bitschlepper
Goto Top

Wie Windows-Updates deaktivieren, die in der Domäne per Gruppenrichtline festgelegt wurden?

Guten Tag, ich verwende einen Windows-7-64-Bit Computer (Windows 7 Professional) in einer Domäne. Auf dem PC habe ich lokal Adminrechte.

Ich kann keine Einstellungen ändern, die Windows-Updates betreffen. Leider wurde der Zeitpunkt des Updates sehr ungünstig gewählt (mitten in der Arbeitszeit wenn viel los ist).

Ich würde gerne, wenn auch über Hintertüren, diese Einstellung umgehen und die Windows-Updates erst nach Feierabend installieren wollen. Wie kann ich hier vorgehen? Ich bin leider nicht der Systemadministrator, und kann und darf keine Gruppenrichtlinien ändern.

Danke im Voraus.

Content-Key: 282875

Url: https://administrator.de/contentid/282875

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: emeriks
emeriks 15.09.2015 aktualisiert um 09:20:17 Uhr
Goto Top
Hi,
Ich bin leider nicht der Systemadministrator
Nimms mir bitte nicht übel. Aber wenn dem so ist, dann hast Du da auch nichts rumzufummeln. Sprich doch mit den Admins. Die können per GPO auch Ausnahmen festlegen, welche nur für bestimmte Computer gelten. Vielleicht bist Du ja mit diesem Problem nicht alleine in der Firma/Organisation. Viele Stimmen weren eher gehört, als nur eine. face-wink

E.
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 um 09:50:48 Uhr
Goto Top
Eigentlich Schade. Bisherige Gespräche und Versuche haben leider nichts bewirkt. Deswegen meine Frage, wie man das umgehen kann.
Mitglied: 122990
Lösung 122990 15.09.2015 aktualisiert um 12:18:44 Uhr
Goto Top
Moin,
Deswegen meine Frage, wie man das umgehen kann.
damit wäre ich ganz vorsichtig, sowas spricht sich ganz schnell unter den Kollegen rum und dann bekommst du mit Sicherheit arge Probleme, wenn sich die Admins schon so stur stellen.

Machen lässt sich das über Registry-Änderungen und setzen von Rechten auf bestimmte Registry-Keys.

Aber mal ehrlich, wir sind hier in einem Admin-Forum ... Sollen wir unseren Kollegen die Arbeit noch schwieriger machen ?? Nö.. face-sad

Gruß grexit
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 um 10:06:30 Uhr
Goto Top
"Machen lässt sich das über Registry-Änderungen und setzen von Rechten auf bestimmte Registy-Keys."

Danke, das hilft mir ja schonmal weiter, und ich weiß, wo ich ansetzen muss. Gibt es irgendwo nähere Informationen, welche Keys das sind?
Mitglied: 122990
122990 15.09.2015 um 10:07:45 Uhr
Goto Top
Zitat von @Bitschlepper:
Danke, das hilft mir ja schonmal weiter, und ich weiß, wo ich ansetzen muss. Gibt es irgendwo nähere Informationen, welche Keys das sind?
Meinst du das verraten wir dir hier ? Damit würden wir unsere Kollegen nur verärgern, Admins halten zusammen !!
Mitglied: emeriks
Lösung emeriks 15.09.2015 aktualisiert um 12:18:35 Uhr
Goto Top
Leider wurde der Zeitpunkt des Updates sehr ungünstig gewählt (mitten in der Arbeitszeit wenn viel los ist).
Unabhängig von dem bereits Genannten:
Das hört sich in der Tat sehr ungünstig an. Mit einer sachlichen Begründung, bewusst bezogen auf dadurch gestörte, betriebliche Abläufe, sollte das hier doch Früchte tragen. Bei uns würde sowas im nächsten Team Meeting angesprochen. Der/Die Teamleiter/in eskaliert sowas, wenn er/sie der Meinung ist, dass dem tatsächlich so ist. Wenn dann "oben" dem entsprochen wird, dann muss die IT da auch was machen. Wenn dem nicht entsprochen wird, dann muss sich der/die Mitarbeiter/in sowieso an die Entscheidung "von oben" halten.
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 um 11:20:26 Uhr
Goto Top
"Meinst du das verraten wir dir hier ? Damit würden wir unsere Kollegen nur verärgern, Admins halten zusammen !!"

Da find ich schon was. Wenn auch nicht hier. Ich weiß ja jetzt, wo ich suchen muss.
Mitglied: Pjordorf
Pjordorf 15.09.2015 um 11:30:13 Uhr
Goto Top
Hallo,

Zitat von @Bitschlepper:
Da find ich schon was. Wenn auch nicht hier. Ich weiß ja jetzt, wo ich suchen muss.
Du zettelst einen krieg an den du nicht gewinnen kannst. Wenn deine Admins wissen was die tun, dann ziehst du kürzeren. Ob sich das lohnt? Sprich mit deinen Vorgesetzen das die IT dich durch deren Update Politik massiv in deine Arbeit hindern und dich somit am Arbeiten hindern bzw. ab halten. Drück das in Stunden und Minuten pro Woche / Tag aus. Wenn es allerdings ausdrücklicher Wunsch der GL ist, das ihr in diesen Zeiten Däumchen dreht, dann drehe halt Däumchen.

Gruß,
Peter
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 um 11:36:15 Uhr
Goto Top
Zitat von @Pjordorf:
Du zettelst einen krieg an den du nicht gewinnen kannst.

Wer soll das schon bemerken, wenn meine Updates nicht um 08:00 Uhr laufen? Somit hab ich meine Ruhe in dieser Zeit.
Mitglied: 122990
122990 15.09.2015 aktualisiert um 12:01:45 Uhr
Goto Top
Wer soll das schon bemerken, wenn meine Updates nicht um 08:00 Uhr laufen?
Wohl noch nie was von WSUS Logs gehört ?!

Wegen euch Seppels haben wir dann die Arbeit die Systeme wieder zu fixen.

Du gehörst echt mit CAT-9 ausgepeitscht und zwar ne ganze Woche lang ...

Aber bitte, ist ja nicht mein Job, ich würde aber vorher mal in den Arbeitsvertrag schauen ...
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 aktualisiert um 12:23:42 Uhr
Goto Top
Zitat von @122990:
Wegen euch Seppels haben wir dann die Arbeit die Systeme wieder zu fixen.

Gut so, sonst würde einem Admin ja auch vor Langeweile die Arbeit ausgehen, wenn es keinen DAU gäbe.
Was soll da außerdem gefixt werden bitte? Ich mache mein Update nicht um 08:00 Uhr, sondern lasse das nach Feierabend laufen.
Ich richte mir meinen Arbeits-PC so ein dass ich damit arbeiten kann, wenn das durch Gruppenrichtlinien verhindert wird, dann eben mit Registry-Hacks.
Mitglied: 122990
122990 15.09.2015 aktualisiert um 12:35:53 Uhr
Goto Top
Zitat von @Bitschlepper:
Gut so, sonst würde einem Admin ja auch vor Langeweile die Arbeit ausgehen, wenn es keinen DAU gäbe.
Nee, dann könnten wir uns mal mit den wirklich wichtigen Dingen auseinandersetzen die anstehen!
Was soll da außerdem gefixt werden bitte? Ich mache mein Update nicht um 08:00 Uhr, sondern lasse das nach Feierabend laufen.
Kein Admin aber hier groß die Keule schwingen, wenn du in der Registry mit den Rechten fuchtelst, kann das "Nebenwirkungen" haben die du als Enduser nicht ahnst.
Sind aber nicht nur diese Dinge die Ihr veranstaltet, aber wenn ein Netzwerk-Admin einem User lokale Admin rechte gibt ist selber schuld, das macht heute kein verantwortungsbewußter Admin mehr, welcher ein zuverlässiges und konsistentes Netzwerk bereitstellen will.
Ich richte mir meinen Arbeits-PC so ein dass ich damit arbeiten kann, wenn das durch Gruppenrichtlinien verhindert wird, dann eben mit Registry-Hacks.
Mach das mit deinem Privat-PC.
Dann bitte schließe die Frage. Diskutieren so wie es aussieht zwecklos.
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 aktualisiert um 12:39:48 Uhr
Goto Top
Zitat von @122990:
Dann bitte schließe die Frage. Diskutieren so wie es aussieht zwecklos.

Es geht mir nur darum herauszufinden, wie ich es mit Registry-Einstellungen oder sonstwie anstelle, die automatischen Updates auf einen anderen Zeitpunkt zu verlagern. Es geht hier nicht darum, Admin-Passwörter herauszufinden, dann würde ich die Aufregung durchaus verstehen.

Zitat von @122990:
Nee, dann könnten wir uns mal mit den wirklich wichtigen Dingen auseinandersetzen die anstehen!

Welche zum Beispiel? In Foren rumsurfen und dumme Userfragen beantworten? *grins*
Mitglied: pc-technik
pc-technik 15.09.2015 um 12:53:08 Uhr
Goto Top
Bedenke, dass es nicht DEIN PC ist, sonder Eigentum deines Arbeitgebers. Die Kosten für die Reparatur einer vermurksten Installation würde ich meine Angestellten zahlen lassen.
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 um 13:02:34 Uhr
Goto Top
Zitat von @pc-technik:

Bedenke, dass es nicht DEIN PC ist, sonder Eigentum deines Arbeitgebers. Die Kosten für die Reparatur einer vermurksten Installation würde ich meine Angestellten zahlen lassen.

Da muss aber erst mal nachgewiesen werden, dass ein Schaden durch ein zu spät installiertes Windows-Update eingetreten ist, und das ist wohl kaum möglich...
Mitglied: KowaKowalski
KowaKowalski 15.09.2015 um 13:19:31 Uhr
Goto Top
Zitat von @Bitschlepper:
Da muss aber erst mal nachgewiesen werden, dass ein Schaden durch ein zu spät installiertes Windows-Update eingetreten ist, und das ist wohl kaum möglich...



Falsch!

Wird Dein PC zu einem Sicherheitsproblem und wird im Anschluss festgestellt das Du, unberechtigterweise, die Registry bearbeitet hast (völlig unerheblich das dies auch der Auslöser war) bist Du am Axxxx.


mfg
kowa
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 um 13:33:56 Uhr
Goto Top
Immer wieder geil zu beobachten, wie in sämtlichen Foren das Thema vom eigentlichen Sinn wegdriftet...
Ich wollte nur wissen: Wie ändere ich bei meinem PC die Windows-Updates so, dass sie nicht mehr um 08:00 Uhr, sondern zu einem anderen Zeitpunkt stattfinden? Mehr will ich gar nicht wissen.
Mitglied: KowaKowalski
KowaKowalski 15.09.2015 aktualisiert um 13:45:04 Uhr
Goto Top
Jo, und hier wird Dir die, fachlich absolut korrekte, Information gegeben das Du dort als Benutzer eines Geschäfts-PC lediglich die Fachabteilung informieren kannst. (ohne Dich in irgendeiner Weise strafbar zu machen --> denn Ratschläge zu strafbaren Handlungen sind in diesem Forum verboten)

und mehr sollst Du (ohne entsprechende Ausbildung und vor allem entsprechende Berechtigungen) gar nicht Wissen


PS. Frag doch mal beim Schlüsseldienst wie Du Deine Wohnungstür, ohne deren Hilfe, selber aufbekommst!

Mit freundlichen Grüßen
kowa
Mitglied: Pjordorf
Lösung Pjordorf 15.09.2015 aktualisiert um 14:09:53 Uhr
Goto Top
Hallo,

Zitat von @Bitschlepper:
Ich wollte nur wissen: Wie ändere ich bei meinem PC die Windows-Updates so, dass sie nicht mehr um 08:00 Uhr, sondern zu einem anderen Zeitpunkt stattfinden?
Hättest du einfach mal gesucht. Selbst bei MS ist das kein Geheimnis. https://technet.microsoft.com/de-de/library/dd939844(v=ws.10).aspx

Mehr will ich gar nicht wissen.
PS. Deine Geschäftsleitung wird sich irgend etwas gedacht haben wenn die 08:00 gewählt haben. Oder auch nicht. Aber die haben die Entscheidungsgewalt....

Gruß,
Peter
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 um 13:47:54 Uhr
Goto Top
Das ändern des Update-Zeitpunkts von 08:00 Uhr auf eine andere Zeit ist also strafbar?
Das glaube ich nicht.
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 um 13:49:20 Uhr
Goto Top
Zitat von @Pjordorf:
Hättest du einfach mal gesucht. Selbst bei MS ist das kein Geheimnis. https://technet.microsoft.com/de-de/library/dd939844(v=ws.10).aspx

Perfekt, absolut perfekt, genau danach habe ich gesucht.
Vielen Dank.
Warum nicht gleich? *grins*
Damit ist das hier für mich erledigt.
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 um 13:51:43 Uhr
Goto Top
Zitat von @KowaKowalski:
PS. Frag doch mal beim Schlüsseldienst wie Du Deine Wohnungstür, ohne deren Hilfe, selber aufbekommst!

Ein sehr unpassender Vergleich! Da könnte ich den Admin genausogut fragen, ob er mir sein Passwort gibt.
Mitglied: emeriks
emeriks 15.09.2015 um 13:52:38 Uhr
Goto Top
Na ja, wenn das soooo einfach wäre. Aber probiers einfach aus. Viel Spaß! face-wink
Mitglied: Pjordorf
Pjordorf 15.09.2015 um 14:01:40 Uhr
Goto Top
Hallo,

Zitat von @Bitschlepper:
Perfekt, absolut perfekt, genau danach habe ich gesucht.
Und wo bleiben die Big Points und die grünen Häkchen?

Warum nicht gleich? *grins*
Damit du was lernst face-smile

Damit ist das hier für mich erledigt.
Ich denke eher dein Stress fängt jetzt erst an - sofern deine Admins wissen was die tun.... Und Kollege @emeriks Hintergedanken kann ich schon geschrieben stehen sehen auf deine nächsten Fragen face-smile

Gruß,
Peter
Mitglied: Bitschlepper
Bitschlepper 15.09.2015 um 14:30:03 Uhr
Goto Top
Das lasst mal alles meine Sorge sein, sonst hätte ich nicht gefragt wie das geht.
Mitglied: cptkrabbe
cptkrabbe 15.09.2015 um 15:35:55 Uhr
Goto Top
Der Sinn hinter "Update um 8:00" könnte natürlich auch sein, dass, wenn wirklich mal etwas beim Update schief geht (ist _durchaus_ schon geschehen), tatsächlich auch ein IT-Fachmann vor Ort ist. Oder es in die reguläre Arbeitszeit eurer ITler passt.
Mitglied: Poehli
Poehli 16.09.2015 um 12:24:48 Uhr
Goto Top
Ein weiterer Grund wäre, das damit sichergestellt ist das den Tag über mit einem geupdatetem, sicheren System gearbeitet wird, wohingegen eine vorsätzliche Verschiebung des Updatezeitpunktes auf den Feierabend dies torpediert.
Man könnte es als vorsätzliches Herbeiführen einer unsicheren Arbeitsumgebung sehen.
Des weiteren gibt es bei euch eventuell schriftliche IT Nutzerrichtlinien, in den womöglich sinngemäß steht " User dürfen administrative Konfigurationen nicht umgehen".
Es spielt keine Rolle was du kannst, und wie man es macht, und ob du lokaler Admin bist ( ARRRG ), und ob es dir möglich ist über Hintertüren, und ob es zu Problemen führt oder nicht. Der einzige Punkt ist simpel: Du darfst es nicht, und unsere Hinweise sind eigentlich nur in deinem Interesse, denn deine Anfrage reicht weit über den technischen Sachverhalt hinaus.

Summa summarum ist dies wieder mal ein schönes Beispiel warum User nicht mal LOKALE Adminrechte haben sollten.
Mitglied: Bitschlepper
Bitschlepper 16.09.2015 aktualisiert um 13:32:23 Uhr
Goto Top
Ich werde mich hier nicht mit Sinn oder Unsinn meiner Vorhaben beschäftigen. Ich habe gefragt wie es geht, habe das auch entsprechend geändert, und damit hat sich das erledigt. An Belehrungen oder sonstigen Hinweisen habe ich kein Interesse. Folgen die daraus entstehen sind alleine mein Problem. Das lasst mal meine Sorge sein. Ihr kennt weder mich, noch die Firma, noch die Admins.

Zitat von @Poehli:
Summa summarum ist dies wieder mal ein schönes Beispiel warum User nicht mal LOKALE Adminrechte haben sollten.

...was ja widerum durch Registry-Tricks oder sonstige "Hacks" umgangen werden kann ;)

Zitat von @Poehli:
Ein weiterer Grund wäre, das damit sichergestellt ist das den Tag über mit einem geupdatetem, sicheren System gearbeitet wird

Ich bezweifle sehr, dass eine Verschiebung um 8 Stunden einen großen Schaden anrichtet.
Mitglied: emeriks
emeriks 16.09.2015 um 13:57:03 Uhr
Goto Top
Summa summarum ist dies wieder mal ein schönes Beispiel warum User nicht mal LOKALE Adminrechte haben sollten.

...was ja widerum durch Registry-Tricks oder sonstige "Hacks" umgangen werden kann ;)
Ach ja?!
Mitglied: departure69
departure69 16.09.2015 aktualisiert um 14:07:15 Uhr
Goto Top
Hallo.

Ich denke, daß Du das auch mit dem Link von @Pjordorf nicht schaffen wirst. Nicht umsonst trägt der verlinkte Artikel die Überschrift "Configure Clients in a NON–Active Directory Environment" - ich gehe nach Deiner Beschreibung aber sehr wohl davon aus, daß Du Dich mit dem Rechner in einem AD befindest. Der Artikel beschreibt den Vorgang per Registry-Änderung für lokale GPOs - Domänen-GPOs haben, wenn ich mich nicht irre, aber Vorrang, wenn sie auf die entsprechenden Einstellungen treffen, die bereits lokal konfiguriert sind.

Davon abgesehen:

Ist der Rechner, an dem Du arbeitest, so schwachbrüstig (schwache CPU, lahme Platte), daß Dich das morgendliche WU sooo sehr stört? Das läuft doch im Hintergrund, und die einzige "Belästigung" ist doch nur die Meldung wenn's fertig ist und um Neustart bittet. Das sind 2 Mausklicks zum Verschieben des Zeitpunkts, und am Abend, wenn Du nach Hause gehst, wird der Rest der Update-Prozedur beim Herunterfahren erledigt. Ich sehe da kein Problem, meinen Leuten hier macht das nichts aus.


Viele Grüße

von

departure69
Mitglied: emeriks
emeriks 16.09.2015 um 14:16:34 Uhr
Goto Top
Domänen-GPOs haben, wenn ich mich nicht irre, aber Vorrang, wenn sie auf die entsprechenden Einstellungen treffen, die bereits lokal konfiguriert sind.
definitiv.
Mitglied: 122990
122990 16.09.2015 aktualisiert um 15:34:01 Uhr
Goto Top
Zitat von @emeriks:

Domänen-GPOs haben, wenn ich mich nicht irre, aber Vorrang, wenn sie auf die entsprechenden Einstellungen treffen, die bereits lokal konfiguriert sind.
definitiv.
Eben, deswegen sagte ich ja das man in der Registry zusätzlich die Berechtigungen auf den Schlüssel ändern muss face-wink

Dann löse ich das hier mal zum Teil auf...

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

Dort in ScheduledInstallTime die Installationszeit ändern 0-23(Dezimal) und dann die Vererbung der Berechtigungen auf den Key deaktivieren, und dann die ACLs so setzen das der Key nur noch von "Auth. Benutzern" und "SYSTEM" gelesen aber nicht mehr beschrieben werden kann.

Die letzte Kleinigkeit die nötig ist verrate ich nicht... die musst du selber herausfinden.
Mitglied: emeriks
emeriks 16.09.2015 aktualisiert um 15:18:52 Uhr
Goto Top
Jetzt kann der SYSTEM-Prozess welcher die GPOs auf die Maschine anwendet die Einstellung in diesem Key bei einem Neustart nicht mehr verändern, und es gilt dauerhaft die vom Benutzer gesetzte Zeit.
Aber nur bis zum nächsten Update der GPO oder bis zum nächsten erzwungenen Update über "gpupdate /force".

Das wäre ja sonst etwas zu einfach. face-wink
Mitglied: 122990
122990 16.09.2015 aktualisiert um 15:27:38 Uhr
Goto Top
Zitat von @emeriks:

Jetzt kann der SYSTEM-Prozess welcher die GPOs auf die Maschine anwendet die Einstellung in diesem Key bei einem Neustart nicht mehr verändern, und es gilt dauerhaft die vom Benutzer gesetzte Zeit.
Aber nur bis zum nächsten Update der GPO oder bis zum nächsten erzwungenen Update über "gpupdate /force".
Übersteht hier auch einen Neustart und auch ein "Forced Update" ...
Mitglied: emeriks
emeriks 16.09.2015 um 15:27:33 Uhr
Goto Top
Übersteht einen Neustart und ein Forced Update ...
Bei mir nicht. Getestet: Windows 7, 2008 R2
Mitglied: emeriks
emeriks 16.09.2015 um 15:29:07 Uhr
Goto Top
Übersteht einen Neustart
Was auch logisch ist: Ohne Aktualisierung der GPO werden die meisten GPO beim Neustart oder "einfachen" gpupdate nicht angewendet.
Mitglied: 122990
122990 16.09.2015 aktualisiert um 15:34:46 Uhr
Goto Top
Zitat von @emeriks:

Übersteht einen Neustart
Was auch logisch ist: Ohne Aktualisierung der GPO werden die meisten GPO beim Neustart oder "einfachen" gpupdate nicht angewendet.
Schon klar, habe ja auch ein gpudpate /force auf dem Client abgesetzt.

Aber die Kleinigkeit die man noch machen muss wie ich oben bereits schrieb verrate ich hier extra nicht...Das war ja nicht der komplette Weg zum Ziel, das muss der TO für sich herausfinden.
Mitglied: emeriks
emeriks 16.09.2015 um 15:39:25 Uhr
Goto Top
Schon klar, habe ja auch ein gpudpate /force auf dem Client abgesetzt.
Ich auch. Und dabei wird für Local System das Schreibrecht wieder eingetragen.

Überleg mal: Wenn das so einfach gehen würde, dann wären die ganzen Force-Mechanismen für die Katz. Wenn man per GPO z.B. falsche ACL in Registry oder NTFS setzt, sich dabei als Local System "ausperrt", dann muss man doch die Möglichkeit haben (und hat sie auch), diese genauso per GPO wieder zu korrigieren.
Mitglied: 122990
122990 16.09.2015 aktualisiert um 15:43:15 Uhr
Goto Top
Ich sag ja, den Trick der dafür noch nötig ist kann ich hier wegen den Forenrichtlinien und im Sinne unserer Admin-Kollegen nicht preisgeben.
Mitglied: Bitschlepper
Bitschlepper 18.09.2015 um 08:47:07 Uhr
Goto Top
Zitat von @122990:
Ich sag ja, den Trick der dafür noch nötig ist kann ich hier wegen den Forenrichtlinien und im Sinne unserer Admin-Kollegen nicht preisgeben.

Musst du auch nicht. Es ist Freitag, 08:46 Uhr, und ich habe herrliche Ruhe vor Windows-Updates ;)