8
GPO für Verbindungen zu Windows Update
Guten Morgen,
wir verwenden in unserer Umgebung WSUS-Server für die Bereitstellung von Updates, die Systeme sind entsprechend per GPO konfiguriert. Wir stellen darüber hinaus auch Feature Updates (z.B. 21H2) über den WSUS bereit, leider mussten wir in der Vergangenheit feststellen, dass die Clients sich Feature Updates auch ohne WSUS-Freigabe aus dem Internet ziehen. Dies konnten wir unterbinden, indem wir folgende GPO aktivieren:
Keine Verbindungen mit Windows Update-Internetadressen herstellen -> Aktivieren
Dies hat jedoch zur Folge, dass Apps und Updates von Apps aus dem Windows Store nicht heruntergeladen können, da die Kommunikation über die GPO blockiert wird.
Frage:
Ist es noch so, dass Clients Featureupdates herunterladen, obwohl ein WSUS-Server konfiguriert ist? Falls ja, wie handhabt ihr das?
Viele Grüße
wir verwenden in unserer Umgebung WSUS-Server für die Bereitstellung von Updates, die Systeme sind entsprechend per GPO konfiguriert. Wir stellen darüber hinaus auch Feature Updates (z.B. 21H2) über den WSUS bereit, leider mussten wir in der Vergangenheit feststellen, dass die Clients sich Feature Updates auch ohne WSUS-Freigabe aus dem Internet ziehen. Dies konnten wir unterbinden, indem wir folgende GPO aktivieren:
Keine Verbindungen mit Windows Update-Internetadressen herstellen -> Aktivieren
Dies hat jedoch zur Folge, dass Apps und Updates von Apps aus dem Windows Store nicht heruntergeladen können, da die Kommunikation über die GPO blockiert wird.
Frage:
Ist es noch so, dass Clients Featureupdates herunterladen, obwohl ein WSUS-Server konfiguriert ist? Falls ja, wie handhabt ihr das?
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3696724926
Url: https://administrator.de/contentid/3696724926
Printed on: April 27, 2024 at 13:04 o'clock
8 Comments
Latest comment
Moin,
in der GPO für die Clients musst Du den WSUS 2x eintragen (als primäres und als sekundäres Ziel). Dann sollte Windows für Updates nur noch den WSUS fragen.
Einen Tod musst Du sterben......
Gruß
Thomas
in der GPO für die Clients musst Du den WSUS 2x eintragen (als primäres und als sekundäres Ziel). Dann sollte Windows für Updates nur noch den WSUS fragen.
Dies hat jedoch zur Folge, dass Apps und Updates von Apps aus dem Windows Store nicht heruntergeladen können, da die Kommunikation über die GPO blockiert wird.
Einen Tod musst Du sterben......
Gruß
Thomas
Hallo Thomas,
das ist mir noch nicht ganz klar. Verhindere ich durch den Eintrag als primäres und sekundäres Ziel, dass trotz erlaubter Kommunikation mit Windows Update NUR der WSUS gefragt wird?
Die grundsätzliche Problematik ist ja, dass nunmal Store-Updates nicht vom WSUS bezogen werden und Microsoft hier (nach meinem Wissen) keine vernünftig konfigurierbare Lösung bietet.
Meine Vorstellung wäre:
- Updates nur vom WSUS, ohne die Möglichkeit Online nach Updates zu suchen
- Microsoft Store Apps und -Updates aus dem Internet
Zitat von @Looser27:
in der GPO für die Clients musst Du den WSUS 2x eintragen (als primäres und als sekundäres Ziel). Dann sollte Windows für Updates nur noch den WSUS fragen.
Einen Tod musst Du sterben......
in der GPO für die Clients musst Du den WSUS 2x eintragen (als primäres und als sekundäres Ziel). Dann sollte Windows für Updates nur noch den WSUS fragen.
Einen Tod musst Du sterben......
das ist mir noch nicht ganz klar. Verhindere ich durch den Eintrag als primäres und sekundäres Ziel, dass trotz erlaubter Kommunikation mit Windows Update NUR der WSUS gefragt wird?
Die grundsätzliche Problematik ist ja, dass nunmal Store-Updates nicht vom WSUS bezogen werden und Microsoft hier (nach meinem Wissen) keine vernünftig konfigurierbare Lösung bietet.
Meine Vorstellung wäre:
- Updates nur vom WSUS, ohne die Möglichkeit Online nach Updates zu suchen
- Microsoft Store Apps und -Updates aus dem Internet
das ist mir noch nicht ganz klar. Verhindere ich durch den Eintrag als primäres und sekundäres Ziel, dass trotz erlaubter Kommunikation mit Windows Update NUR der WSUS gefragt wird?
Das ist der Sinn dahinter.
Ich habe das nun getestet, jetzt kann ich als Benutzer auch Online nach Updates suchen und mir wird Windows 11 zur Installation angeboten. Also aus meiner Sicht hat die Angabe des alternativen Servers keine Änderung gebracht.
Mal angemerkt, auch ohne Angabe eines alternativen Servers wird bei Nicht-Erreichbarkeit des WSUS-Servers (z.B. außerhalb des VPNs) nicht automatisch Online nach Updates gesucht.
Ist das, was Du beschrieben hast, irgendwo dokumentiert?
Mal angemerkt, auch ohne Angabe eines alternativen Servers wird bei Nicht-Erreichbarkeit des WSUS-Servers (z.B. außerhalb des VPNs) nicht automatisch Online nach Updates gesucht.
Ist das, was Du beschrieben hast, irgendwo dokumentiert?
Mahlzeit.
Aktuelle ADMX-Templates verwenden, WUfB konfigurieren.
Alternative WSUS-Adresse leerlassen.
Statt:
folgendes konfigurieren:
System/Internetkommunikationsverwaltung/Internetkommunikationseinstellungen
Damit erreichst du: User können nicht mehr suchen und Updates aus dem Store funktionieren trotzdem.
Durch Deaktivieren von WUfB schaut Windows dann auch nicht mehr "am WSUS vorbei" nach Updates.
Cheers,
jsysde
Aktuelle ADMX-Templates verwenden, WUfB konfigurieren.
Alternative WSUS-Adresse leerlassen.
Statt:
Keine Verbindungen mit Windows Update-Internetadressen herstellen -> AktivierenSystem/Internetkommunikationsverwaltung/Internetkommunikationseinstellungen
Zugriff auf alle Windows Update-Funktionen deaktivieren -> AktivierenDamit erreichst du: User können nicht mehr suchen und Updates aus dem Store funktionieren trotzdem.
Durch Deaktivieren von WUfB schaut Windows dann auch nicht mehr "am WSUS vorbei" nach Updates.
Cheers,
jsysde
Wenn er aber keine Verbindungen zu Windows-Update Adressen erlaubt, erhalten die Apps aus dem Store keine Updates mehr.
Das Upgrade auf Windows 10 kannst Du über eine GPO unterbinden.
Gruß
Looser
Das Upgrade auf Windows 10 kannst Du über eine GPO unterbinden.
Gruß
Looser
Moin.
Cheers,
jsysde
Zitat von @Looser27:
Wenn er aber keine Verbindungen zu Windows-Update Adressen erlaubt, erhalten die Apps aus dem Store keine Updates mehr.
Ja, genau - deswegen steht in meinem Beitrag ja auch, dass er stattdessen den Zugriff auf alle Windows Update-Funktionen deaktivieren setzen soll.Wenn er aber keine Verbindungen zu Windows-Update Adressen erlaubt, erhalten die Apps aus dem Store keine Updates mehr.
Cheers,
jsysde
So, ich habe nochmal ein paar Tests gemacht, folgendes Fazit:
- Der Vorschlag von Looser27 hat nicht funktioniert, der altnative Updatepfad hat keine Auswirkungen gehabt.
- Die Konfiguration von jsysde funktioniert soweit, hat jedoch den Nachteil, dass man als Benutzer/Admin/Supporter nicht mal eben ad-hoc auf dem System nach Updates suchen kann.
Ich habe aber nochmal recherchiert und nun eine Lösung gefunden, die meine Probleme Löst:
In der GPO "Quelldienst für bestimmte Klassen von Windows-Updates angeben" kann man für vier Klassen ( Feature-, Qualitätsupdates, Treiber, Andere) konfigurieren, ob WSUS oder Windows Update verwendet werden soll. Ich habe für alle vier Klassen WSUS konfiguriert und gleichzeitig die Verbindung von Windows Update-Internetadressen erlaubt, die Online-Suche findet nun keine Updates mehr und der Store funktioniert problemlos.
https://admx.help/?Category=Windows_11_2022&Policy=Microsoft.Policie ...
- Der Vorschlag von Looser27 hat nicht funktioniert, der altnative Updatepfad hat keine Auswirkungen gehabt.
- Die Konfiguration von jsysde funktioniert soweit, hat jedoch den Nachteil, dass man als Benutzer/Admin/Supporter nicht mal eben ad-hoc auf dem System nach Updates suchen kann.
Ich habe aber nochmal recherchiert und nun eine Lösung gefunden, die meine Probleme Löst:
In der GPO "Quelldienst für bestimmte Klassen von Windows-Updates angeben" kann man für vier Klassen ( Feature-, Qualitätsupdates, Treiber, Andere) konfigurieren, ob WSUS oder Windows Update verwendet werden soll. Ich habe für alle vier Klassen WSUS konfiguriert und gleichzeitig die Verbindung von Windows Update-Internetadressen erlaubt, die Online-Suche findet nun keine Updates mehr und der Store funktioniert problemlos.
https://admx.help/?Category=Windows_11_2022&Policy=Microsoft.Policie ...