joedevlin
Goto Top

GPO für Verbindungen zu Windows Update

Guten Morgen,

wir verwenden in unserer Umgebung WSUS-Server für die Bereitstellung von Updates, die Systeme sind entsprechend per GPO konfiguriert. Wir stellen darüber hinaus auch Feature Updates (z.B. 21H2) über den WSUS bereit, leider mussten wir in der Vergangenheit feststellen, dass die Clients sich Feature Updates auch ohne WSUS-Freigabe aus dem Internet ziehen. Dies konnten wir unterbinden, indem wir folgende GPO aktivieren:

Keine Verbindungen mit Windows Update-Internetadressen herstellen -> Aktivieren

Dies hat jedoch zur Folge, dass Apps und Updates von Apps aus dem Windows Store nicht heruntergeladen können, da die Kommunikation über die GPO blockiert wird.

Frage:

Ist es noch so, dass Clients Featureupdates herunterladen, obwohl ein WSUS-Server konfiguriert ist? Falls ja, wie handhabt ihr das?

Viele Grüße

Content-ID: 3696724926

Url: https://administrator.de/forum/gpo-fuer-verbindungen-zu-windows-update-3696724926.html

Ausgedruckt am: 25.12.2024 um 16:12 Uhr

Looser27
Looser27 19.08.2022 um 10:39:38 Uhr
Goto Top
Moin,

in der GPO für die Clients musst Du den WSUS 2x eintragen (als primäres und als sekundäres Ziel). Dann sollte Windows für Updates nur noch den WSUS fragen.

Dies hat jedoch zur Folge, dass Apps und Updates von Apps aus dem Windows Store nicht heruntergeladen können, da die Kommunikation über die GPO blockiert wird.

Einen Tod musst Du sterben......

Gruß

Thomas
JoeDevlin
JoeDevlin 19.08.2022 um 10:58:52 Uhr
Goto Top
Hallo Thomas,

Zitat von @Looser27:
in der GPO für die Clients musst Du den WSUS 2x eintragen (als primäres und als sekundäres Ziel). Dann sollte Windows für Updates nur noch den WSUS fragen.

Einen Tod musst Du sterben......

das ist mir noch nicht ganz klar. Verhindere ich durch den Eintrag als primäres und sekundäres Ziel, dass trotz erlaubter Kommunikation mit Windows Update NUR der WSUS gefragt wird?

Die grundsätzliche Problematik ist ja, dass nunmal Store-Updates nicht vom WSUS bezogen werden und Microsoft hier (nach meinem Wissen) keine vernünftig konfigurierbare Lösung bietet.

Meine Vorstellung wäre:

- Updates nur vom WSUS, ohne die Möglichkeit Online nach Updates zu suchen
- Microsoft Store Apps und -Updates aus dem Internet
Looser27
Looser27 19.08.2022 um 12:52:22 Uhr
Goto Top
das ist mir noch nicht ganz klar. Verhindere ich durch den Eintrag als primäres und sekundäres Ziel, dass trotz erlaubter Kommunikation mit Windows Update NUR der WSUS gefragt wird?

Das ist der Sinn dahinter.
JoeDevlin
JoeDevlin 19.08.2022 um 13:48:25 Uhr
Goto Top
Ich habe das nun getestet, jetzt kann ich als Benutzer auch Online nach Updates suchen und mir wird Windows 11 zur Installation angeboten. Also aus meiner Sicht hat die Angabe des alternativen Servers keine Änderung gebracht.

Mal angemerkt, auch ohne Angabe eines alternativen Servers wird bei Nicht-Erreichbarkeit des WSUS-Servers (z.B. außerhalb des VPNs) nicht automatisch Online nach Updates gesucht.

Ist das, was Du beschrieben hast, irgendwo dokumentiert?
jsysde
jsysde 19.08.2022 aktualisiert um 15:39:12 Uhr
Goto Top
Mahlzeit.

Aktuelle ADMX-Templates verwenden, WUfB konfigurieren.
Alternative WSUS-Adresse leerlassen.

Statt:
Keine Verbindungen mit Windows Update-Internetadressen herstellen -> Aktivieren
folgendes konfigurieren:
System/Internetkommunikationsverwaltung/Internetkommunikationseinstellungen
Zugriff auf alle Windows Update-Funktionen deaktivieren -> Aktivieren

Damit erreichst du: User können nicht mehr suchen und Updates aus dem Store funktionieren trotzdem.

Durch Deaktivieren von WUfB schaut Windows dann auch nicht mehr "am WSUS vorbei" nach Updates.

Cheers,
jsysde
Looser27
Looser27 19.08.2022 um 15:40:07 Uhr
Goto Top
Wenn er aber keine Verbindungen zu Windows-Update Adressen erlaubt, erhalten die Apps aus dem Store keine Updates mehr.

Das Upgrade auf Windows 10 kannst Du über eine GPO unterbinden.

Gruß

Looser
jsysde
jsysde 20.08.2022 um 11:12:49 Uhr
Goto Top
Moin.
Zitat von @Looser27:
Wenn er aber keine Verbindungen zu Windows-Update Adressen erlaubt, erhalten die Apps aus dem Store keine Updates mehr.
Ja, genau - deswegen steht in meinem Beitrag ja auch, dass er stattdessen den Zugriff auf alle Windows Update-Funktionen deaktivieren setzen soll.

Cheers,
jsysde
JoeDevlin
Lösung JoeDevlin 21.08.2022 um 17:21:25 Uhr
Goto Top
So, ich habe nochmal ein paar Tests gemacht, folgendes Fazit:

- Der Vorschlag von Looser27 hat nicht funktioniert, der altnative Updatepfad hat keine Auswirkungen gehabt.
- Die Konfiguration von jsysde funktioniert soweit, hat jedoch den Nachteil, dass man als Benutzer/Admin/Supporter nicht mal eben ad-hoc auf dem System nach Updates suchen kann.

Ich habe aber nochmal recherchiert und nun eine Lösung gefunden, die meine Probleme Löst:

In der GPO "Quelldienst für bestimmte Klassen von Windows-Updates angeben" kann man für vier Klassen ( Feature-, Qualitätsupdates, Treiber, Andere) konfigurieren, ob WSUS oder Windows Update verwendet werden soll. Ich habe für alle vier Klassen WSUS konfiguriert und gleichzeitig die Verbindung von Windows Update-Internetadressen erlaubt, die Online-Suche findet nun keine Updates mehr und der Store funktioniert problemlos.

https://admx.help/?Category=Windows_11_2022&Policy=Microsoft.Policie ...