Windows Client von WSUS lösen und "Windows Updates" wieder vom Client steuern
Hallo an alle,
ich bin über folgendes Problem in Zusammenhang mit WSUS gestoßen. Die Client Zuordnung zum WSUS läuft über eine GPO die folgende Einstellungen betrifft. Die GPO greift auf die Computerkonfiguration.
Es funktioniert auch alles soweit.
Ich wollte nun einen Client vom WSUS "lösen" um die Windows Updates wieder manuell am Client steuern zu können. Nehme ich den Client aus der Zuordnung der GPO heraus, wird in den "Windows Update" Einstellungen immer noch Angezeigt, dass "Einige Einstellungen werden vom Systemadministrator verwaltet." werden.
Ich habe auch heraus gefunden, dass folgender Registry Key dafür verantwortlich ist:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:
00000001 schaltet die Verwaltung der Windows Updates aus
00000000 schaltet die Verwaltung der Windows Updates ein
Da der Registry Key im "HKEY_CURRENT_USER" ist und ich nach meinem Kenntnisstand Veränderungen in diesem nur über GPO die auf "Benutzerkonfiguration" beruhen ändern kann, habe ich jetzt das Problem diese Funktion zu Ändern.
Zusammengefasst wird eine Einstellung, die auf die "Computerkonfiguration" und somit über eine Zuordnung des PCs erfolgt, gesetzt. Diese Einstellung ändert eine Konfiguration der Registry die man nur mit einer GPO die auf "Benutzerkonfiguration" greift deaktivieren kann. Das hätte zur Folge, dass ich Benutzer vom WSUS ausklammern müsste, dies soll aber über Computer gesteuert werden.
Ich hoffe ich konnte das Problem verständlich schildern und jemand hat einen Tipp für mich.
Danke
Michael-ITler
ich bin über folgendes Problem in Zusammenhang mit WSUS gestoßen. Die Client Zuordnung zum WSUS läuft über eine GPO die folgende Einstellungen betrifft. Die GPO greift auf die Computerkonfiguration.
Es funktioniert auch alles soweit.
Ich wollte nun einen Client vom WSUS "lösen" um die Windows Updates wieder manuell am Client steuern zu können. Nehme ich den Client aus der Zuordnung der GPO heraus, wird in den "Windows Update" Einstellungen immer noch Angezeigt, dass "Einige Einstellungen werden vom Systemadministrator verwaltet." werden.
Ich habe auch heraus gefunden, dass folgender Registry Key dafür verantwortlich ist:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:
00000001 schaltet die Verwaltung der Windows Updates aus
00000000 schaltet die Verwaltung der Windows Updates ein
Da der Registry Key im "HKEY_CURRENT_USER" ist und ich nach meinem Kenntnisstand Veränderungen in diesem nur über GPO die auf "Benutzerkonfiguration" beruhen ändern kann, habe ich jetzt das Problem diese Funktion zu Ändern.
Zusammengefasst wird eine Einstellung, die auf die "Computerkonfiguration" und somit über eine Zuordnung des PCs erfolgt, gesetzt. Diese Einstellung ändert eine Konfiguration der Registry die man nur mit einer GPO die auf "Benutzerkonfiguration" greift deaktivieren kann. Das hätte zur Folge, dass ich Benutzer vom WSUS ausklammern müsste, dies soll aber über Computer gesteuert werden.
Ich hoffe ich konnte das Problem verständlich schildern und jemand hat einen Tipp für mich.
Danke
Michael-ITler
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 321291
Url: https://administrator.de/forum/windows-client-von-wsus-loesen-und-windows-updates-wieder-vom-client-steuern-321291.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
eine angewendete GPO macht man am besten so rückgängig wie man sie erstellt hat, nur mit gegenteiligem Wert.
Erstelle also eine GPO, die als Letztes (oder nach der WSUS GPO falls diese trotzdem noch angewendet wird) auf den Client wirkt, mit der Einstellung, dass der Pfad zum WSUS deaktiviert ist (nicht "nicht konfiguriert" - ändert nichts).
Grüße Winary
eine angewendete GPO macht man am besten so rückgängig wie man sie erstellt hat, nur mit gegenteiligem Wert.
Erstelle also eine GPO, die als Letztes (oder nach der WSUS GPO falls diese trotzdem noch angewendet wird) auf den Client wirkt, mit der Einstellung, dass der Pfad zum WSUS deaktiviert ist (nicht "nicht konfiguriert" - ändert nichts).
Grüße Winary
Zitat von @Winary:
eine angewendete GPO macht man am besten so rückgängig wie man sie erstellt hat, nur mit gegenteiligem Wert.
eine angewendete GPO macht man am besten so rückgängig wie man sie erstellt hat, nur mit gegenteiligem Wert.
Moin,
das kenne ich so nicht generell . Es gibt unzählige GPOs die nach dem Entfernen des Users/Computers nicht mehr greifen.
Für diesen aktuellen Fall würde ich das aber so wie Du geschrieben hast auch machen.
Gruss
Zitat von @sabines:
das kenne ich so nicht generell . Es gibt unzählige GPOs die nach dem Entfernen des Users/Computers nicht mehr greifen.
das kenne ich so nicht generell . Es gibt unzählige GPOs die nach dem Entfernen des Users/Computers nicht mehr greifen.
Das will ich auf keinen Fall bestreiten, nur habe ich nie Lust das auszuprobieren, ob das Entfernen ausreicht oder nicht. Außerdem lassen sich geänderte GPOs besser ausfinden machen als jene, die auf Standard (nicht konfiguriert) stehen.
Nachdem der Client die deaktivierte GPO-Einstellung angewendet hat, kann man sie danach auch wieder auf nicht konfiguriert stellen, wenn auf den Client keine andere GPO wirkt, die die Einstellung wieder deaktiviert. So hat man es dann wieder auf Ursprungszustand und verheddert sich dann nicht in restriktiven Rechten.
Zitat von @Knorkator:
Bei uns funktioniert es, wenn ich dem Client den Zugriff auf die GPO verweigere!
Bei uns funktioniert es, wenn ich dem Client den Zugriff auf die GPO verweigere!
Das ist dasselbe wie die GPO für den Client zu entfernen. ;)
Bin mir nicht sicher, aber evtl. kann der Wsus Helper nützlich sein.
http://www.wsus.de/de/?section=downloads&category=8&id=5
http://www.wsus.de/de/?section=downloads&category=8&id=5
Dann mach mal eine Gruppenrichtlinienmodellierung in der Gruppenrichtlinenverwaltung. Irgendeine GPO mit der Einstellung wirkt noch auf den Client.
Die Reihenfolge der abzuarbeitenden GPO's beim starten des Clients ist wichtig. Wird eine Einstellung erst aktivert, dann deaktiviert und dann von einer anderen GPO wieder aktiviert, ist sie auch aktiviert. Die Reihenfolge kannst du in der Gruppenrichtlinenverwaltung (gpmc.msc) in der entsprechenden OU festlegen.
Die Reihenfolge der abzuarbeitenden GPO's beim starten des Clients ist wichtig. Wird eine Einstellung erst aktivert, dann deaktiviert und dann von einer anderen GPO wieder aktiviert, ist sie auch aktiviert. Die Reihenfolge kannst du in der Gruppenrichtlinenverwaltung (gpmc.msc) in der entsprechenden OU festlegen.
"Einige Einstellungen werden vom Systemadministrator verwaltet" bedeutet, dass mindestens eine GPO-Einstellung, die Windows Update betrifft auf dem Client angewendet wird, egal welche. Wenn du den Client nur Updates aus dem Internet bereitstellen willst musst du wie gesagt den internen Pfad zum WSUS entfernen.
"DisableWindowsUpdateAccess" schaltet den Zugang zu Windows Update ein und aus, so wie ich das herauslese.
Leg den Client im AD in eine untergeordnete OU, in der du in der Gruppenrichtlinienverwaltung die Vererbung deaktivierst und alle notwendigen Richtlinien dahin neu verknüpft, in der keine einzige Windows-Update-Einstellung ist.
Nebenbei hast du nicht erwähnt um welchen Client es sich handelt. Bei Windows 10 Home kann man den Windows Update Dienst nicht einfach beenden ohne dass er gleich wieder neu startet. Ich weiß nicht ob das bei Pro auch so ist.
GPOs ändern Registry-Keys, nichts anderes machen sie, zur Info.
Edit: Hast du mehrere Domänencontroller? Wenn ja, hast du einen gemeinsamen Speicher für deine GPOs? Wenn man keinen gemeinsamen Speicher hat kann es passieren, dass man auf dem einen DC eine Einstellung (alles unter Administrative Vorlagen) definiert und diese auf dem anderen DC nicht synchronisiert wird. Bedeutet du konfigurierst deine GPO auf DC1, aber dein Client zieht seine GP von DC2, in der das nicht konfiguriert wurde. Und Windows Update steht unter Administrative Vorlagen.
"DisableWindowsUpdateAccess" schaltet den Zugang zu Windows Update ein und aus, so wie ich das herauslese.
Leg den Client im AD in eine untergeordnete OU, in der du in der Gruppenrichtlinienverwaltung die Vererbung deaktivierst und alle notwendigen Richtlinien dahin neu verknüpft, in der keine einzige Windows-Update-Einstellung ist.
Nebenbei hast du nicht erwähnt um welchen Client es sich handelt. Bei Windows 10 Home kann man den Windows Update Dienst nicht einfach beenden ohne dass er gleich wieder neu startet. Ich weiß nicht ob das bei Pro auch so ist.
GPOs ändern Registry-Keys, nichts anderes machen sie, zur Info.
Edit: Hast du mehrere Domänencontroller? Wenn ja, hast du einen gemeinsamen Speicher für deine GPOs? Wenn man keinen gemeinsamen Speicher hat kann es passieren, dass man auf dem einen DC eine Einstellung (alles unter Administrative Vorlagen) definiert und diese auf dem anderen DC nicht synchronisiert wird. Bedeutet du konfigurierst deine GPO auf DC1, aber dein Client zieht seine GP von DC2, in der das nicht konfiguriert wurde. Und Windows Update steht unter Administrative Vorlagen.