Client aus WSUS ordentlich austragen
Hallo,
ich stelle gerade unsere Clients für die Updatesuche um. Bisher haben sie über WSUS ihre Updates erhalten, da wir aber eine neue Software gekauft haben, die unter anderem den WSUS ersetzen soll, will bzw. muss ich die Clients logischerweise aus dem WSUS entfernen, da sie sonst aus zwei Quellen Updates beziehen würden. Da ich diese Umstellung schrittweise vornehme, teste ich das zunächst bei einigen Clients. Dazu entferne ich auf diesen Clients den kompletten Registryzweig unter [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] und setze dann AUOptions auf 1, damit der PC von sich aus nie nach Updates sucht (das ist nötig, damit die neue Software die Updates bereitstellen und verteilen kann). Jetzt habe ich das Problem, dass nach einiger Zeit die Einstellungen von Windows Update wieder ausgegraut werden, ganz so als wären sie wieder im WSUS drin. Jedoch wird der WSUS nicht in der Registry gelistet bzw. finden sich unter [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] nur AUOptions mit Wert 1 sowie NoAUAsDefaultShutdownOption mit Wert 0. Kann es sein, dass der WSUS eine Prüfung der Clients durchführt und versucht "fehlerhafte" Clients automatisch wieder aufzunehmen? Oder sollte es i.d.R. ausreichen, die entsprechenden Registrywerte zu löschen und WSUS hat dann nur noch Datensatzleichen? Aus Windowssicht her will ich lediglich Windows Update auf den Clients in den Urzustand bringen, also mit Microsoft als Quelle und dann die Updatesuche komplett deaktivieren.
Im nächsten Schritt will ich dann noch die Update Einstellungen für die lokale Gruppe Hauptbenutzer sperren, dazu wäre mein Ansatz, die Berechtigungen für den Registrypfad für die Hauptbenutzer auf read-only zu setzen. Kann ich das so machen, oder gibt es da elegantere Wege?
Beste Grüße
BleppSatter
ich stelle gerade unsere Clients für die Updatesuche um. Bisher haben sie über WSUS ihre Updates erhalten, da wir aber eine neue Software gekauft haben, die unter anderem den WSUS ersetzen soll, will bzw. muss ich die Clients logischerweise aus dem WSUS entfernen, da sie sonst aus zwei Quellen Updates beziehen würden. Da ich diese Umstellung schrittweise vornehme, teste ich das zunächst bei einigen Clients. Dazu entferne ich auf diesen Clients den kompletten Registryzweig unter [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] und setze dann AUOptions auf 1, damit der PC von sich aus nie nach Updates sucht (das ist nötig, damit die neue Software die Updates bereitstellen und verteilen kann). Jetzt habe ich das Problem, dass nach einiger Zeit die Einstellungen von Windows Update wieder ausgegraut werden, ganz so als wären sie wieder im WSUS drin. Jedoch wird der WSUS nicht in der Registry gelistet bzw. finden sich unter [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] nur AUOptions mit Wert 1 sowie NoAUAsDefaultShutdownOption mit Wert 0. Kann es sein, dass der WSUS eine Prüfung der Clients durchführt und versucht "fehlerhafte" Clients automatisch wieder aufzunehmen? Oder sollte es i.d.R. ausreichen, die entsprechenden Registrywerte zu löschen und WSUS hat dann nur noch Datensatzleichen? Aus Windowssicht her will ich lediglich Windows Update auf den Clients in den Urzustand bringen, also mit Microsoft als Quelle und dann die Updatesuche komplett deaktivieren.
Im nächsten Schritt will ich dann noch die Update Einstellungen für die lokale Gruppe Hauptbenutzer sperren, dazu wäre mein Ansatz, die Berechtigungen für den Registrypfad für die Hauptbenutzer auf read-only zu setzen. Kann ich das so machen, oder gibt es da elegantere Wege?
Beste Grüße
BleppSatter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 326980
Url: https://administrator.de/forum/client-aus-wsus-ordentlich-austragen-326980.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
ich denke das deine WSUS Einstellungen über die GPO verteilt werden?
Aus meinem Verständnis, solltest du die Rechner in eine Gruppe verschieben, wo keine WSUS Einstellungen hinterlegt sind.
Ansonsten kannst du in der Reg ändern was du willst. Nach Zeitraum X oder Neustart, trägt die GPO wieder den WSUS bei den Clients ein bzw. versucht es.
ich denke das deine WSUS Einstellungen über die GPO verteilt werden?
Aus meinem Verständnis, solltest du die Rechner in eine Gruppe verschieben, wo keine WSUS Einstellungen hinterlegt sind.
Ansonsten kannst du in der Reg ändern was du willst. Nach Zeitraum X oder Neustart, trägt die GPO wieder den WSUS bei den Clients ein bzw. versucht es.
GPO habe ich eben geprüft, da ist keine Richtlinie für Updates oder WSUS.
Mag sein.
Fakt ist aber auch, dass ein WSUS selbst nichts aktiv tut. Weder prüft er aktiv ob es Clients gibt die keine Updates holen noch trägt er sich selbst irgendwie bei den Client als zuständiger WSUS ein. Und schon gar nicht pusht er irgendwelche Updates auf den Client.
Alles was der WSUS weiß, weiß er rein passiv anhand von Daten aus seiner Datenbank. Und diese Daten kommen aktiv von den Clients. Meldet sich ein Client nicht, dann ist das für den WSUS einfach so.
Lange Rede kurzer Sinn:
Es muss bei dir irgendeinen Mechanismus geben, der die Clients auf "automatische Updates" und "Vom Administrator verwaltet" umstellt.
Manuel