7
User können Update durchführen trotz Verbot (GPO)
Moin,
ich habe ein mittelgroßes Problem mit unseren Citrix-Servern (alle erwähnten Server sind 2019 Standard auf dem aktuellen Stand):
Wir steuern die Updates via WSUS und logischerweise GPO. In der entsprechenden GPO für alle Server (nicht nur die CTXe) steht das:
Das funktioniert auch wunderbar. An unserem Patchday stehen die Updates zur Verfügung und werden nur noch per Klick auf "Jetzt installieren" eingespielt.
In den GPOs für die Benutzer der CTXe steht via Loopback-Verarbeitung:
Nun habe ich heute die Meldung per Servermanager bekommen, dass bei einem unserer CTXe ein Neustart aussteht. Die einzige Ursache, die ich kenne, ist ein durchgeführtes Update. Und das war es auch. Also habe ich nachgeschaut, ob ich mit meinem eingeschränkten User Updates installieren kann. Es geht. Ich habe mich ganz normal mit dem CTX via Storeserver verbunden, die Einstellungen geöffnet und konnte auf "Installieren" in den Updates klicken. Das Update wurde durchgeführt. Das darf auf keinen Fall sein und ging bisher auch nicht. Warum geht das plötzlich und wie kann ich das abstellen?
Liebe Grüße
Erik
P.S.: Alle Screenshots stammen von gpresult.
ich habe ein mittelgroßes Problem mit unseren Citrix-Servern (alle erwähnten Server sind 2019 Standard auf dem aktuellen Stand):
Wir steuern die Updates via WSUS und logischerweise GPO. In der entsprechenden GPO für alle Server (nicht nur die CTXe) steht das:
Das funktioniert auch wunderbar. An unserem Patchday stehen die Updates zur Verfügung und werden nur noch per Klick auf "Jetzt installieren" eingespielt.
In den GPOs für die Benutzer der CTXe steht via Loopback-Verarbeitung:
Nun habe ich heute die Meldung per Servermanager bekommen, dass bei einem unserer CTXe ein Neustart aussteht. Die einzige Ursache, die ich kenne, ist ein durchgeführtes Update. Und das war es auch. Also habe ich nachgeschaut, ob ich mit meinem eingeschränkten User Updates installieren kann. Es geht. Ich habe mich ganz normal mit dem CTX via Storeserver verbunden, die Einstellungen geöffnet und konnte auf "Installieren" in den Updates klicken. Das Update wurde durchgeführt. Das darf auf keinen Fall sein und ging bisher auch nicht. Warum geht das plötzlich und wie kann ich das abstellen?
Liebe Grüße
Erik
P.S.: Alle Screenshots stammen von gpresult.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4584513940
Url: https://administrator.de/contentid/4584513940
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
7 Kommentare
Neuester Kommentar
Vielleicht hilft dir dies weiter, wenn DualScan aktiv ist installiert die VM am WSUS vorbei.
https://www.borncity.com/blog/2022/04/11/falle-windows-clients-installie ...
Ich musste dafür die neusten admx importieren, meine waren seit mehreren Jahren nicht mehr aktuell :D
https://www.borncity.com/blog/2022/04/11/falle-windows-clients-installie ...
Ich musste dafür die neusten admx importieren, meine waren seit mehreren Jahren nicht mehr aktuell :D
Zitat von @crypt0r:
Vielleicht hilft dir dies weiter, wenn DualScan aktiv ist installiert die VM am WSUS vorbei.
https://www.borncity.com/blog/2022/04/11/falle-windows-clients-installie ...
Ich musste dafür die neusten admx importieren, meine waren seit mehreren Jahren nicht mehr aktuell :D
Vielleicht hilft dir dies weiter, wenn DualScan aktiv ist installiert die VM am WSUS vorbei.
https://www.borncity.com/blog/2022/04/11/falle-windows-clients-installie ...
Ich musste dafür die neusten admx importieren, meine waren seit mehreren Jahren nicht mehr aktuell :D
Danke für den Hinweis. Aber das ist wegkonfiguriert.
Wo? In deinen Screenshots jedenfalls nicht.
Guten Tag,
du hast unter den Computer-Richtlinien die Option den Zugriff auf Windows Update Optionen zu entfernen (Zugriff auf alle Windows Update-Funktionen entfernen). Das haben wir so konfiguriert; setzt dann aber auch voraus das ihr das nicht als "Administratoren" im GUI installieren wollt.
Gruß
du hast unter den Computer-Richtlinien die Option den Zugriff auf Windows Update Optionen zu entfernen (Zugriff auf alle Windows Update-Funktionen entfernen). Das haben wir so konfiguriert; setzt dann aber auch voraus das ihr das nicht als "Administratoren" im GUI installieren wollt.
Gruß
Moin,
Mal ne blöde Frage und „etwas“ vorbei an deiner eigentliche Frage:
Welche Citrix Version nutzt ihr und nutzt ihr die GoldenImages?
Weshalb ich frage: unsere Citrixe (1912CU5) werden per GoldenImage bereitgestellt. Nen WSUS bekommen die nicht zu Gesicht bzw. Sind die in einer eigenen OU/ WSUS-Gruppe und bekommen nur die Defender-Definitions automatisch genehmigt.
Die Updates werden auf den GoldenImages installiert und später dann die produktiven Citrixe via „Maschinen aktualisieren“ aktualisiert.
Ansonsten würden die Updates - zumindest bei uns - tagtäglich neu installiert werden wollen…
Mal ne blöde Frage und „etwas“ vorbei an deiner eigentliche Frage:
Welche Citrix Version nutzt ihr und nutzt ihr die GoldenImages?
Weshalb ich frage: unsere Citrixe (1912CU5) werden per GoldenImage bereitgestellt. Nen WSUS bekommen die nicht zu Gesicht bzw. Sind die in einer eigenen OU/ WSUS-Gruppe und bekommen nur die Defender-Definitions automatisch genehmigt.
Die Updates werden auf den GoldenImages installiert und später dann die produktiven Citrixe via „Maschinen aktualisieren“ aktualisiert.
Ansonsten würden die Updates - zumindest bei uns - tagtäglich neu installiert werden wollen…
Moin,
Ja, das ist Sinn der Übung. Aber das funktioniert ja nicht (mehr) unter 2019. Admins kann man dann ja wieder rausfiltern.
Liebe Grüße
Erik
Zitat von @CH3COOH:
Guten Tag,
du hast unter den Computer-Richtlinien die Option den Zugriff auf Windows Update Optionen zu entfernen (Zugriff auf alle Windows Update-Funktionen entfernen). Das haben wir so konfiguriert; setzt dann aber auch voraus das ihr das nicht als "Administratoren" im GUI installieren wollt.
Guten Tag,
du hast unter den Computer-Richtlinien die Option den Zugriff auf Windows Update Optionen zu entfernen (Zugriff auf alle Windows Update-Funktionen entfernen). Das haben wir so konfiguriert; setzt dann aber auch voraus das ihr das nicht als "Administratoren" im GUI installieren wollt.
Ja, das ist Sinn der Übung. Aber das funktioniert ja nicht (mehr) unter 2019. Admins kann man dann ja wieder rausfiltern.
Liebe Grüße
Erik
