Wsus 2022 - Active Directory
Moin,
Ich habe hier einen Wsus 2022 im Einsatz. Entsprechende Computer OU's sind mit einer GPO versehen. Möchte aber mit dem Wsus aufhören. Habe neue OU erstellt, wo die WSUS GPO's nicht mehr enthalten sind. Problem ist aber aktuell, wenn der Client dem AD joined bekommt er sofort die WSUS Einstellungen (Regeinträge). Ich habe echt keine Ahnung woher er die bekommt. In der allgemeine "Computers" OU ist nur die "Default Domain Policy" enthalten und da ist nix mit Wsus eingestellt. Jemand eine Idee woher das noch kommen könnte? Bin ein bissel am verzweifeln...
Gruss
Peter
Ich habe hier einen Wsus 2022 im Einsatz. Entsprechende Computer OU's sind mit einer GPO versehen. Möchte aber mit dem Wsus aufhören. Habe neue OU erstellt, wo die WSUS GPO's nicht mehr enthalten sind. Problem ist aber aktuell, wenn der Client dem AD joined bekommt er sofort die WSUS Einstellungen (Regeinträge). Ich habe echt keine Ahnung woher er die bekommt. In der allgemeine "Computers" OU ist nur die "Default Domain Policy" enthalten und da ist nix mit Wsus eingestellt. Jemand eine Idee woher das noch kommen könnte? Bin ein bissel am verzweifeln...
Gruss
Peter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92200522437
Url: https://administrator.de/forum/wsus-2022-active-directory-92200522437.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
16 Kommentare
Neuester Kommentar
Moin,
also grundsätzlich gilt ja: wenn ein Client eine GPO angewandt hat und man die GPO löscht, inaktiviert, ... dann sind nicht automatisch die Einstellungen im Client gelöscht (es gibt wenige Ausnahmen). Das bedarf dann eine "Gegen-GPO".
Die GPO-Settings, die den WSUS hinterlegen, sind RegKeys: WSUS Einstellungen Registry
Lösche die und gut ist. Wenn die Keys wieder kommen, greift noch eine GPO/ Script, was auch immer
also grundsätzlich gilt ja: wenn ein Client eine GPO angewandt hat und man die GPO löscht, inaktiviert, ... dann sind nicht automatisch die Einstellungen im Client gelöscht (es gibt wenige Ausnahmen). Das bedarf dann eine "Gegen-GPO".
Die GPO-Settings, die den WSUS hinterlegen, sind RegKeys: WSUS Einstellungen Registry
Lösche die und gut ist. Wenn die Keys wieder kommen, greift noch eine GPO/ Script, was auch immer
offtopic
Siehe https://sdmsoftware.com/wp-content/uploads/2020/02/Understanding-Group-P ...
Und GPO-Tabelle https://www.microsoft.com/en-us/download/details.aspx?id=104594
->Tabelle öffnen, Registry-Pfade anordnen und dann mal zählen, wieviele GPOs NICHT in HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
abgelegt werden (denn nur jene GPOs sind tattooing) und deren Beschreibung mal ansehen.
also grundsätzlich gilt ja: wenn ein Client eine GPO angewandt hat und man die GPO löscht, inaktiviert, ... dann sind nicht automatisch die Einstellungen im Client gelöscht (es gibt wenige Ausnahmen).
Wann hört dieser Mythos eigentlich auf? Gegen-GPO... das ist in weniger als 1% der Fälle nötig. Es ist nur genau dann nötig, wenn die Registry tattoed wurde und das machen moderne GPO nie! Die ganz alten, die von allen Win11-GPos weniger als 1% ausmachen, aber für heutige Zwecke irrelevant sind (wer nutzt die?) die machen das.Siehe https://sdmsoftware.com/wp-content/uploads/2020/02/Understanding-Group-P ...
Und GPO-Tabelle https://www.microsoft.com/en-us/download/details.aspx?id=104594
->Tabelle öffnen, Registry-Pfade anordnen und dann mal zählen, wieviele GPOs NICHT in HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
abgelegt werden (denn nur jene GPOs sind tattooing) und deren Beschreibung mal ansehen.
Die WMI-Filter auf "kein" zu stellen, ist vollkommen Nonsens!
Entweder Du sorgst dafür, dass der WMI-Filter die betreffenden Computer nicht länger enthält.
Oder Du sorgst dafür, dass diese GPO nicht im GPO-Vererbungspfad verknüpft sind.
Oder Du verweigerst explizit die Anwendung dieser GPOs für die betreffenden Computer.
- Dieser Filter hatte doch einen Grund? Wenn in dieser GPO noch andere Richtlinien, außer denen für WSUS drin stehen, dann hat das auch darauf Auswirkungen.
- Den Filter auf "kein" stellen bewirkt, das die GPO erst recht angewendet wird! Das ist doch logisch!
Entweder Du sorgst dafür, dass der WMI-Filter die betreffenden Computer nicht länger enthält.
Oder Du sorgst dafür, dass diese GPO nicht im GPO-Vererbungspfad verknüpft sind.
Oder Du verweigerst explizit die Anwendung dieser GPOs für die betreffenden Computer.
Ohne WMI ist ja OK, denn dann soll er nur entsprechend der zugewiesenen OU anwenden,
Aber Dir ist klar, dass die WMI-Filter keine alternativen Filter sind, sondern zusätzliche, welche noch weiter einschränken? D.h. wenn man diese ersatzlos entfernt, dann wird der Anwendungsbereich einer GPO noch größer, statt kleiner, wie Du offenbar glaubst.