2
Automatische Windows Updates grundsätzlich später installieren
Hallo,
ich "verwalte" eine handvoll Familien PCs. Da es immer wieder zu Probleme mit Einstellungen usw. gekommen ist habe ich mir die Mühe gemacht mit einem Raspberry einen bzw. zwei Domain Controller aufzusetzen um einheitliche Einstellungen (via GPO) auf allen PCs einfach vornehmen zu können.
Dies funktioniert soweit problemlos.
Da ich keinen WSUS betreib(en möchte) sind die automatischen Updates grundsätzlich aktiviert, und habe dazu jedoch eine Anforderung:
Ich möchte die Updates grundsätzlich immer erst 10 Tage nach dem Veröffentlichungsdatum/Patchday installieren. Dies insbesondere deswegen, weil es bei Installation in letzter Zeit immer wieder zu Problemen gekommen ist. Die 10 Tage würden mir genug Zeit geben, die Updates schnell auf einem VPC zu installieren und kurz zu testen (PC hoch + runterfahren + 2-3 Anwendungen starten).
Außerdem wird über größere Probleme ja auch in entsprechenden News berichtet bzw. die Updates ggf. sogar ganz zurückgezogen.
Die 10 Tage sind quasi eine "Karenzzeit" um andere Nutzer testen zu lassen.
Idealerweise sollte dieses Verhalten auf allen Windows 7 PCs via GPO verteilbar sein.
Und:
Bitte keine Diskussion über die Sinnhaftigkeit der Anfrage/Sicherheit der Systeme in den 10 Tage usw., sondern akzeptiert einfach die Anforderung/Anfrage.
Danke,
JR
ich "verwalte" eine handvoll Familien PCs. Da es immer wieder zu Probleme mit Einstellungen usw. gekommen ist habe ich mir die Mühe gemacht mit einem Raspberry einen bzw. zwei Domain Controller aufzusetzen um einheitliche Einstellungen (via GPO) auf allen PCs einfach vornehmen zu können.
Dies funktioniert soweit problemlos.
Da ich keinen WSUS betreib(en möchte) sind die automatischen Updates grundsätzlich aktiviert, und habe dazu jedoch eine Anforderung:
Ich möchte die Updates grundsätzlich immer erst 10 Tage nach dem Veröffentlichungsdatum/Patchday installieren. Dies insbesondere deswegen, weil es bei Installation in letzter Zeit immer wieder zu Problemen gekommen ist. Die 10 Tage würden mir genug Zeit geben, die Updates schnell auf einem VPC zu installieren und kurz zu testen (PC hoch + runterfahren + 2-3 Anwendungen starten).
Außerdem wird über größere Probleme ja auch in entsprechenden News berichtet bzw. die Updates ggf. sogar ganz zurückgezogen.
Die 10 Tage sind quasi eine "Karenzzeit" um andere Nutzer testen zu lassen.
Idealerweise sollte dieses Verhalten auf allen Windows 7 PCs via GPO verteilbar sein.
Und:
Bitte keine Diskussion über die Sinnhaftigkeit der Anfrage/Sicherheit der Systeme in den 10 Tage usw., sondern akzeptiert einfach die Anforderung/Anfrage.
Danke,
JR
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 293131
Url: https://administrator.de/contentid/293131
Printed on: April 19, 2024 at 23:04 o'clock
2 Comments
Latest comment
N'Abend.
Genau für dieses Szenario gibt es.... den WSUS.
Mir ist kein anderer Weg bekannt, per GPO gleich gar nicht, um die Update-Verteilung zu verzögern. Als Workaround könntest natürlich den Update-Dienst auf den Clients stoppen und nur dann anschalten, wenn du die Updates "freigegeben" hast.
Aber was spricht denn gegen den WSUS?
Cheers,
jsysde
P.S.:
Ich halte das auch nicht für ein Sicherheitsrisiko, Updates erst mal ein paar Tage "reifen" zu lassen, bevor man sie auf die Maschinen loslässt; im Gegenteil, gerade im Firmenumfeld wird das häufig so gehandhabt.
Genau für dieses Szenario gibt es.... den WSUS.
Mir ist kein anderer Weg bekannt, per GPO gleich gar nicht, um die Update-Verteilung zu verzögern. Als Workaround könntest natürlich den Update-Dienst auf den Clients stoppen und nur dann anschalten, wenn du die Updates "freigegeben" hast.
Aber was spricht denn gegen den WSUS?
Cheers,
jsysde
P.S.:
Ich halte das auch nicht für ein Sicherheitsrisiko, Updates erst mal ein paar Tage "reifen" zu lassen, bevor man sie auf die Maschinen loslässt; im Gegenteil, gerade im Firmenumfeld wird das häufig so gehandhabt.
Hallo,
ich sehe das genauso, aber über Sinnhaftigkeit möchtest du ja nicht reden.
Ich vermute mal du möchtest den Speicherplatz sparen. Bei Windows 10 Home hast du auf jeden Fall keine Chance, solltest du noch upgraden wollen.
Ein Würgaround wäre vielleicht per GPO mit Gruppenrichtlinein-Voreinstellungen (GPP), die du mit einer OU verknüpfst, in der per Skript (musst du noch schreiben) zeit-/datumsgesteuert deine Computerkonten verschoben und nach Abschluss des Vorgangs wieder entfernt werden.
Dort kannst du den Windows-Update-Dienst (wuauserv) auswählen und auf aktiviert stellen; dieser ist ganz unten in der Liste. Zusätzlich musst du eine GPP erstellen mit einem Zeitraum, in der der Dienst deaktiviert wird/bleibt, wenn der PC hochfährt.
OPTIONAL: Im Fenster für die Einstellung gibt es oben den Reiter "Gemeinsam". Dort befindet sich die Funktion "Zielgruppenadressierung auf Elementebene. Dort erstellst du ein neues Element "Zeitbereich" und passt dir einen Zeitraum an, in der der Dienst aktiviert wird, wenn der PC hochfährt.
Sicher eine unschöne Lösung, die man natürlich noch testen müsste, ob sie überhaupt funktioniert. Man müsste eventuell an dem Zusammenspiel von dem Skript und der GPPs noch herumdoktoren bis es eventuell geht.
Das wäre nur mein spontaner Einfall dazu. Ansonsten: WSUS!
Grüße Winary
ich sehe das genauso, aber über Sinnhaftigkeit möchtest du ja nicht reden.
Ich vermute mal du möchtest den Speicherplatz sparen. Bei Windows 10 Home hast du auf jeden Fall keine Chance, solltest du noch upgraden wollen.Ein Würgaround wäre vielleicht per GPO mit Gruppenrichtlinein-Voreinstellungen (GPP), die du mit einer OU verknüpfst, in der per Skript (musst du noch schreiben) zeit-/datumsgesteuert deine Computerkonten verschoben und nach Abschluss des Vorgangs wieder entfernt werden.
Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> DiensteDort kannst du den Windows-Update-Dienst (wuauserv) auswählen und auf aktiviert stellen; dieser ist ganz unten in der Liste. Zusätzlich musst du eine GPP erstellen mit einem Zeitraum, in der der Dienst deaktiviert wird/bleibt, wenn der PC hochfährt.
OPTIONAL: Im Fenster für die Einstellung gibt es oben den Reiter "Gemeinsam". Dort befindet sich die Funktion "Zielgruppenadressierung auf Elementebene. Dort erstellst du ein neues Element "Zeitbereich" und passt dir einen Zeitraum an, in der der Dienst aktiviert wird, wenn der PC hochfährt.
Sicher eine unschöne Lösung, die man natürlich noch testen müsste, ob sie überhaupt funktioniert. Man müsste eventuell an dem Zusammenspiel von dem Skript und der GPPs noch herumdoktoren bis es eventuell geht.
Das wäre nur mein spontaner Einfall dazu. Ansonsten: WSUS!
Grüße Winary
