11
Windows Updates zentral verwalten ohne WSUS Domäne
Liebe Community,
ich suche ein Tool mit dem ich die Windows IUpdates auf ca. 45 Rechner auf 20 Standorten zentral verwalten kann. Sprich ich sehe von den PCs den aktuellen Patchstand, kann die Patches zentral ausrollen und installieren lassen. Am liebsten wäre mir, dass ich Wellen definieren kann z.B. Rechner 1 & 2 auf Standort 1 am Tag X und dann jeweils immer mehr an den verschiedenen Standorten. Auch die Neustarts sollen über dieses Tool zentral angestoßen werden ohne jeweils mit der Fernwartung jeden einzelenen Pc auszurollen.
Gibt es da entsprechende Tools?
Herzlichen Dank!
LG - Nesta
ich suche ein Tool mit dem ich die Windows IUpdates auf ca. 45 Rechner auf 20 Standorten zentral verwalten kann. Sprich ich sehe von den PCs den aktuellen Patchstand, kann die Patches zentral ausrollen und installieren lassen. Am liebsten wäre mir, dass ich Wellen definieren kann z.B. Rechner 1 & 2 auf Standort 1 am Tag X und dann jeweils immer mehr an den verschiedenen Standorten. Auch die Neustarts sollen über dieses Tool zentral angestoßen werden ohne jeweils mit der Fernwartung jeden einzelenen Pc auszurollen.
Gibt es da entsprechende Tools?
Herzlichen Dank!
LG - Nesta
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6361009028
Url: https://administrator.de/contentid/6361009028
Printed on: April 28, 2024 at 12:04 o'clock
11 Comments
Latest comment
Moin,
du könntest das ganze über Intune verwalten.
Logischerweise kommen da auch Lizenzkosten auf dich zu.
WSUS nicht weil kein gemeinsames Netzwerk, oder was ist da der Hintergrund?
Gruß Nussi
du könntest das ganze über Intune verwalten.
Logischerweise kommen da auch Lizenzkosten auf dich zu.
WSUS nicht weil kein gemeinsames Netzwerk, oder was ist da der Hintergrund?
Gruß Nussi
Moin,
du kannst den WSUS auch ohne Domäne nutzen.
Die Rechner erhalten die Informationen im Regelfall per GPO, wie sie ihren WSUS-Server erreichen. Wenn du keine GPO hast, dann fällt diese Option weg. Allerdings lassen sich die Infos, die du per GPO an die Rechner verteilst auch per Hand in die Registry eintragen, oder halt per Skript. Sprich: Du kannst den WSUS installieren, musst aber die Infos, dass die Clients den WSUS nutzen sollen, händisch am Client eintragen. Beispiel:
Die Updatequelle legst du im Registry-Key: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate fest. Der Wert WUServer (Reg_SZ) muss den Serverpfad mit Port enthalten. TargetGroup (Reg_Sz) muss die WSUS-Gruppe enthalte. Also Welle 1, Welle 2, etc.
Details findest du hier:
https://gpsearch.azurewebsites.net/#2792
Gruß
Doskias
du kannst den WSUS auch ohne Domäne nutzen.
Die Rechner erhalten die Informationen im Regelfall per GPO, wie sie ihren WSUS-Server erreichen. Wenn du keine GPO hast, dann fällt diese Option weg. Allerdings lassen sich die Infos, die du per GPO an die Rechner verteilst auch per Hand in die Registry eintragen, oder halt per Skript. Sprich: Du kannst den WSUS installieren, musst aber die Infos, dass die Clients den WSUS nutzen sollen, händisch am Client eintragen. Beispiel:
Die Updatequelle legst du im Registry-Key: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate fest. Der Wert WUServer (Reg_SZ) muss den Serverpfad mit Port enthalten. TargetGroup (Reg_Sz) muss die WSUS-Gruppe enthalte. Also Welle 1, Welle 2, etc.
Details findest du hier:
https://gpsearch.azurewebsites.net/#2792
Gruß
Doskias
Hallo,
dazu gibt es auch ein kleines graphisches Tool von M$. Die Einstellung lassen sich speichern, ex- und importieren.
Jürgen
dazu gibt es auch ein kleines graphisches Tool von M$. Die Einstellung lassen sich speichern, ex- und importieren.
Jürgen
Zitat von @chiefteddy:
Hallo,
dazu gibt es auch ein kleines graphisches Tool von M$. Die Einstellung lassen sich speichern, ex- und importieren.
Jürgen
Hallo,
dazu gibt es auch ein kleines graphisches Tool von M$. Die Einstellung lassen sich speichern, ex- und importieren.
Jürgen
Weiß nicht, wieso ich da vorher nicht drauf gekommen bin. Du kannst natürlich auch einfach mit gpedit, die lokalen Einstellungen anpassen und dann den entsprechenden Registry-Key exportieren.
Gruß
Doskias
Hallo @Doskias,
das geht auch, meinte ich aber nicht.
Das Tool heißt "WSUS ClientManager for Workgroups"
https://github.com/blndev/wsusworkgroup/releases/tag/1.2
Jürgen
das geht auch, meinte ich aber nicht.
Das Tool heißt "WSUS ClientManager for Workgroups"
https://github.com/blndev/wsusworkgroup/releases/tag/1.2
Jürgen
1
cool den kannte ich auch noch nicht...
Hallo,
naja Registry Settings sind einfach. Ansonsten wenn man mehr dezentral machen möchte: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...
https://brookspeppin.com/2018/11/04/modify-local-gpo-examples/
Ist immer nur ein Ein-Zeiler. Plain-Text oder als POL. Damit bleiben auch für andere Settings kaum Wünsche offen.
WSUS ist schon Mittel der Wahl. Updates kann man auch mit Proxy cachen. Nur hat man keine Kontrolle. Gibt Anleitungen mit Squid Proxy Binary Files zu speichern. Der Vollständigkeit braucht der dann aber SSL Zertifikat. Im Unternehmen mit eigener Zertifizierungsstelle schnell ausgestellt.
Der Nachteil ist, dass man alles drum herum dann erzwingen muss. Absichtliche falsche Client Settings oder via Firewall blocken, damit die Updates nicht auf alle ausgerollt werden.
Hab es momentan auf Eis. War primär aber für Chocolatey Community gedacht. Wollte die mit Choco installieten Binär Pakete vorher cachen um Bandbreite zu sparen. Kam über IPcop von früher auf die Idee mit Squid.
Es gibt auch Anleitungen, wie man den Squid für MS Upates konfigurieren muss, damit er die vorhält.
Bandbreitenkontrolle/ -erpsarnis: JA
Update Kontrolle: NEIN - höchstens wenn man es erzwingt.
Immer wenn es um das Verwalten und eine gewissen Steuerung geht kommt man wohl kaum an WSUS oder Drittanbietern vorbei. Patch-Management bieten ja einige an. Der Proxy würde nur an einen Standort Sinn ergeben, und auch nur wenn man neben MS Updates auch andere cachen will um Bandbreite zu sparen.
naja Registry Settings sind einfach. Ansonsten wenn man mehr dezentral machen möchte: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...
https://brookspeppin.com/2018/11/04/modify-local-gpo-examples/
Ist immer nur ein Ein-Zeiler. Plain-Text oder als POL. Damit bleiben auch für andere Settings kaum Wünsche offen.
WSUS ist schon Mittel der Wahl. Updates kann man auch mit Proxy cachen. Nur hat man keine Kontrolle. Gibt Anleitungen mit Squid Proxy Binary Files zu speichern. Der Vollständigkeit braucht der dann aber SSL Zertifikat. Im Unternehmen mit eigener Zertifizierungsstelle schnell ausgestellt.
Der Nachteil ist, dass man alles drum herum dann erzwingen muss. Absichtliche falsche Client Settings oder via Firewall blocken, damit die Updates nicht auf alle ausgerollt werden.
Hab es momentan auf Eis. War primär aber für Chocolatey Community gedacht. Wollte die mit Choco installieten Binär Pakete vorher cachen um Bandbreite zu sparen. Kam über IPcop von früher auf die Idee mit Squid.
Es gibt auch Anleitungen, wie man den Squid für MS Upates konfigurieren muss, damit er die vorhält.
Bandbreitenkontrolle/ -erpsarnis: JA
Update Kontrolle: NEIN - höchstens wenn man es erzwingt.
Immer wenn es um das Verwalten und eine gewissen Steuerung geht kommt man wohl kaum an WSUS oder Drittanbietern vorbei. Patch-Management bieten ja einige an. Der Proxy würde nur an einen Standort Sinn ergeben, und auch nur wenn man neben MS Updates auch andere cachen will um Bandbreite zu sparen.
Zitat von @chiefteddy:
Hallo @Doskias,
das geht auch, meinte ich aber nicht.
Das Tool heißt "WSUS ClientManager for Workgroups"
https://github.com/blndev/wsusworkgroup/releases/tag/1.2
Jürgen
Hallo @Doskias,
das geht auch, meinte ich aber nicht.
Das Tool heißt "WSUS ClientManager for Workgroups"
https://github.com/blndev/wsusworkgroup/releases/tag/1.2
Jürgen
Kannte ich auch nicht. Schau ich mir aber für die 3 bis 4 Rechner, die ich außerhalb der Domäne habe aber auch nicht an
. Vielleicht aber, wenn es mal mehr werden.
Moin,
klingt für mich eher so, als bräuchtest du eine Patch Managment Software ala NinjaOne oder GFI LanGuard, wobei es sich da in erster Linie um "Remoteüberwachungstools" handelt - die eben auch ein entsprechendes Patchmanagement haben. Man muss aber natürlich um die potentiellen Gefahren solcher Cloud Management Tools wissen, vor ein paar Monaten wurde z.B. ein solcher Anbieter durch einen Lieferkettenangriff gehackt und damit alle Kundensysteme. Mir fällt leider gerade der Name nicht ein, ist aber auch nicht so wichtig, es geht darum, das grundsätzlich im Hinterkopf zu bahalten.
MfG
klingt für mich eher so, als bräuchtest du eine Patch Managment Software ala NinjaOne oder GFI LanGuard, wobei es sich da in erster Linie um "Remoteüberwachungstools" handelt - die eben auch ein entsprechendes Patchmanagement haben. Man muss aber natürlich um die potentiellen Gefahren solcher Cloud Management Tools wissen, vor ein paar Monaten wurde z.B. ein solcher Anbieter durch einen Lieferkettenangriff gehackt und damit alle Kundensysteme. Mir fällt leider gerade der Name nicht ein, ist aber auch nicht so wichtig, es geht darum, das grundsätzlich im Hinterkopf zu bahalten.
MfG
Hallo zusammen,
also ich bzw wir nutzen seit 20 Jahren dafür die Kaspersky Business Security advanced.
Das beinhaltet im KSC (Kaspersky Security Center) u.a. auch ein Systemsmanagement incl. Update- und Patchmanagement. Und zwar nicht nur für Microsoftprodukte sondern so gut wie für alle Drittanbieter (Adobe, Mozilla usw..)
Gleichzeitig kann man auch noch MDM mit abarbeiten..
Ja - ich höre gleich das Geschrei, von wegen die bösen Russen...
Da kann ich nur empfehlen, die Hintergründe zu verstehen und den geopolitischen Unfug nicht mitzuspielen.
Diese Software vereint Funktionen, die sonst nur von mehreren Anbietern eingekauft werden müsste, unter einer Oberfläche.
.. nur ne Empfehlung von mir
Grüße
Mike
also ich bzw wir nutzen seit 20 Jahren dafür die Kaspersky Business Security advanced.
Das beinhaltet im KSC (Kaspersky Security Center) u.a. auch ein Systemsmanagement incl. Update- und Patchmanagement. Und zwar nicht nur für Microsoftprodukte sondern so gut wie für alle Drittanbieter (Adobe, Mozilla usw..)
Gleichzeitig kann man auch noch MDM mit abarbeiten..
Ja - ich höre gleich das Geschrei, von wegen die bösen Russen...
Da kann ich nur empfehlen, die Hintergründe zu verstehen und den geopolitischen Unfug nicht mitzuspielen.
Diese Software vereint Funktionen, die sonst nur von mehreren Anbietern eingekauft werden müsste, unter einer Oberfläche.
.. nur ne Empfehlung von mir
Grüße
Mike
Hast du dir schon mal ACMP angeschaut ?
