16
Wsus 2022 - Active Directory
Moin,
Ich habe hier einen Wsus 2022 im Einsatz. Entsprechende Computer OU's sind mit einer GPO versehen. Möchte aber mit dem Wsus aufhören. Habe neue OU erstellt, wo die WSUS GPO's nicht mehr enthalten sind. Problem ist aber aktuell, wenn der Client dem AD joined bekommt er sofort die WSUS Einstellungen (Regeinträge). Ich habe echt keine Ahnung woher er die bekommt. In der allgemeine "Computers" OU ist nur die "Default Domain Policy" enthalten und da ist nix mit Wsus eingestellt. Jemand eine Idee woher das noch kommen könnte? Bin ein bissel am verzweifeln...
Gruss
Peter
Ich habe hier einen Wsus 2022 im Einsatz. Entsprechende Computer OU's sind mit einer GPO versehen. Möchte aber mit dem Wsus aufhören. Habe neue OU erstellt, wo die WSUS GPO's nicht mehr enthalten sind. Problem ist aber aktuell, wenn der Client dem AD joined bekommt er sofort die WSUS Einstellungen (Regeinträge). Ich habe echt keine Ahnung woher er die bekommt. In der allgemeine "Computers" OU ist nur die "Default Domain Policy" enthalten und da ist nix mit Wsus eingestellt. Jemand eine Idee woher das noch kommen könnte? Bin ein bissel am verzweifeln...
Gruss
Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92200522437
Url: https://administrator.de/contentid/92200522437
Ausgedruckt am: 03.10.2024 um 13:10 Uhr
16 Kommentare
Neuester Kommentar
Hi,
das sagt Dir RSOP.
Einfach auf einem Member "rsop.msc" voll eleviert starten.
E.
das sagt Dir RSOP.
Einfach auf einem Member "rsop.msc" voll eleviert starten.
E.
Moin,
Vielen Dank für den Tipp. WMI Filter waren auf GPO's geschaltet, die garnicht OU's zugeordnet waren. Habe WMI auf "none" gesetzt, aber er holt sich weiterhin von dieser GPO die WSUS Einstellungen. Noch eine Idee?
Vielen Dank für den Tipp. WMI Filter waren auf GPO's geschaltet, die garnicht OU's zugeordnet waren. Habe WMI auf "none" gesetzt, aber er holt sich weiterhin von dieser GPO die WSUS Einstellungen. Noch eine Idee?
Moin,
also grundsätzlich gilt ja: wenn ein Client eine GPO angewandt hat und man die GPO löscht, inaktiviert, ... dann sind nicht automatisch die Einstellungen im Client gelöscht (es gibt wenige Ausnahmen). Das bedarf dann eine "Gegen-GPO".
Die GPO-Settings, die den WSUS hinterlegen, sind RegKeys: WSUS Einstellungen Registry
Lösche die und gut ist. Wenn die Keys wieder kommen, greift noch eine GPO/ Script, was auch immer
also grundsätzlich gilt ja: wenn ein Client eine GPO angewandt hat und man die GPO löscht, inaktiviert, ... dann sind nicht automatisch die Einstellungen im Client gelöscht (es gibt wenige Ausnahmen). Das bedarf dann eine "Gegen-GPO".
Die GPO-Settings, die den WSUS hinterlegen, sind RegKeys: WSUS Einstellungen Registry
Lösche die und gut ist. Wenn die Keys wieder kommen, greift noch eine GPO/ Script, was auch immer
offtopic
Siehe https://sdmsoftware.com/wp-content/uploads/2020/02/Understanding-Group-P ...
Und GPO-Tabelle https://www.microsoft.com/en-us/download/details.aspx?id=104594
->Tabelle öffnen, Registry-Pfade anordnen und dann mal zählen, wieviele GPOs NICHT in HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
abgelegt werden (denn nur jene GPOs sind tattooing) und deren Beschreibung mal ansehen.
also grundsätzlich gilt ja: wenn ein Client eine GPO angewandt hat und man die GPO löscht, inaktiviert, ... dann sind nicht automatisch die Einstellungen im Client gelöscht (es gibt wenige Ausnahmen).
Wann hört dieser Mythos eigentlich auf? Gegen-GPO... das ist in weniger als 1% der Fälle nötig. Es ist nur genau dann nötig, wenn die Registry tattoed wurde und das machen moderne GPO nie! Die ganz alten, die von allen Win11-GPos weniger als 1% ausmachen, aber für heutige Zwecke irrelevant sind (wer nutzt die?) die machen das.Siehe https://sdmsoftware.com/wp-content/uploads/2020/02/Understanding-Group-P ...
Und GPO-Tabelle https://www.microsoft.com/en-us/download/details.aspx?id=104594
->Tabelle öffnen, Registry-Pfade anordnen und dann mal zählen, wieviele GPOs NICHT in HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
abgelegt werden (denn nur jene GPOs sind tattooing) und deren Beschreibung mal ansehen.
Jup gemacht. Zum testen löschen ich immer die "secedit.sdb" Datei und mach dann einen neuen gupdate /force. Die ursprüngliche WMI GPO greift jetzt nicht mehr, aber nun eine andere WMI Wsus GPO. Habe überall die WMI's auf none gesetzt. Werde langsam hier bekloppt :D
Am Client holt er sich diese GPO, obwohl hier WMI Filter auf "None" (War vor ca. 2 Stunden noch gesetzt) gesetzt ist und diese GPO garnicht der OU zugeordnet ist, wo sich der Computer befindet. Habe diese GPO in der Regedit gelöscht. Nach Gpupdate holt er sich die GPO Einstellung wieder. Habe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy komplett gelöscht -> Reboot und es wieder alles da. Blicke hier einfach nicht durch was er macht und warum er sich diese komische Wsus GPO holt.
Blicke hier einfach nicht durch was er macht und warum er sich diese komische Wsus GPO holt.
Dann eine CMD mit Admin-Rechten starten und ein gpresult /R und mal alle angewandten Computerrichtlinien durchgehen.
lass mal den hier laufen:
net stop wuauserv
net stop bits
rd /s /q %windir%\SoftwareDistribution
net start wuauserv
net start bits
USOCLIENT.EXE RefreshSettings StartScan StartDownload StartInstall
wuauclt /reportnow
wuauclt.exe /resetauthorization /detectnow
Get-WindowsUpdateLog
net stop wuauserv
net stop bits
rd /s /q %windir%\SoftwareDistribution
net start wuauserv
net start bits
USOCLIENT.EXE RefreshSettings StartScan StartDownload StartInstall
wuauclt /reportnow
wuauclt.exe /resetauthorization /detectnow
Get-WindowsUpdateLog
Alles korrekt bis auf die "-WSUS" GPO, die ich oben schon erwähnte (Reg Bild).
Ich werde mal fix eine neuen Client installieren und schauen, ob die alten WMI Einstellungen immer noch irgendwie greifen, obwohl die auf "None" gesetzt sind.
Update:
Ein frisch aufgesetzter Client holt sich die gleichen Computer GPO's. Ich rall es nicht.
Ein frisch aufgesetzter Client holt sich die gleichen Computer GPO's. Ich rall es nicht.
Die WMI-Filter auf "kein" zu stellen, ist vollkommen Nonsens!
Entweder Du sorgst dafür, dass der WMI-Filter die betreffenden Computer nicht länger enthält.
Oder Du sorgst dafür, dass diese GPO nicht im GPO-Vererbungspfad verknüpft sind.
Oder Du verweigerst explizit die Anwendung dieser GPOs für die betreffenden Computer.
- Dieser Filter hatte doch einen Grund? Wenn in dieser GPO noch andere Richtlinien, außer denen für WSUS drin stehen, dann hat das auch darauf Auswirkungen.
- Den Filter auf "kein" stellen bewirkt, das die GPO erst recht angewendet wird! Das ist doch logisch!
Entweder Du sorgst dafür, dass der WMI-Filter die betreffenden Computer nicht länger enthält.
Oder Du sorgst dafür, dass diese GPO nicht im GPO-Vererbungspfad verknüpft sind.
Oder Du verweigerst explizit die Anwendung dieser GPOs für die betreffenden Computer.
WMI Filter war nur für div. WSUS GPO's eingestellt. Ohne WMI ist ja OK, denn dann soll er nur entsprechend der zugewiesenen OU anwenden, aber diese WSUS GPO wird automatisch zugewiesen, obwohl sie es nicht sollte und das ist mein Problem.
Update:
Hab es wohl gefunden. Es waren der ganzen Site "Wsus GPO's" zugeordnet...
Das ist dann wieder logisch.
Hab es wohl gefunden. Es waren der ganzen Site "Wsus GPO's" zugeordnet...
Das ist dann wieder logisch.
Du kannst per
ablesen, welche GPO einzelne Settings gesetzt hat. Damit hättest Du es in <1 Minute gefunden.
gpresult /h %temp%\Resultate.html & %temp%\Resultate.html Ohne WMI ist ja OK, denn dann soll er nur entsprechend der zugewiesenen OU anwenden,
Aber Dir ist klar, dass die WMI-Filter keine alternativen Filter sind, sondern zusätzliche, welche noch weiter einschränken? D.h. wenn man diese ersatzlos entfernt, dann wird der Anwendungsbereich einer GPO noch größer, statt kleiner, wie Du offenbar glaubst.
