Top
Hi.

Es gibt die Richtlinie "Wechsel zum erzwungenen Neustart und Benachrichtigungszeitplan für Updates festlegen", siehe https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...
Die ist doch gut, um Nutzer dazu zu bringen, Updates komplett zu installieren. Sie wird durch die von dir genannte Policy jedoch außer Kraft gesetzt.

An Deiner Stelle würde ich auf diese Policy umschwenken und deine fallen lassen.

Alternativ kannst du noch Updates zu Nachtzeiten automatisch installieren lassen (Scheduler weckt den PC, installiert, fährt ihn runter). Das geht natürlich nur, wenn Du keine Verschlüsselung mit Prebootauthentifizierung nutzt.
Mitglied: FrM222
FrM222 22.09.2021 um 10:05:31 Uhr
Goto Top
Hallo,

danke für eure Antworten. Schade dann geht das wohl einfach nicht so, wie ich mir das gedacht habe.
Dann werde ich eine andere GPO-Neustart-Option versuchen.

Eine Frage noch zu der GPO "Neustart immer automatisch zur geplanten Zeit durchführen":
Mal angenommen ich stelle hier 8 Stunden ein, dann wird nach diesen 8 Stunden ja automatisch neu gestartet, egal ob ein Benutzer angemeldet ist oder nicht. Was passiert aber wenn der Rechner schon vorher vom Benutzer normal über "Herunterfahren" aus gemacht wurde? (Beispiel Teilzeitkräfte, die nach ca. 5 Stunden gehen). Wann bekommen diese PCs dann den Neustart-Befehl und installieren schließlich das Update?
Mitglied: DerWoWusste
DerWoWusste 22.09.2021 um 10:17:46 Uhr
Goto Top
Deine GPO "nicht mit angemeldeten Nutzern neustarten" überstimmt alles. Wenn du dich nicht von der trennen kannst, wird das alles nichts.

Wenn du dich trennst, sind doch alle Optionen dokumentiert, lang und breit. Du kannst sie auch sofort austesten.