jonasquinn
Goto Top

Gruppenrichtlinien für WSUS

Hallo,

Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS/Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS/Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?

herzlichen Dank für jede Hilfe.

Content-ID: 176439

Url: https://administrator.de/forum/gruppenrichtlinien-fuer-wsus-176439.html

Ausgedruckt am: 26.12.2024 um 15:12 Uhr

Chonta
Chonta 18.11.2011 um 09:25:10 Uhr
Goto Top
Hallo,

GPOs wirken nur auf Objekte (Benutzer oder Computerkonten). Man kann sie filtern, sodass die nur von bestimmten Gruppen akzeptiert werden.
Standard Einstellung sind Autentifizierte Benutzer.

Soweit mi bekannt wirken die GPOs auch nur Auf Objekte unterhalb ihrer verlinkung, also wenn Du die Computer im Standardordner lassen willst (was ich nicht empfehlen würde), müsstest Du dein GPO auf die Gesammte Domäne anwenden und dann nach Gruppen Filtern.

Am besten Du machst eine OU Computer wo die Computer nach Standorten/Abteilungen hinterlegt sind und dann eine Gruppe(Sicherheit) WSUS-Clients und dort werden alle Computer die vom WSUS bedient werden sollen Mitglied.
Dann die GPO an höchster Stelle der Computer OU Strucktur verlinken und auf die Gruppe WSUS-Clients filtern.
(Du kannst natürlich deine bestehende Gruppe verwenden.)

So bist du dann auch flexibel genug um Neue GPOs für Komputer nachzurüsten.
Eine ähnliche Strucktur empfehlt sich auch für Benutzerkonten.
Wenn man besonders viel auf die höchste Domänenebene verlinkt sinkt bei großen Umgebungen die Leistung des AD.

Gruß

Chonta
JonasQuinn
JonasQuinn 18.11.2011 um 09:55:37 Uhr
Goto Top
ich sehe schon, ich habe vom AD null Ahnung. Hab mir das jetzt schon 5x durchgelesen und bin mir immer noch nicht sicher ob ich es auch verstanden habe.
Also mache ich das so:

ich lege eine OU Computer an mit Unterordner für Abteilung

OU Computer
|_ Zentrale
|_ Kasse
|_ Verwaltung
usw.

in OU Computer lege ich eine Sicherheitsgruppe WSUS-Clients an und mache als Mitglieder alle Rechner die ich per WSUS bedienen will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.

Hab ich das so richtig verstanden?
Chonta
Chonta 18.11.2011 um 10:43:40 Uhr
Goto Top
Hallo,

aller Anfang ist schwer face-smile

in OU Computer lege ich eine Sicherheitsgruppe WSUS-Clients an und mache als Mitglieder alle Rechner die ich per WSUS bedienen
will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort
authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.

Hab ich das so richtig verstanden?

Jein

Irgendwo eine OU oder ein Container mit Gruppen

OU Gruppen
WSUS-Clients


OU Computer
-WSUS-GPO verlinkt
|_OU_ Zentrale
Computerconten
|_OU_Kasse
Computerkonten
|_OU_Verwaltung
Computerkonten


Wo die Gruppe ist ist egal. Bei der Anwendung der GPO wird nachgesehen welche Objekte (Benutzerkonten oder Computerkonten) Mitglied der Gruppe ist auf die es angewendet werden soll. Und alle Computer die Mitgleid sind ziehn sich dann die GPO alle anderen nicht.

Achtung bei Großen Struckturen verlinke nur dort wo es gebraucht wird. Der ganze Baum wird durchsucht.
Die Computer werden auch erst nach einem Neustart mitgleid der neuen Gruppe sein!

Achso es kann ne weile Dauern bis der WSUS alle Clients kennt, nicht wundern

Gruß

Chonta

PS: Ganz vergessen zu fragen welches System face-smile / Falls es noch ein 2003er ist, die GPMC runterladen und installieren. Macht das ganze übersichtlicher und Du verstehst das was ich mit dem verlinken gemeint habe besser.
JonasQuinn
JonasQuinn 18.11.2011 um 11:01:18 Uhr
Goto Top
achja - hab ich vergessen: der DC ist ein 2003er Server und GPMC hab ich schon. Der WSUS ist ein 2008R2

Ich hab jetzt auf die Schnelle einfach mal in Computers eine Gruppe angelegt wo nur ich drin bin und das GPO in der Domäne verlinkt. Hat sofort alles funktioniert.
Nur mit dem aufräumen des AD wie Du oben schreibst komme ich doch nicht so richtig klar. Ich mache mal einen Screenshot und reiche den gleich nach.
Bilder kann man hier nicht anhängen? Oder?

das AD:

d2153448ca11a9917da928b80284b141

und hier GPO:

126798d2ad8275a56ec8c06a5874a50e


P.S. ganz schön kompliziert mit den Bilder einfügen
Chonta
Chonta 18.11.2011 um 12:53:24 Uhr
Goto Top
Hallo,

so wie Du es im Moment hast, hast Du die GPO WSUS-Computer auf Domänenebene verlinkt. Das bedeutet Alle Objekte, die in der Gruppe sind auf die der Filter der GPO steht werden versuchen die GPO anzuwenden. Und alle Objekte der Domäne werden überprüft ob sie in der Gruppe sind.
Das kann mit unter lange dauern (mehrter 1000 Objekte).

Wenn in WSUS-Computer drin steht zeieh dir Updates vom WSUS, dann würde ich den Link vonder Domäne entfernen und nur auf entweder Clients, oder auf Computer setzen. Jeh nachdem ob für Server und Workstations die gleichen Reglen gelten sollen.

Wer welche Updates beklommen soll usw. wird über die WSUS-Console und das einrichten von WSUS-Gruppen im WSUS selber erledigt. Die WSUS-Gruppen haben nichts mit den AD-Gruppen gemeinsam.

Du musst dann noch die Updates syncen und alles was installiert werden soll genemigen.
Bei MS-Updates ziehen sich die Clients in der Regel nur Updates die a für ihre WSUS-Gruppe freigegeben sind und b nur Updates die sie auch verwenden können.

Gruß

Chonta
JonasQuinn
JonasQuinn 18.11.2011 um 13:13:54 Uhr
Goto Top
Hallo Chonta,

erst mal herzlichen Dank für Deine Hilfe.
Also ich denke jetzt habe ich es verstanden. Ich muss in meiner OU Clients nur noch die Abteilungen anlegen (wenn ich das denn so will) und alle Computerkonten aus dem Container Computers entsprechend in meine OU verschieben. Die Sicherheitsgruppe (wo die Computer die WSUS kennen soll drin stehen) lege ich direkt in meiner OU Clients an und im Gruppenrichtlinieneditor verschiebe ich meine GPO WSUS-Computer dann nach OU - Clients.
Bedeutet aber dann auch - wenn ich einen neuen Rechner zur Domäne hinzu füge, landet der ja erst mal im Container Computers und ich muss in dann manuell in meine OU Clients verschieben? Richtig?

wegen der Einstellungen am WSUS bin ich gerade am suchen, wie ich einstelle welche Updates ich zu den Gruppen dort verlinke und ob der WSUS-Server selber auch dort in einer Gruppe erscheinen muss oder ob der sowieso die Updates von sich selber bekommt.

Man ist das alles kompliziert - aber einen Lehrgang für das ganze wird mein Chef wohl nicht bezahlen.

Grüße
Micha
Chonta
Chonta 18.11.2011 um 14:38:44 Uhr
Goto Top
Hallo,

wo die Gruppe ist, ist egal. Denn nicht die Gruppe wird gefragt sondern die Computer/Benutzerkonten werden "gefragt" in welcher Gruppe sie sind.

Wenn Du einen neuen Computer der Domäne hinzufügst musst Du den verschieben, ausser du legst das Konto gleich dort an.
Man kann auch den Defautort für automatisch erstlelte Konten ändern.

Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.

Gruß

Chonta
JonasQuinn
JonasQuinn 18.11.2011 um 14:48:22 Uhr
Goto Top
Zitat von @Chonta:


Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor
allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.

Gruß

Chonta

Hallo,

genau das habe ich gemacht. Habe aber noch eingestellt das jeden Mittwoch 20:00 uhr Update mit Neustart ist und wollte den Leuten sagen sie sollen jeden Mittwoch den Rechner an lassen. Dann kann ich auch Mittwochs immer die volle Antivirenscans laufen lassen.
Na mal schauen was bei der Sache so raus kommt.

Ich danke Dir nochmal ganz herzlich für eine Geduld.

Gruß Micha