GPO für Verbindungen zu Windows Update
Guten Morgen,
wir verwenden in unserer Umgebung WSUS-Server für die Bereitstellung von Updates, die Systeme sind entsprechend per GPO konfiguriert. Wir stellen darüber hinaus auch Feature Updates (z.B. 21H2) über den WSUS bereit, leider mussten wir in der Vergangenheit feststellen, dass die Clients sich Feature Updates auch ohne WSUS-Freigabe aus dem Internet ziehen. Dies konnten wir unterbinden, indem wir folgende GPO aktivieren:
Keine Verbindungen mit Windows Update-Internetadressen herstellen -> Aktivieren
Dies hat jedoch zur Folge, dass Apps und Updates von Apps aus dem Windows Store nicht heruntergeladen können, da die Kommunikation über die GPO blockiert wird.
Frage:
Ist es noch so, dass Clients Featureupdates herunterladen, obwohl ein WSUS-Server konfiguriert ist? Falls ja, wie handhabt ihr das?
Viele Grüße
wir verwenden in unserer Umgebung WSUS-Server für die Bereitstellung von Updates, die Systeme sind entsprechend per GPO konfiguriert. Wir stellen darüber hinaus auch Feature Updates (z.B. 21H2) über den WSUS bereit, leider mussten wir in der Vergangenheit feststellen, dass die Clients sich Feature Updates auch ohne WSUS-Freigabe aus dem Internet ziehen. Dies konnten wir unterbinden, indem wir folgende GPO aktivieren:
Keine Verbindungen mit Windows Update-Internetadressen herstellen -> Aktivieren
Dies hat jedoch zur Folge, dass Apps und Updates von Apps aus dem Windows Store nicht heruntergeladen können, da die Kommunikation über die GPO blockiert wird.
Frage:
Ist es noch so, dass Clients Featureupdates herunterladen, obwohl ein WSUS-Server konfiguriert ist? Falls ja, wie handhabt ihr das?
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3696724926
Url: https://administrator.de/forum/gpo-fuer-verbindungen-zu-windows-update-3696724926.html
Ausgedruckt am: 25.12.2024 um 16:12 Uhr
8 Kommentare
Neuester Kommentar
Moin,
in der GPO für die Clients musst Du den WSUS 2x eintragen (als primäres und als sekundäres Ziel). Dann sollte Windows für Updates nur noch den WSUS fragen.
Einen Tod musst Du sterben......
Gruß
Thomas
in der GPO für die Clients musst Du den WSUS 2x eintragen (als primäres und als sekundäres Ziel). Dann sollte Windows für Updates nur noch den WSUS fragen.
Dies hat jedoch zur Folge, dass Apps und Updates von Apps aus dem Windows Store nicht heruntergeladen können, da die Kommunikation über die GPO blockiert wird.
Einen Tod musst Du sterben......
Gruß
Thomas
Mahlzeit.
Aktuelle ADMX-Templates verwenden, WUfB konfigurieren.
Alternative WSUS-Adresse leerlassen.
Statt:
folgendes konfigurieren:
System/Internetkommunikationsverwaltung/Internetkommunikationseinstellungen
Damit erreichst du: User können nicht mehr suchen und Updates aus dem Store funktionieren trotzdem.
Durch Deaktivieren von WUfB schaut Windows dann auch nicht mehr "am WSUS vorbei" nach Updates.
Cheers,
jsysde
Aktuelle ADMX-Templates verwenden, WUfB konfigurieren.
Alternative WSUS-Adresse leerlassen.
Statt:
Keine Verbindungen mit Windows Update-Internetadressen herstellen -> Aktivieren
System/Internetkommunikationsverwaltung/Internetkommunikationseinstellungen
Zugriff auf alle Windows Update-Funktionen deaktivieren -> Aktivieren
Damit erreichst du: User können nicht mehr suchen und Updates aus dem Store funktionieren trotzdem.
Durch Deaktivieren von WUfB schaut Windows dann auch nicht mehr "am WSUS vorbei" nach Updates.
Cheers,
jsysde
Moin.
Cheers,
jsysde
Zitat von @Looser27:
Wenn er aber keine Verbindungen zu Windows-Update Adressen erlaubt, erhalten die Apps aus dem Store keine Updates mehr.
Ja, genau - deswegen steht in meinem Beitrag ja auch, dass er stattdessen den Zugriff auf alle Windows Update-Funktionen deaktivieren setzen soll.Wenn er aber keine Verbindungen zu Windows-Update Adressen erlaubt, erhalten die Apps aus dem Store keine Updates mehr.
Cheers,
jsysde