erikro
Goto Top

User können Update durchführen trotz Verbot (GPO)

Moin,

ich habe ein mittelgroßes Problem mit unseren Citrix-Servern (alle erwähnten Server sind 2019 Standard auf dem aktuellen Stand):

Wir steuern die Updates via WSUS und logischerweise GPO. In der entsprechenden GPO für alle Server (nicht nur die CTXe) steht das:

wsus_updatefehler1
wsus_updatefehler3

Das funktioniert auch wunderbar. An unserem Patchday stehen die Updates zur Verfügung und werden nur noch per Klick auf "Jetzt installieren" eingespielt.

In den GPOs für die Benutzer der CTXe steht via Loopback-Verarbeitung:

wsus_updatefehler2

Nun habe ich heute die Meldung per Servermanager bekommen, dass bei einem unserer CTXe ein Neustart aussteht. Die einzige Ursache, die ich kenne, ist ein durchgeführtes Update. Und das war es auch. Also habe ich nachgeschaut, ob ich mit meinem eingeschränkten User Updates installieren kann. Es geht. Ich habe mich ganz normal mit dem CTX via Storeserver verbunden, die Einstellungen geöffnet und konnte auf "Installieren" in den Updates klicken. Das Update wurde durchgeführt. Das darf auf keinen Fall sein und ging bisher auch nicht. Warum geht das plötzlich und wie kann ich das abstellen?

Liebe Grüße

Erik

P.S.: Alle Screenshots stammen von gpresult.

Content-ID: 4584513940

Url: https://administrator.de/contentid/4584513940

Printed on: October 11, 2024 at 02:10 o'clock

crypt0r
crypt0r Nov 11, 2022 at 10:15:09 (UTC)
Goto Top
Vielleicht hilft dir dies weiter, wenn DualScan aktiv ist installiert die VM am WSUS vorbei.

https://www.borncity.com/blog/2022/04/11/falle-windows-clients-installie ...

Ich musste dafür die neusten admx importieren, meine waren seit mehreren Jahren nicht mehr aktuell :D
erikro
erikro Nov 11, 2022 at 10:16:43 (UTC)
Goto Top
Zitat von @crypt0r:

Vielleicht hilft dir dies weiter, wenn DualScan aktiv ist installiert die VM am WSUS vorbei.

https://www.borncity.com/blog/2022/04/11/falle-windows-clients-installie ...

Ich musste dafür die neusten admx importieren, meine waren seit mehreren Jahren nicht mehr aktuell :D

Danke für den Hinweis. Aber das ist wegkonfiguriert. face-wink
chgorges
chgorges Nov 11, 2022 at 11:16:37 (UTC)
Goto Top
Zitat von @erikro:
Danke für den Hinweis. Aber das ist wegkonfiguriert. face-wink

Wo? In deinen Screenshots jedenfalls nicht.
erikro
erikro Nov 11, 2022 at 11:51:48 (UTC)
Goto Top
Zitat von @chgorges:

Zitat von @erikro:
Danke für den Hinweis. Aber das ist wegkonfiguriert. face-wink

Wo? In deinen Screenshots jedenfalls nicht.

Doch. Da:
CH3COOH
CH3COOH Nov 11, 2022 updated at 12:15:54 (UTC)
Goto Top
Guten Tag,
du hast unter den Computer-Richtlinien die Option den Zugriff auf Windows Update Optionen zu entfernen (Zugriff auf alle Windows Update-Funktionen entfernen). Das haben wir so konfiguriert; setzt dann aber auch voraus das ihr das nicht als "Administratoren" im GUI installieren wollt.
Gruß
em-pie
em-pie Nov 11, 2022 at 16:55:01 (UTC)
Goto Top
Moin,

Mal ne blöde Frage und „etwas“ vorbei an deiner eigentliche Frage:
Welche Citrix Version nutzt ihr und nutzt ihr die GoldenImages?

Weshalb ich frage: unsere Citrixe (1912CU5) werden per GoldenImage bereitgestellt. Nen WSUS bekommen die nicht zu Gesicht bzw. Sind die in einer eigenen OU/ WSUS-Gruppe und bekommen nur die Defender-Definitions automatisch genehmigt.

Die Updates werden auf den GoldenImages installiert und später dann die produktiven Citrixe via „Maschinen aktualisieren“ aktualisiert.

Ansonsten würden die Updates - zumindest bei uns - tagtäglich neu installiert werden wollen…
erikro
erikro Nov 14, 2022 at 08:54:25 (UTC)
Goto Top
Moin,

Zitat von @CH3COOH:

Guten Tag,
du hast unter den Computer-Richtlinien die Option den Zugriff auf Windows Update Optionen zu entfernen (Zugriff auf alle Windows Update-Funktionen entfernen). Das haben wir so konfiguriert; setzt dann aber auch voraus das ihr das nicht als "Administratoren" im GUI installieren wollt.

Ja, das ist Sinn der Übung. Aber das funktioniert ja nicht (mehr) unter 2019. Admins kann man dann ja wieder rausfiltern. face-wink

Liebe Grüße

Erik