cordial
Goto Top

Wsus 2022 - Active Directory

Moin,

Ich habe hier einen Wsus 2022 im Einsatz. Entsprechende Computer OU's sind mit einer GPO versehen. Möchte aber mit dem Wsus aufhören. Habe neue OU erstellt, wo die WSUS GPO's nicht mehr enthalten sind. Problem ist aber aktuell, wenn der Client dem AD joined bekommt er sofort die WSUS Einstellungen (Regeinträge). Ich habe echt keine Ahnung woher er die bekommt. In der allgemeine "Computers" OU ist nur die "Default Domain Policy" enthalten und da ist nix mit Wsus eingestellt. Jemand eine Idee woher das noch kommen könnte? Bin ein bissel am verzweifeln...

Gruss
Peter

Content-ID: 92200522437

Url: https://administrator.de/forum/wsus-2022-active-directory-92200522437.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

emeriks
emeriks 13.08.2024 um 12:50:45 Uhr
Goto Top
Hi,
das sagt Dir RSOP.

Einfach auf einem Member "rsop.msc" voll eleviert starten.

E.
cordial
cordial 13.08.2024 um 14:17:36 Uhr
Goto Top
Moin,

Vielen Dank für den Tipp. WMI Filter waren auf GPO's geschaltet, die garnicht OU's zugeordnet waren. Habe WMI auf "none" gesetzt, aber er holt sich weiterhin von dieser GPO die WSUS Einstellungen. Noch eine Idee?
em-pie
em-pie 13.08.2024 aktualisiert um 14:36:04 Uhr
Goto Top
Moin,

also grundsätzlich gilt ja: wenn ein Client eine GPO angewandt hat und man die GPO löscht, inaktiviert, ... dann sind nicht automatisch die Einstellungen im Client gelöscht (es gibt wenige Ausnahmen). Das bedarf dann eine "Gegen-GPO".
Die GPO-Settings, die den WSUS hinterlegen, sind RegKeys: WSUS Einstellungen Registry
Lösche die und gut ist. Wenn die Keys wieder kommen, greift noch eine GPO/ Script, was auch immer
DerWoWusste
DerWoWusste 13.08.2024 aktualisiert um 15:25:07 Uhr
Goto Top
offtopic
also grundsätzlich gilt ja: wenn ein Client eine GPO angewandt hat und man die GPO löscht, inaktiviert, ... dann sind nicht automatisch die Einstellungen im Client gelöscht (es gibt wenige Ausnahmen).
Wann hört dieser Mythos eigentlich auf? Gegen-GPO... das ist in weniger als 1% der Fälle nötig. Es ist nur genau dann nötig, wenn die Registry tattoed wurde und das machen moderne GPO nie! Die ganz alten, die von allen Win11-GPos weniger als 1% ausmachen, aber für heutige Zwecke irrelevant sind (wer nutzt die?) die machen das.
Siehe https://sdmsoftware.com/wp-content/uploads/2020/02/Understanding-Group-P ...
Und GPO-Tabelle https://www.microsoft.com/en-us/download/details.aspx?id=104594
->Tabelle öffnen, Registry-Pfade anordnen und dann mal zählen, wieviele GPOs NICHT in HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
abgelegt werden (denn nur jene GPOs sind tattooing) und deren Beschreibung mal ansehen.
cordial
cordial 13.08.2024 um 14:51:44 Uhr
Goto Top
Jup gemacht. Zum testen löschen ich immer die "secedit.sdb" Datei und mach dann einen neuen gupdate /force. Die ursprüngliche WMI GPO greift jetzt nicht mehr, aber nun eine andere WMI Wsus GPO. Habe überall die WMI's auf none gesetzt. Werde langsam hier bekloppt :D
cordial
cordial 13.08.2024 um 15:39:11 Uhr
Goto Top
Am Client holt er sich diese GPO, obwohl hier WMI Filter auf "None" (War vor ca. 2 Stunden noch gesetzt) gesetzt ist und diese GPO garnicht der OU zugeordnet ist, wo sich der Computer befindet. Habe diese GPO in der Regedit gelöscht. Nach Gpupdate holt er sich die GPO Einstellung wieder. Habe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy komplett gelöscht -> Reboot und es wieder alles da. Blicke hier einfach nicht durch was er macht und warum er sich diese komische Wsus GPO holt.
gpo
em-pie
em-pie 13.08.2024 um 15:50:09 Uhr
Goto Top
Blicke hier einfach nicht durch was er macht und warum er sich diese komische Wsus GPO holt.
Dann eine CMD mit Admin-Rechten starten und ein gpresult /R und mal alle angewandten Computerrichtlinien durchgehen.
user217
user217 13.08.2024 um 15:52:24 Uhr
Goto Top
lass mal den hier laufen:

net stop wuauserv
net stop bits
rd /s /q %windir%\SoftwareDistribution
net start wuauserv
net start bits
USOCLIENT.EXE RefreshSettings StartScan StartDownload StartInstall
wuauclt /reportnow
wuauclt.exe /resetauthorization /detectnow
Get-WindowsUpdateLog
cordial
cordial 13.08.2024 um 15:57:26 Uhr
Goto Top
Alles korrekt bis auf die "-WSUS" GPO, die ich oben schon erwähnte (Reg Bild).
gpo2
cordial
cordial 13.08.2024 um 15:59:28 Uhr
Goto Top
Ich werde mal fix eine neuen Client installieren und schauen, ob die alten WMI Einstellungen immer noch irgendwie greifen, obwohl die auf "None" gesetzt sind.
cordial
cordial 13.08.2024 um 16:44:22 Uhr
Goto Top
Update:

Ein frisch aufgesetzter Client holt sich die gleichen Computer GPO's. Ich rall es nicht.
emeriks
emeriks 13.08.2024 aktualisiert um 17:11:45 Uhr
Goto Top
Die WMI-Filter auf "kein" zu stellen, ist vollkommen Nonsens!
  1. Dieser Filter hatte doch einen Grund? Wenn in dieser GPO noch andere Richtlinien, außer denen für WSUS drin stehen, dann hat das auch darauf Auswirkungen.
  2. Den Filter auf "kein" stellen bewirkt, das die GPO erst recht angewendet wird! Das ist doch logisch!

Entweder Du sorgst dafür, dass der WMI-Filter die betreffenden Computer nicht länger enthält.
Oder Du sorgst dafür, dass diese GPO nicht im GPO-Vererbungspfad verknüpft sind.
Oder Du verweigerst explizit die Anwendung dieser GPOs für die betreffenden Computer.
cordial
cordial 13.08.2024 um 17:26:17 Uhr
Goto Top
WMI Filter war nur für div. WSUS GPO's eingestellt. Ohne WMI ist ja OK, denn dann soll er nur entsprechend der zugewiesenen OU anwenden, aber diese WSUS GPO wird automatisch zugewiesen, obwohl sie es nicht sollte und das ist mein Problem.
cordial
Lösung cordial 13.08.2024 um 17:55:35 Uhr
Goto Top
Update:

Hab es wohl gefunden. Es waren der ganzen Site "Wsus GPO's" zugeordnet...

Das ist dann wieder logisch.
gpo3
DerWoWusste
DerWoWusste 13.08.2024 um 17:58:14 Uhr
Goto Top
Du kannst per
gpresult /h %temp%\Resultate.html & %temp%\Resultate.html
ablesen, welche GPO einzelne Settings gesetzt hat. Damit hättest Du es in <1 Minute gefunden.
emeriks
emeriks 14.08.2024 um 08:43:34 Uhr
Goto Top
Ohne WMI ist ja OK, denn dann soll er nur entsprechend der zugewiesenen OU anwenden,
Aber Dir ist klar, dass die WMI-Filter keine alternativen Filter sind, sondern zusätzliche, welche noch weiter einschränken? D.h. wenn man diese ersatzlos entfernt, dann wird der Anwendungsbereich einer GPO noch größer, statt kleiner, wie Du offenbar glaubst.