milord
Goto Top

WSUS Automatische Genehmigung

Hallo zusammen, das Thema Wsus wurde ja schon oft besprochen, aber nun habe ich auch noch die ein oder andere Frage.

Ich mache es eben ganz kurz und zeig euch erstmal wie unsere Computergruppe aufgebaut ist.

Alle Computer
- Nicht zugewiesene Computer
- Keine Updates
- Notebooks
- PC Verwaltung
- PC Produktion
- Server 2008
- Server 2012

Ungefährt so sieht es aus. Jetzt wollte ich das Updates für Notebooks und PC automatisch genehmigt werden und für die Server wollte ich das manuell machen.

Heute morgen hatte ich unter "Alle Updates" ca. 150 Updates zum genehmigen (Office, Server, Win7, etc.) dann habe ich eine Automatische Genehmigungsregel erstellt und zwar das alle Updates für Notebooks und PC genehmigt werden sollen und diese Regel ausgeführt.

Problem ist nun, dass auch die Updates für die Server mitgeschliffen wurden. Jetzt sind die 150 Updates genehmigt, aber nicht für die Server und ich weiß jetzt nicht welche das alles waren.

Da ich das nicht Rückgängig machen kann, muss ich zukünftig das ganze anders lösen.
Also die Updates für Notebooks und PCs sollen automatisch genehmigt werden und für Server nicht, wie löse ich das denn am besten?

Die Updates sollten über das Wsus laufen, da wir hier nur eine 2Mbit Leitung haben und das ganze bei 100 PCs/Notebooks ein Problem wird, wenn alle Updates über die Leitung gezogen werden.

Content-ID: 278262

Url: https://administrator.de/contentid/278262

Ausgedruckt am: 12.11.2024 um 22:11 Uhr

Edelweis
Edelweis 24.07.2015 aktualisiert um 14:17:37 Uhr
Goto Top
Hallo,

Zitat von @Milord:
Jetzt wollte ich das Updates für Notebooks und PC automatisch genehmigt werden ...
Schlechte Idee. Genehmige nur Updates, die die Notebooks/ PCs auch wirklich anfordern.

Zitat von @Milord:
Heute morgen hatte ich unter "Alle Updates" ca. 150 Updates zum genehmigen (Office, Server, Win7, etc.) dann habe ich
eine Automatische Genehmigungsregel erstellt und zwar das alle Updates für Notebooks und PC genehmigt werden sollen und diese
Regel ausgeführt.
Warum prüfst du nicht, was deine Clients / Server wirklich anfordern? Nur das zur Installation freigeben.

Zitat von @Milord:
Problem ist nun, dass auch die Updates für die Server mitgeschliffen wurden. Jetzt sind die 150 Updates genehmigt, aber nicht
für die Server und ich weiß jetzt nicht welche das alles waren.
Lösch deine Genehmigungsregel wieder, setze alle! Updates auf nicht genehmigt und warte, was deine Klienten anfordern.

Zitat von @Milord:
Da ich das nicht Rückgängig machen kann, muss ich zukünftig das ganze anders lösen.
Also die Updates für Notebooks und PCs sollen automatisch genehmigt werden und für Server nicht, wie löse ich das
denn am besten?
Alle Updates auf "nicht genehmigt stellen".

Zitat von @Milord:
...da wir hier nur eine 2Mbit Leitung haben....
Schon deswegen solltest du wirklich nur genehmigen, was deine Server, PCs und Notebooks auch anfordern.

Gruß edelweis
fersl66
fersl66 24.07.2015 um 15:26:52 Uhr
Goto Top
Ich kann hier Edelweiss nur Recht geben.

Ich würde für jede Gruppe eine eigene Genehmigung anlegen, die das genehmigt, was die Geräte auch brauchen.
Etwas mehr Konfigurationsaufwand aber der rentiert sich alle Mal.
Milord
Milord 24.07.2015 aktualisiert um 16:40:28 Uhr
Goto Top
Dumme Frage, aber woher weiß ich, was die Clients anfordern bzw. wo sehe ich das? Ich muss zugeben, bei mir in der Firma hat sich noch nie einer mit Updates auseinandergesetzt und einfach alle ankommenden Updates genehmigt.

Momentan ist der WSUS auch so eingestellt, dass er nicht alle möglichen Klassifizierungen eingestellt hat, sondern nur die wir manuell eingestellt haben.
Edelweis
Edelweis 24.07.2015 um 17:17:35 Uhr
Goto Top
Zitat von @Milord:

Dumme Frage, aber woher weiß ich, was die Clients anfordern bzw. wo sehe ich das?
Im linken Bereich gibt es den Punkt "Computer" mit den entsprechenden Untergruppen. Öffne diese, dann kannst du im mittleren Bereich den entsprechenden Kandidaten auswählen, um unteren Fensterbereich wird dir angezeigt, wieviele Updates er benötigt. Wenn dui diesen "Link" anklickst, erscheint der entsprechende Bericht, wo jedes einzelne Update aufgelistet ist. Diese kann man via Rechtsklick dann auch zur Installation freigeben.

Gruß edelweis.
Milord
Milord 25.07.2015 um 00:31:24 Uhr
Goto Top
Okay, das wird nichts werden :D bei 200 Clients ist das ja eine Teilzeitstelle. Der alte Kollege hat das immer freitags gemacht, aber wie es aussieht nicht wirklich richtig.
Wie machen das denn Unternehmen mit 5000 Clients?
Edelweis
Edelweis 25.07.2015 um 09:38:16 Uhr
Goto Top
Zitat von @Milord:
Okay, das wird nichts werden :D bei 200 Clients ist das ja eine Teilzeitstelle.
Warum sollte das nichts werden? Wenn deine Clients das gleiche Betriebssystem haben, musst du meistens nur für 1 Client die Updates freigeben, für die anderen meist nur kontrollieren, ob diese noch andere Updates benötigen, die bei der "ersten" Freigabe nicht mit erfasst wurden. Zugegebenermaßen ist das beim ersten Mal ein etwas erhöhter Aufwand, aber danach sind die Freigaben meist in wenigen Minuten erledigt. Dabei ist die Anzahl der Clients eher Nebensache.
Zitat von @Milord:
Der alte Kollege hat das immer freitags gemacht, aber wie es aussieht nicht wirklich richtig.
Dann mach es jetzt richtig. face-wink
Milord
Milord 25.07.2015 um 11:42:47 Uhr
Goto Top
Zitat von @Edelweis:

> Zitat von @Milord:
> Okay, das wird nichts werden :D bei 200 Clients ist das ja eine Teilzeitstelle.
Warum sollte das nichts werden? Wenn deine Clients das gleiche Betriebssystem haben, musst du meistens nur für 1 Client die
Updates freigeben, für die anderen meist nur kontrollieren, ob diese noch andere Updates benötigen, die bei der
"ersten" Freigabe nicht mit erfasst wurden. Zugegebenermaßen ist das beim ersten Mal ein etwas erhöhter
Aufwand, aber danach sind die Freigaben meist in wenigen Minuten erledigt. Dabei ist die Anzahl der Clients eher Nebensache.
> Zitat von @Milord:
> Der alte Kollege hat das immer freitags gemacht, aber wie es aussieht nicht wirklich richtig.
Dann mach es jetzt richtig. face-wink

Dann kann ich ja auch in der Übersicht "Alle Updates" die Updates für Windows7 auswählen und diese für die richtigen Gruppen genehmigen.
Das wäre doch das gleiche oder nicht? Wie gesagt, das wsus ist ja schon eingeschränkt und schlägt nicht jeden Kram vor..
Wöchentlich kommen da so 10-20 Updates rein.
Edelweis
Edelweis 25.07.2015 um 11:54:26 Uhr
Goto Top
Zitat von @Milord:
Dann kann ich ja auch in der Übersicht "Alle Updates" die Updates für Windows7 auswählen und diese
für die richtigen Gruppen genehmigen.
Das wäre doch das gleiche oder nicht?
Nein, dass ist nicht das gleiche! Ich gebe nie Updates über die Update-Ansicht frei, sondern immer nur über die Computeransicht!

Zitat von @Milord:
Wie gesagt, das wsus ist ja schon eingeschränkt und schlägt nicht jeden Kram vor..
Du willst auch nicht jeden Kram in einer Produktionsumgebung haben. face-wink
Milord
Milord 25.07.2015 aktualisiert um 13:16:28 Uhr
Goto Top
Okay, mal gucken was mein Chef dazu sagt :D Kannst du mir den genauen Unterschied erklären, warum man das über die Computeransicht machen sollte?
Warum wird das hier aber anders beschrieben?
https://technet.microsoft.com/de-de/library/Dd939909%28v=WS.10%29.aspx

Ich gucke mir das Montag nochmal genau an und melde mich dann nochmal. Wenn jemand noch Tipps hat, immer her damit.
Edelweis
Edelweis 25.07.2015 um 16:05:09 Uhr
Goto Top
Zitat von @Milord:
Kannst du mir den genauen Unterschied erklären, warum man das über die
Computeransicht machen sollte?
Kann ich dir nur aus Erfahrung heraus empfehlen. Mit der eigentlichen Update-Ansicht arbeite ich nur, wenn ich abgelaufene oder ersetzte Updates ablehnen will. Ausserdem lehne ich in dieser Ansicht die Updates von Produkten ab, die bei mir nicht im Einsatz sind.
Zitat von @Milord:
Warum wird das hier aber anders beschrieben?
https://technet.microsoft.com/de-de/library/Dd939909%28v=WS.10%29.aspx
Kann ich dir nicht sagen, warum das dort so beschrieben wird. Abgesehen davon, dass ich diesen Artikel bisher nicht gelesen hatte, stammt mein gesamtes Wissen und die Erfahrungen aus der Praxis, die sich im Laufe der Jahre im Umgang mit dem WSUS und dessen Vorgänger SUS angesammelt hat. face-wink
Milord
Milord 25.07.2015 um 16:29:33 Uhr
Goto Top
Zitat von @Edelweis:

> Zitat von @Milord:
> Kannst du mir den genauen Unterschied erklären, warum man das über die
> Computeransicht machen sollte?
Kann ich dir nur aus Erfahrung heraus empfehlen. Mit der eigentlichen Update-Ansicht arbeite ich nur, wenn ich abgelaufene oder
ersetzte Updates ablehnen will. Ausserdem lehne ich in dieser Ansicht die Updates von Produkten ab, die bei mir nicht im Einsatz
sind.
Die werden bei mir ja gar nicht angezeigt, weil die ja vorher schon gefiltert wurden. Sowas stellt man doch unter klassifizierungen ein. Da ist nur das angehakt, was wir auch wirklich im Einsatz haben.
> Zitat von @Milord:
> Warum wird das hier aber anders beschrieben?
> https://technet.microsoft.com/de-de/library/Dd939909%28v=WS.10%29.aspx
Kann ich dir nicht sagen, warum das dort so beschrieben wird. Abgesehen davon, dass ich diesen Artikel bisher nicht gelesen hatte,
stammt mein gesamtes Wissen und die Erfahrungen aus der Praxis, die sich im Laufe der Jahre im Umgang mit dem WSUS und dessen
Vorgänger SUS angesammelt hat. face-wink

Okay, das glaube ich dir, in der Praxis ist es ja immer etwas anders..
Edelweis
Edelweis 25.07.2015 um 17:10:25 Uhr
Goto Top
Zitat von @Milord:
Die werden bei mir ja gar nicht angezeigt, weil die ja vorher schon gefiltert wurden. Sowas stellt man doch unter
klassifizierungen ein. Da ist nur das angehakt, was wir auch wirklich im Einsatz haben.
Jaein, du hast trotzdem noch einiges dabei, was darüber nicht gefiltert wird, z.B. bei Server-Versionen:
Wenn du Server 2008 im Einsatz hast, werden dir für 3 Versionen die Updates angeboten, für x86. für x64 und für Itanium. In meinem Umfeld findest du keinerlei Itanium-Versionen, diese lehne ich z. B. darüber dann komplett ab.
Milord
Milord 25.07.2015 um 17:40:50 Uhr
Goto Top
Ja, so machen wir das momentan auch..