anger77
Goto Top

Gruppenrichtlinien verteilen sich nicht auf Clients

Hallo an alle,

ich beschäftige mich nun seit einer Woche mit der Einrichtung und Konfiguration eines WSUS 3.0.
Der WSUS funktioniert nun auch langsam, er verteilt die Updates alle und genehmigt auch automatisch die neuen Updates.

Problem ist jetzt nur noch, ich möchte die Updates über die Gruppenrichtlinien konfigurieren, also ich möchte dass die Updates automatisch installiert werden. Aber wenn ich mit gpedit.msc auf den Clients mir die Gruppenrichtlinien ansehe, ist da keine Konfiguration unter Administrative Vorlagen > Windows Komponenten > Windows Updates. Aber ich habe es auch auf beiden Domänencontrollern eingerichtet und danach noch ein gpupdate /force ausgeführt.

Aber die Richtlinien sind nicht auf den Clients zu finden. Habt ihr ne Idee woran es hängen kann?

Vielen Dank!

Content-ID: 111119

Url: https://administrator.de/contentid/111119

Printed on: October 5, 2024 at 03:10 o'clock

jhinrichs
jhinrichs Mar 11, 2009 at 12:17:34 (UTC)
Goto Top
gpedit.msc ändert nur die lokalen Richtlinien, und da lokal keine wuau.adm existiert taucht diese Möglichkeit dort korrekterweise auch nicht auf.
Wie hast Du geprüft, ob die Richtlinien von den Clients übernommen werden?
Was sagt gpresult.exe (auf dem Client)?
Welcher Pfad ist in dem GPO für den Server eingetragen?
Hast Du ein eigenes GPO erstellt oder die Default Policy geändert?
Wenn eigenes GPO, wo ist dieses verknüpft (Computer/Benutzerobjekt)?
ANGER77
ANGER77 Mar 11, 2009 at 12:25:04 (UTC)
Goto Top
Hallo, Danke erstmal für die Antwort.

Die GR habe ich auf dem 2 Dömanencontroller eingerichtet. Und dann auf dem Client gpedit.msc nachgeschaut ob diese unter WIndows Update übernommen wurden.

Ich habe jetzt mal gpresult.exe ausgeführt und alles sieht normal aus, worauf soll ich genau achten?

Danke!
jhinrichs
jhinrichs Mar 11, 2009 at 12:28:59 (UTC)
Goto Top
Ob in der Ausgabe von gpresult (einmal posten, bitte) die Update-Richtlinie auftaucht. Mit gpedit.msc kannst Du eben nicht sehen, welche Richtline übernommen worden ist, da damit nur die lokalen GPOs bearbeitet werden.
Bitte noch die o.a. Details Deiner Richtlinie mitteilen.
Kannst Du eigentlich noch Windows-Update eigentlich noch auf den Clients "von Hand" konfigurieren? Wenn die Richtlinie übernommen worden ist, sollten die entsprechenden Optionen ausgegraut sein.
ANGER77
ANGER77 Mar 11, 2009 at 12:37:41 (UTC)
Goto Top
Ja also von Hand kann ich da nichts mehr auswählen, alles ausgegraut.
Problem nur: Ich habe in der Vorlage Automatische Updates installieren den 4. Autom. Herunterladen und laut Zeitplan installieren. ------- Aber er macht es nicht face-sad

Also funktioniert es ja mit den Richtlinien....
ANGER77
ANGER77 Mar 11, 2009 at 12:39:13 (UTC)
Goto Top
Achso soll ich immer noch die Ausgabe von gpresult hier posten?
jhinrichs
jhinrichs Mar 11, 2009 at 12:42:26 (UTC)
Goto Top
Sieht so aus, als ob die Richtlinie übernommen wird. Dann kann es nur an den Inhalten der Richtlinie liegen. Ich weiß jetzt nicht mehr genau, wie der Eintrag heißt, aber Du musst neben Zeitplan etc. zweimal einen Pfad zum Server (Updates und Statistik) eintragen. Wichtig ist hier die richtige Portnummer:
http://deinserver.domain.local:8530 (meistens, jedenfalls).
Dann auf den Clients ein gpupdate /force und sehen, was passiert...
ANGER77
ANGER77 Mar 11, 2009 at 12:46:10 (UTC)
Goto Top
Ja du meinst bei Interner Pfad für Updatedienst.... Da ist das auch so eingerichtet.

Woran kann es denn liegen dass die User trotzdem noch aufgefordert werden die Updates du installieren? Das kann aber nicht daran liegen, dass die User lokale Administrator-Rechte haben?

Danke!
jhinrichs
jhinrichs Mar 11, 2009 at 13:29:08 (UTC)
Goto Top
Genau das ist der Grund. Du musst bei

Computerkonfiguration\Administrative Vorlagen\Windows-KomponentenWindows Update\Automatische Updates konfigurieren

Option 4: Autom. Downloaden und laut Zeitplan installieren

auswählen (hast Du wahrscheinlich gemacht)
Wenn dann noch lokale Admins auch ohne Nachfrage die Updates installiert bekommen sollen, musst Du noch in der Benutzerkonfiguration für alle entsprechenden Benutzer

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update
"Zugriff auf alle Windows Update-Funktionen entfernen"

aktivieren.
Aber im Prinzip läuft Dein WSUS ja schon.
ANGER77
ANGER77 Mar 11, 2009 at 13:42:24 (UTC)
Goto Top
Vielen Dank!

Aber dabei habe ich das Problem, das dann ja auch die beiden Server neu gestartet werden. Wie kann ich dass denn verhindern?

Gruß Enrico
jhinrichs
jhinrichs Mar 11, 2009 at 13:49:04 (UTC)
Goto Top
Indem Du eine OU nur für die Clientbenutzer anlegst und das Benutzer-GPO nur dort verknüpfst. Das sollte es tun.
Gruß
jhinrichs
ANGER77
ANGER77 Mar 11, 2009 at 13:55:10 (UTC)
Goto Top
Hallo und nochmals Vielen Dank!

Aber ich kenne mich bis jetzt noch nicht so gut mit GPO aus. Kannst du mir vielleicht eine kleine Anleitung schreiben wie ich sowas einrichte? Habe da so ne Idee aber naja...

Danke

Gruß Enrico
jhinrichs
jhinrichs Mar 11, 2009 at 14:09:36 (UTC)
Goto Top
Ist etwas komplexer. Schau mal hier:
www.gruppenrichtlinien.de

Dann HowTo/Richtlinien für Benutzergruppen

Dort ist es gut und mit Bildern, die so schnell jetzt gar nicht malen könnte, erklärt face-wink
ANGER77
ANGER77 Mar 11, 2009 at 14:13:25 (UTC)
Goto Top
Also es ist ja schon bei mir bereits so dass die Server in der OU Domain Controllers und die Rechner der Nutzer in Computers sind. Muss ich da noch was ändern?

Aber wie verknüpfe ich die GPO dann nur für die Gruppe Computers?


Vielen Dank!

Gruß Enrico
ANGER77
ANGER77 Mar 11, 2009 at 14:24:58 (UTC)
Goto Top
DANKEEEEEEE! Du hast mir echt weitergeholfen!!!!
jhinrichs
jhinrichs Mar 11, 2009 at 14:28:59 (UTC)
Goto Top
Das führt zu einer Frage von weiter oben zurück:
Hast Du ein eigenes GPO erstellt oder die Default Policy geändert?
Um das GPO nur auf die OU Computers anzuwenden: in Gruppenrichtlinienkonsole Rechtsklick auf Computers, und dann Neues GPO hier erstellen und verknüpfen auswählen. Dann die Eintragungen machen. (Falls Eintragungen in Default Policy, dort natrlich wieder rausnehmen)

Aber zum Thema Gruppenrichtlinien bietet die o.g. Site Anleitungen und Hilfen für nahezu alle Fragestellungen. Viel Erfolg!
ANGER77
ANGER77 Mar 11, 2009 at 14:34:40 (UTC)
Goto Top
Ok, jetzt verstehe ich mal wieder nur Bahnhof....

Ich bin mit dem Befehl gpedit.msc in den Editor gegangen und habe eine Administrative Vorlage aktiviert.
Was habe ich falsch gemacht?

Gruß Enrico
jhinrichs
jhinrichs Mar 11, 2009 at 14:36:58 (UTC)
Goto Top
Nicht gpedit!
Gruppenrichtlinienkonsole auf dem Server!
ANGER77
ANGER77 Mar 11, 2009 at 15:20:19 (UTC)
Goto Top
Ok Danke habe es jetzt endlich verstanden und werde es jetzt testen.

Vielen Dank