Client aus WSUS ordentlich austragen

bleppsatter
Goto Top
Hallo,

ich stelle gerade unsere Clients für die Updatesuche um. Bisher haben sie über WSUS ihre Updates erhalten, da wir aber eine neue Software gekauft haben, die unter anderem den WSUS ersetzen soll, will bzw. muss ich die Clients logischerweise aus dem WSUS entfernen, da sie sonst aus zwei Quellen Updates beziehen würden. Da ich diese Umstellung schrittweise vornehme, teste ich das zunächst bei einigen Clients. Dazu entferne ich auf diesen Clients den kompletten Registryzweig unter [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] und setze dann AUOptions auf 1, damit der PC von sich aus nie nach Updates sucht (das ist nötig, damit die neue Software die Updates bereitstellen und verteilen kann). Jetzt habe ich das Problem, dass nach einiger Zeit die Einstellungen von Windows Update wieder ausgegraut werden, ganz so als wären sie wieder im WSUS drin. Jedoch wird der WSUS nicht in der Registry gelistet bzw. finden sich unter [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] nur AUOptions mit Wert 1 sowie NoAUAsDefaultShutdownOption mit Wert 0. Kann es sein, dass der WSUS eine Prüfung der Clients durchführt und versucht "fehlerhafte" Clients automatisch wieder aufzunehmen? Oder sollte es i.d.R. ausreichen, die entsprechenden Registrywerte zu löschen und WSUS hat dann nur noch Datensatzleichen? Aus Windowssicht her will ich lediglich Windows Update auf den Clients in den Urzustand bringen, also mit Microsoft als Quelle und dann die Updatesuche komplett deaktivieren.

Im nächsten Schritt will ich dann noch die Update Einstellungen für die lokale Gruppe Hauptbenutzer sperren, dazu wäre mein Ansatz, die Berechtigungen für den Registrypfad für die Hauptbenutzer auf read-only zu setzen. Kann ich das so machen, oder gibt es da elegantere Wege?

Beste Grüße
BleppSatter

Content-Key: 326980

Url: https://administrator.de/contentid/326980

Ausgedruckt am: 19.05.2022 um 07:05 Uhr

Mitglied: KayJay
KayJay 20.01.2017 aktualisiert um 11:07:48 Uhr
Goto Top
Hallo,

ich denke das deine WSUS Einstellungen über die GPO verteilt werden?

Aus meinem Verständnis, solltest du die Rechner in eine Gruppe verschieben, wo keine WSUS Einstellungen hinterlegt sind.
Ansonsten kannst du in der Reg ändern was du willst. Nach Zeitraum X oder Neustart, trägt die GPO wieder den WSUS bei den Clients ein bzw. versucht es.
Mitglied: Hellvis
Hellvis 20.01.2017 um 11:08:25 Uhr
Goto Top
Nach einiger Zeit - das klingt so al würdem Policeis wieder drüberbügeln.
Kann das sein?

Unabhängig davon:
Lösch einfach die entsprechenden Computerkonten ausm WU Server.
Mitglied: BleppSatter
BleppSatter 20.01.2017 um 11:31:56 Uhr
Goto Top
Wir haben die Clients direkt am WSUS angebunden und verwalten das über keine GPO, zumindest haben wir keine dafür eingerichtet.

Dann trage ich die Clients am WSUS direkt aus. Danke :) face-smile
Mitglied: Ravers
Ravers 20.01.2017 um 12:31:56 Uhr
Goto Top
Hi,

und woher wissen die Clients, das die Ihre Updates nicht von MS sondern vom WSUS beziehen sollen?? ;-) face-wink

Schau dir mal die GPO`s noch mal an ...

greetz
ravers
Mitglied: BleppSatter
BleppSatter 20.01.2017 um 13:23:59 Uhr
Goto Top
Das wissen die, da wir bisher bei jedem PC den WSUS manuell in die Registry (der oben erwähnte Zweig) eingetragen haben. Deshalb bin ich auch auf die Idee gekommen die Registry wieder zu säubern, also die Einträge rückgängig zu machen.

GPO habe ich eben geprüft, da ist keine Richtlinie für Updates oder WSUS.
Mitglied: manuel-r
Lösung manuel-r 20.01.2017 um 14:56:43 Uhr
Goto Top
GPO habe ich eben geprüft, da ist keine Richtlinie für Updates oder WSUS.

Mag sein.
Fakt ist aber auch, dass ein WSUS selbst nichts aktiv tut. Weder prüft er aktiv ob es Clients gibt die keine Updates holen noch trägt er sich selbst irgendwie bei den Client als zuständiger WSUS ein. Und schon gar nicht pusht er irgendwelche Updates auf den Client.
Alles was der WSUS weiß, weiß er rein passiv anhand von Daten aus seiner Datenbank. Und diese Daten kommen aktiv von den Clients. Meldet sich ein Client nicht, dann ist das für den WSUS einfach so.

Lange Rede kurzer Sinn:
Es muss bei dir irgendeinen Mechanismus geben, der die Clients auf "automatische Updates" und "Vom Administrator verwaltet" umstellt.

Manuel
Mitglied: shadynet
Lösung shadynet 20.01.2017 um 16:56:21 Uhr
Goto Top
Hi,

hast du den Windows Update Dienst vorher auch beendet? Durchaus denkbar, dass der das nicht so schön findet und unvorhersehbar reagiert, wenn man ihm die Keys unterm Arsch wegzieht...und sie dadurch ausm Cache wieder schreibt.
Mitglied: BleppSatter
BleppSatter 25.01.2017 um 11:58:26 Uhr
Goto Top
Ich danke allen für ihre Beiträge, ihr habt mir sehr geholfen. Mein Weg war, die Registry zu säubern also den WindowsUpdate Hive zu löschen und dann den Client neuzustarten. So legt er den Hive neu an mit "Werkseinstellungen" und hat die Microsoftserver als Downloadquelle. Mit dem pausieren des WU-Dienstes wäre es sicherlich nochmal eine Nummer sicherer, das werde ich bei den verbliebenden Clients auch so machen. Damit schließe ich diesen Thread und danke nochmals allen Beteiligten.