13
WSUS ändert Gruppenmitgliedschaft selbständig
Hallo
Habe einen SBS 2011, auf welchem die WSUS-Rolle installiert ist.
Dieser WSUS läuft nun schon seit fast 3 Jahren.
Damit ich künftig den Local-Update Publisher verwenden kann, möchte ich die Clients und Server neu gruppieren.
Zurzeit existieren im WUSU die Guppen
Servercomputer für Update Services und Clientcomputer für Udate Services.
Um die Verteilung von Updates übersichtlicher gestalten zu können, möchte ich separate Gruppen (zB für XP Clients, für Windows 7 32 Bit und für Windows 7 64 Bit)
Also habe ich im WSUS die Gruppen zB WinXP, Win7_32Bit, WIn7_64Bit erstellt, und die Clients den Gruppen zugewiesen.
Unter WSUS-->Optionen--> Computer ist "Update Services-Konsole verwenden" aktiviert, damit die Clients manuell zugewiesen werden können.
Soweit, so gut.
Nun werden aber die Clients zB nach einem Reboot wieder automatisch der Gruppe Clientcomputer zugewiesen, was ich verhindern möchte.
Ich finde keine Gruppenrichtlinie, in welcher die Clientsitige Zuordnung aktiviert ist.
Habe bereits den WSUS komplett deinstalliert, und wieder neu installiert. Zuerst war nur die Gruppe Nicht zugewiesene Computer da, nach ca 5 Minuten wurden ohne mein Zutun die Gruppen Servercomputer für Update Services und Clientcomputer für Udate Services erstellt.
Wie kann ich verhindern, dass die Clients wieder der alten Gruppe zugewiesen werden? Wo gibt es da noch eine Einstellung?
Gruss meierjo
Habe einen SBS 2011, auf welchem die WSUS-Rolle installiert ist.
Dieser WSUS läuft nun schon seit fast 3 Jahren.
Damit ich künftig den Local-Update Publisher verwenden kann, möchte ich die Clients und Server neu gruppieren.
Zurzeit existieren im WUSU die Guppen
Servercomputer für Update Services und Clientcomputer für Udate Services.
Um die Verteilung von Updates übersichtlicher gestalten zu können, möchte ich separate Gruppen (zB für XP Clients, für Windows 7 32 Bit und für Windows 7 64 Bit)
Also habe ich im WSUS die Gruppen zB WinXP, Win7_32Bit, WIn7_64Bit erstellt, und die Clients den Gruppen zugewiesen.
Unter WSUS-->Optionen--> Computer ist "Update Services-Konsole verwenden" aktiviert, damit die Clients manuell zugewiesen werden können.
Soweit, so gut.
Nun werden aber die Clients zB nach einem Reboot wieder automatisch der Gruppe Clientcomputer zugewiesen, was ich verhindern möchte.
Ich finde keine Gruppenrichtlinie, in welcher die Clientsitige Zuordnung aktiviert ist.
Habe bereits den WSUS komplett deinstalliert, und wieder neu installiert. Zuerst war nur die Gruppe Nicht zugewiesene Computer da, nach ca 5 Minuten wurden ohne mein Zutun die Gruppen Servercomputer für Update Services und Clientcomputer für Udate Services erstellt.
Wie kann ich verhindern, dass die Clients wieder der alten Gruppe zugewiesen werden? Wo gibt es da noch eine Einstellung?
Gruss meierjo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 213626
Url: https://administrator.de/contentid/213626
Ausgedruckt am: 04.12.2024 um 08:12 Uhr
13 Kommentare
Neuester Kommentar
Moin meierjo,
Ansonsten bleibt wie üblich noch die Ereignisanzeige auf dem WSUS-Server übrig. Steht dort etwas brauchbares drin?
Grüße,
Dani
ch finde keine Gruppenrichtlinie, in welcher die Clientsitige Zuordnung aktiviert ist.
Am Besten an einem Client, rsop.msc eingeben und im entsprechenden Tree nachschauen ob etwas konfiguriert ist. Der WSUS verschiebt nie etwas ohne Grund.Ansonsten bleibt wie üblich noch die Ereignisanzeige auf dem WSUS-Server übrig. Steht dort etwas brauchbares drin?
Grüße,
Dani
Hallo Dani
Danke für die prompte Antwort.
Habe das rsop.msc schon ausgeführt, und kann wirklich keinen entsprechenden Eintrag finden. Der Eintrag müsste ja unter:
Computerkonfiguration --> Administrative Vorlagen --> Windows-Komponenten--> Windows Update "Clientseitige Zuordnung aktivieren" sein, oder??
Oder gibt's da noch einen anderen Pfad, wo sowas eingestellt werden kann?
Gruss meierjo
Danke für die prompte Antwort.
Habe das rsop.msc schon ausgeführt, und kann wirklich keinen entsprechenden Eintrag finden. Der Eintrag müsste ja unter:
Computerkonfiguration --> Administrative Vorlagen --> Windows-Komponenten--> Windows Update "Clientseitige Zuordnung aktivieren" sein, oder??
Oder gibt's da noch einen anderen Pfad, wo sowas eingestellt werden kann?
Gruss meierjo
Ne, passt...
Ändert sich die WSUS-Id bei/nach einen Neustart des Clients?
Registrypfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
Name: PingID, AccountDomainSid, SusClientId, SusClientIDValidation
Grüße,
Dani
Ändert sich die WSUS-Id bei/nach einen Neustart des Clients?
Registrypfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
Name: PingID, AccountDomainSid, SusClientId, SusClientIDValidation
Grüße,
Dani
Hallo Dani
Habe den DomainController (Testumgebung) jetzt mal mehrere Mal neu gebootet. Zwischendurch gpupdate /force, und wieder neu gebootet.
Dann habe ich auch mal die Clientseitige Zuordnung aktiviert, und im WSUS --> Optionen --> Computer --> auf Gruppenrichtlinie / Registrierung ..... umgestellt, wieder gpupdate /force, wieder reboot.
Die SUSclientId und die SusClientIdValidation hat sich hier nie geändert, die restlichen Werte exisitieren bei mir nicht.
Gruss meierjo
Habe den DomainController (Testumgebung) jetzt mal mehrere Mal neu gebootet. Zwischendurch gpupdate /force, und wieder neu gebootet.
Dann habe ich auch mal die Clientseitige Zuordnung aktiviert, und im WSUS --> Optionen --> Computer --> auf Gruppenrichtlinie / Registrierung ..... umgestellt, wieder gpupdate /force, wieder reboot.
Die SUSclientId und die SusClientIdValidation hat sich hier nie geändert, die restlichen Werte exisitieren bei mir nicht.
Gruss meierjo
Hier findest du die Gruppenrichtlinien, die den WSUS des SBS 2011 betreffen - http://technet.microsoft.com/en-us/library/gg680316.aspx
LG Günther
LG Günther
Hallo Günther
Danke für den Link. Habe die Gruppenrichtlinien mit denjenigen auf unserem Server verglichen, kann keinen nennenswerten Unterschiede feststellen.
Laut der Ausgabe von rsop.msc werden ja die Grurilis auch richtig gezogen, das läuft richtig.
Ich möchte nur wissen, woher es kommt, dass die Clients immer wieder der Gruppe "Clientcomputer für Upate Services" zugeordnet werden, nachdem ich die Clients einer anderen Gruppe zugeschoben habe. Ich kann beim besten Willen keine Grurili sehen, wo das gesteuert wird.
Gruss meierjo
Danke für den Link. Habe die Gruppenrichtlinien mit denjenigen auf unserem Server verglichen, kann keinen nennenswerten Unterschiede feststellen.
Laut der Ausgabe von rsop.msc werden ja die Grurilis auch richtig gezogen, das läuft richtig.
Ich möchte nur wissen, woher es kommt, dass die Clients immer wieder der Gruppe "Clientcomputer für Upate Services" zugeordnet werden, nachdem ich die Clients einer anderen Gruppe zugeschoben habe. Ich kann beim besten Willen keine Grurili sehen, wo das gesteuert wird.
Gruss meierjo
Ich möchte nur wissen, woher es kommt, dass die Clients immer wieder der Gruppe "Clientcomputer für Upate Services" zugeordnet werden
Weil dies eben durch die Gruppenrichtlinien geschieht. Die GPOs sind am Anfang nicht einfach zu verstehen, man muss zuerst die Logik verstehen, die sich die MS Techniker ausgedacht haben.
LG Günther
Guten morgen, Günther
Habe jetzt noch Folgendes herausgefunden:
Wenn zB die Computergruppe Clientcomputer im WSUS gelöscht wird, wird sie nach 5 spätestens 5 Minuten neu erstellt.
Habe mal alle Gruppenrichtlinienobjekte dekativiert, aber die Gruppe wird trotzem neu erstellt.
Im Windows Systemprotokoll findet sich folgender Eintrag:
Protokollname: System
Quelle: Microsoft-Windows-GroupPolicy
Datum: 08.08.2013 08:50:02
Ereignis-ID: 1500
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:
Benutzer: SYSTEM
Computer: SERVER
Beschreibung:
Die Gruppenrichtlinieneinstellungen für den Computer wurden erfolgreich verarbeitet. Es wurden keine Änderungen seit der letzten erfolgreichen Gruppenrichtlinienverarbeitung erkannt.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
<EventID>1500</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>1</Opcode>
Wie kann ich herausfinden, woher dieser Eintrag kommt?
Gruss Meierjo
Habe jetzt noch Folgendes herausgefunden:
Wenn zB die Computergruppe Clientcomputer im WSUS gelöscht wird, wird sie nach 5 spätestens 5 Minuten neu erstellt.
Habe mal alle Gruppenrichtlinienobjekte dekativiert, aber die Gruppe wird trotzem neu erstellt.
Im Windows Systemprotokoll findet sich folgender Eintrag:
Protokollname: System
Quelle: Microsoft-Windows-GroupPolicy
Datum: 08.08.2013 08:50:02
Ereignis-ID: 1500
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:
Benutzer: SYSTEM
Computer: SERVER
Beschreibung:
Die Gruppenrichtlinieneinstellungen für den Computer wurden erfolgreich verarbeitet. Es wurden keine Änderungen seit der letzten erfolgreichen Gruppenrichtlinienverarbeitung erkannt.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
<EventID>1500</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>1</Opcode>
Wie kann ich herausfinden, woher dieser Eintrag kommt?
Gruss Meierjo
Moin,
an Hand der Guid findest du die verursachende GPO. Starte auf dem DC einfach die Powershell und gebe ein:
Grüße,
Dani
an Hand der Guid findest du die verursachende GPO. Starte auf dem DC einfach die Powershell und gebe ein:
Get-GPO AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9Grüße,
Dani
Hallo Dani
Ergebnis
Get-GPO AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
Get-GPO : Das Gruppenrichtlinienobjekt "AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9" wurde in der Domäne "XXXXXX.LOCCH" nicht
gefunden.
Parametername: gpoDisplayName
In Zeile:1 Zeichen:1
Get-GPO AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
CategoryInfo : ObjectNotFound: (Microsoft.GroupPolicy.GPDomain:GPDomain) [Get-GPO], ArgumentException
FullyQualifiedErrorId : GpoWithNameNotFound,Microsoft.GroupPolicy.Commands.GetGpoCommand
Im Verzeichnis Sysvol\Domain\Policies ist die ID auch nicht vorhanden.
Gruss meierjo
Ergebnis
Get-GPO AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
Get-GPO : Das Gruppenrichtlinienobjekt "AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9" wurde in der Domäne "XXXXXX.LOCCH" nicht
gefunden.
Parametername: gpoDisplayName
In Zeile:1 Zeichen:1
Get-GPO AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
CategoryInfo : ObjectNotFound: (Microsoft.GroupPolicy.GPDomain:GPDomain) [Get-GPO], ArgumentException
FullyQualifiedErrorId : GpoWithNameNotFound,Microsoft.GroupPolicy.Commands.GetGpoCommand
Im Verzeichnis Sysvol\Domain\Policies ist die ID auch nicht vorhanden.
Gruss meierjo
Hmm... seltsam. Führ auf einem Client manuell "gpupdate /force" aus und schaue in der Ereignisanzeige nach ob Fehler/Warnungen dabei auftreten.
Hast du in der Registry des Clients geschaut, welche Werte bei den WSUS Einstellungen hinterlegt sind?
Grüße,
Dani
Hast du in der Registry des Clients geschaut, welche Werte bei den WSUS Einstellungen hinterlegt sind?
Grüße,
Dani
Hallo
Nee, da sind keine Fehler in der Ereignisanzeige. Ich denke, die ID bezieht sich nicht auf eine bestimmte Richtlinie, sondern auf die GroupPolicy selbst.
Die Id ist nämlich in der Registry zu finden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}]
@="Microsoft-Windows-GroupPolicy"
Diese GUID ist übrigens bei jedem Eintrag betreffend der GroupPolicy.
Dieses Ereignis wird aus dem IIS --> Anwendungspools-->WSUSpool --> erweiterte Eigenschaften --> CPU Limi-Intervall
ausgelöst.
Kann den Intervall auch zb auf 15 Minuten stellen, dann erscheint die Meldung auch erst nach 15 Minuten.
Aber das ändert das Problem nicht.
Gruss meierjo
Nee, da sind keine Fehler in der Ereignisanzeige. Ich denke, die ID bezieht sich nicht auf eine bestimmte Richtlinie, sondern auf die GroupPolicy selbst.
Die Id ist nämlich in der Registry zu finden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}]
@="Microsoft-Windows-GroupPolicy"
Diese GUID ist übrigens bei jedem Eintrag betreffend der GroupPolicy.
Dieses Ereignis wird aus dem IIS --> Anwendungspools-->WSUSpool --> erweiterte Eigenschaften --> CPU Limi-Intervall
ausgelöst.
Kann den Intervall auch zb auf 15 Minuten stellen, dann erscheint die Meldung auch erst nach 15 Minuten.
Aber das ändert das Problem nicht.
Gruss meierjo
Hallo und guten morgen
Ist es wirklich so, dass ein SBS (2008) im WSUS nicht ohne diese Standart-Gruppen (Servercomputer für Update Services und Clientcomputer für Update Services) auskommt??
Wenn ja, wie unterscheidet / gruppiert ihr bei der Patch-Verteilung zwischen XP und Win7 Clients??
Gruss Meierjo
Ist es wirklich so, dass ein SBS (2008) im WSUS nicht ohne diese Standart-Gruppen (Servercomputer für Update Services und Clientcomputer für Update Services) auskommt??
Wenn ja, wie unterscheidet / gruppiert ihr bei der Patch-Verteilung zwischen XP und Win7 Clients??
Gruss Meierjo
