Gruppenrichtlinien für WSUS
Hallo,
Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS/Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS/Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?
herzlichen Dank für jede Hilfe.
Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS/Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS/Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?
herzlichen Dank für jede Hilfe.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 176439
Url: https://administrator.de/forum/gruppenrichtlinien-fuer-wsus-176439.html
Ausgedruckt am: 26.12.2024 um 15:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
GPOs wirken nur auf Objekte (Benutzer oder Computerkonten). Man kann sie filtern, sodass die nur von bestimmten Gruppen akzeptiert werden.
Standard Einstellung sind Autentifizierte Benutzer.
Soweit mi bekannt wirken die GPOs auch nur Auf Objekte unterhalb ihrer verlinkung, also wenn Du die Computer im Standardordner lassen willst (was ich nicht empfehlen würde), müsstest Du dein GPO auf die Gesammte Domäne anwenden und dann nach Gruppen Filtern.
Am besten Du machst eine OU Computer wo die Computer nach Standorten/Abteilungen hinterlegt sind und dann eine Gruppe(Sicherheit) WSUS-Clients und dort werden alle Computer die vom WSUS bedient werden sollen Mitglied.
Dann die GPO an höchster Stelle der Computer OU Strucktur verlinken und auf die Gruppe WSUS-Clients filtern.
(Du kannst natürlich deine bestehende Gruppe verwenden.)
So bist du dann auch flexibel genug um Neue GPOs für Komputer nachzurüsten.
Eine ähnliche Strucktur empfehlt sich auch für Benutzerkonten.
Wenn man besonders viel auf die höchste Domänenebene verlinkt sinkt bei großen Umgebungen die Leistung des AD.
Gruß
Chonta
GPOs wirken nur auf Objekte (Benutzer oder Computerkonten). Man kann sie filtern, sodass die nur von bestimmten Gruppen akzeptiert werden.
Standard Einstellung sind Autentifizierte Benutzer.
Soweit mi bekannt wirken die GPOs auch nur Auf Objekte unterhalb ihrer verlinkung, also wenn Du die Computer im Standardordner lassen willst (was ich nicht empfehlen würde), müsstest Du dein GPO auf die Gesammte Domäne anwenden und dann nach Gruppen Filtern.
Am besten Du machst eine OU Computer wo die Computer nach Standorten/Abteilungen hinterlegt sind und dann eine Gruppe(Sicherheit) WSUS-Clients und dort werden alle Computer die vom WSUS bedient werden sollen Mitglied.
Dann die GPO an höchster Stelle der Computer OU Strucktur verlinken und auf die Gruppe WSUS-Clients filtern.
(Du kannst natürlich deine bestehende Gruppe verwenden.)
So bist du dann auch flexibel genug um Neue GPOs für Komputer nachzurüsten.
Eine ähnliche Strucktur empfehlt sich auch für Benutzerkonten.
Wenn man besonders viel auf die höchste Domänenebene verlinkt sinkt bei großen Umgebungen die Leistung des AD.
Gruß
Chonta
Hallo,
aller Anfang ist schwer
Jein
Irgendwo eine OU oder ein Container mit Gruppen
OU Gruppen
WSUS-Clients
OU Computer
-WSUS-GPO verlinkt
|_OU_ Zentrale
Computerconten
|_OU_Kasse
Computerkonten
|_OU_Verwaltung
Computerkonten
Wo die Gruppe ist ist egal. Bei der Anwendung der GPO wird nachgesehen welche Objekte (Benutzerkonten oder Computerkonten) Mitglied der Gruppe ist auf die es angewendet werden soll. Und alle Computer die Mitgleid sind ziehn sich dann die GPO alle anderen nicht.
Achtung bei Großen Struckturen verlinke nur dort wo es gebraucht wird. Der ganze Baum wird durchsucht.
Die Computer werden auch erst nach einem Neustart mitgleid der neuen Gruppe sein!
Achso es kann ne weile Dauern bis der WSUS alle Clients kennt, nicht wundern
Gruß
Chonta
PS: Ganz vergessen zu fragen welches System / Falls es noch ein 2003er ist, die GPMC runterladen und installieren. Macht das ganze übersichtlicher und Du verstehst das was ich mit dem verlinken gemeint habe besser.
aller Anfang ist schwer
in OU Computer lege ich eine Sicherheitsgruppe WSUS-Clients an und mache als Mitglieder alle Rechner die ich per WSUS bedienen
will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort
authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.
Hab ich das so richtig verstanden?
will.
dann lege ich eine GPO für WSUS an die ich direkt unter dem Domänenstamm verknüpfe und lösche dort
authentifizierte Benutzer und füge die Gruppe WSUS-Clients als Sicherheitsfilter hinzu.
Hab ich das so richtig verstanden?
Jein
Irgendwo eine OU oder ein Container mit Gruppen
OU Gruppen
WSUS-Clients
OU Computer
-WSUS-GPO verlinkt
|_OU_ Zentrale
Computerconten
|_OU_Kasse
Computerkonten
|_OU_Verwaltung
Computerkonten
Wo die Gruppe ist ist egal. Bei der Anwendung der GPO wird nachgesehen welche Objekte (Benutzerkonten oder Computerkonten) Mitglied der Gruppe ist auf die es angewendet werden soll. Und alle Computer die Mitgleid sind ziehn sich dann die GPO alle anderen nicht.
Achtung bei Großen Struckturen verlinke nur dort wo es gebraucht wird. Der ganze Baum wird durchsucht.
Die Computer werden auch erst nach einem Neustart mitgleid der neuen Gruppe sein!
Achso es kann ne weile Dauern bis der WSUS alle Clients kennt, nicht wundern
Gruß
Chonta
PS: Ganz vergessen zu fragen welches System / Falls es noch ein 2003er ist, die GPMC runterladen und installieren. Macht das ganze übersichtlicher und Du verstehst das was ich mit dem verlinken gemeint habe besser.
Hallo,
so wie Du es im Moment hast, hast Du die GPO WSUS-Computer auf Domänenebene verlinkt. Das bedeutet Alle Objekte, die in der Gruppe sind auf die der Filter der GPO steht werden versuchen die GPO anzuwenden. Und alle Objekte der Domäne werden überprüft ob sie in der Gruppe sind.
Das kann mit unter lange dauern (mehrter 1000 Objekte).
Wenn in WSUS-Computer drin steht zeieh dir Updates vom WSUS, dann würde ich den Link vonder Domäne entfernen und nur auf entweder Clients, oder auf Computer setzen. Jeh nachdem ob für Server und Workstations die gleichen Reglen gelten sollen.
Wer welche Updates beklommen soll usw. wird über die WSUS-Console und das einrichten von WSUS-Gruppen im WSUS selber erledigt. Die WSUS-Gruppen haben nichts mit den AD-Gruppen gemeinsam.
Du musst dann noch die Updates syncen und alles was installiert werden soll genemigen.
Bei MS-Updates ziehen sich die Clients in der Regel nur Updates die a für ihre WSUS-Gruppe freigegeben sind und b nur Updates die sie auch verwenden können.
Gruß
Chonta
so wie Du es im Moment hast, hast Du die GPO WSUS-Computer auf Domänenebene verlinkt. Das bedeutet Alle Objekte, die in der Gruppe sind auf die der Filter der GPO steht werden versuchen die GPO anzuwenden. Und alle Objekte der Domäne werden überprüft ob sie in der Gruppe sind.
Das kann mit unter lange dauern (mehrter 1000 Objekte).
Wenn in WSUS-Computer drin steht zeieh dir Updates vom WSUS, dann würde ich den Link vonder Domäne entfernen und nur auf entweder Clients, oder auf Computer setzen. Jeh nachdem ob für Server und Workstations die gleichen Reglen gelten sollen.
Wer welche Updates beklommen soll usw. wird über die WSUS-Console und das einrichten von WSUS-Gruppen im WSUS selber erledigt. Die WSUS-Gruppen haben nichts mit den AD-Gruppen gemeinsam.
Du musst dann noch die Updates syncen und alles was installiert werden soll genemigen.
Bei MS-Updates ziehen sich die Clients in der Regel nur Updates die a für ihre WSUS-Gruppe freigegeben sind und b nur Updates die sie auch verwenden können.
Gruß
Chonta
Hallo,
wo die Gruppe ist, ist egal. Denn nicht die Gruppe wird gefragt sondern die Computer/Benutzerkonten werden "gefragt" in welcher Gruppe sie sind.
Wenn Du einen neuen Computer der Domäne hinzufügst musst Du den verschieben, ausser du legst das Konto gleich dort an.
Man kann auch den Defautort für automatisch erstlelte Konten ändern.
Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.
Gruß
Chonta
wo die Gruppe ist, ist egal. Denn nicht die Gruppe wird gefragt sondern die Computer/Benutzerkonten werden "gefragt" in welcher Gruppe sie sind.
Wenn Du einen neuen Computer der Domäne hinzufügst musst Du den verschieben, ausser du legst das Konto gleich dort an.
Man kann auch den Defautort für automatisch erstlelte Konten ändern.
Die GPU sollte den Clients die IP des WSUS geben und sagen Updates automatisch laden (aber nicht automatisch installieren vor allem die Server nicht!)
Dann haben die Benutzer beim herrunterfahren die Möglichkeit die Updates zu installieren.....
Am besten den Usern sagen die Rechner immer über Start Herrunterfahren und wenn Updates da steht die machen erunterfahren.
Gruß
Chonta