servern00b
Goto Top

Windows TS Updates nur von Admin starten

Guten Abend,

ist es möglich via GPOs eine Richtlinie zu erstellen damit normale Benutzer keine Updates mehr starten können?
Sprich weder suchen noch ausführen.
Die Richtlinie Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Zugriff auf die Verwendung aller Windows Update-Features entfernen

betrifft leider auch die Administrator Konten.
Ein WSUS ist nicht verfügbar lediglich ein TS & ein DC.

VG

Content-ID: 4591498032

Url: https://administrator.de/forum/windows-ts-updates-nur-von-admin-starten-4591498032.html

Ausgedruckt am: 27.12.2024 um 03:12 Uhr

DerWoWusste
DerWoWusste 11.11.2022 aktualisiert um 19:57:25 Uhr
Goto Top
Mach's ganz simpel: verweise auf einen nicht existenten Wsus und verbiete dual scan. Der Admin macht das dann per Skript rückgängig, sucht, installiert und aktiviert danach diese beiden
Einstellungen wieder.
Servern00b
Servern00b 11.11.2022 um 20:34:43 Uhr
Goto Top
Zitat von @DerWoWusste:

Mach's ganz simpel: verweise auf einen nicht existenten Wsus und verbiete dual scan. Der Admin macht das dann per Skript rückgängig, sucht, installiert und aktiviert danach diese beiden
Einstellungen wieder.

Hmm ja aber dann kann ich ja auch gleich die Computer GPO drin lassen und sie einfach immer raus nehmen für Updates.
DerWoWusste
DerWoWusste 11.11.2022 aktualisiert um 20:39:13 Uhr
Goto Top
Ja, geht beides, nimm, was du einfacher skripten kannst.
140742
140742 12.11.2022 um 17:40:11 Uhr
Goto Top
Wieso packst Du die GPO nicht in eine passende OU oder steuerst das über die Deligierung der Richtlinie?
support-m
support-m 15.11.2022 aktualisiert um 17:00:33 Uhr
Goto Top
Hi,
ich nehme eine Userbasierte Gruppenrichtlinien mit allen gewünschten Einschränkungen, inklusive "Zugriff auf alle Windows Update-Funktionen entfernen" - Keine Benachrichtigungen anzeigen (Benutzerkonfiguration > Administrative Vorlagen > Windows Komponenten > Windows Update). Auf diese Richtline setze ich beim Übernehmen-Recht die Gruppe der Domänen-Admins explizit auf verbieten, damit diese Einschränkungen für Domänen-Admins (oder eine von dir spezifizierten Admin-Gruppe) nicht greift.
Habe aber ehrlich gesagt noch nicht wirklich getestet, ob die Funktion überhaupt noch greift ;D
Die Einstellungen stammen von einer Terminalserver-GPO, die wir immer wieder importieren und kundenspezifisch anpassen.

Alternativ setze den Windows Update-Dienst auf deaktiviert und beendet und starte ihn als Admin wieder, wenn die Updates anstehen.

MfG
ukulele-7
ukulele-7 08.12.2023 um 11:59:12 Uhr
Goto Top
Ich glaube, die Lösung von @support-m funktioniert nicht wie von ihm erwartet. Wenn doch wüsste ich das auch gerne.

Wegen des alten Threads habe ich einen neuen gestartet:
Terminal Server Windows Update durch Benutzer unterbinden