77282
03.08.2018
2340
10
0
WSUS GPO Vererbung
Hallo zusammen,
mal eine Frage:
Ein Kunde hat in der Default Domain Policy den WSUS Teil folgender maßen konfiguriert: 4.- Autom. Herunterladen und laut Zeitplan installieren .
In einer unteren OU in dem alle Server Mitglied sind hat er eine weitere GPO konfiguriert in dem : "3. Autom. Herunterladen, aber vor Installieren benachrichtigen" konfiguriert wurde.
Wie war das den noch gleich? überstimmt die oberste GPO nicht die unteren? Sprich würde dann nicht doch die" 4.- Autom. Herunterladen und laut Zeitplan installieren" angewendet werden?
mal eine Frage:
Ein Kunde hat in der Default Domain Policy den WSUS Teil folgender maßen konfiguriert: 4.- Autom. Herunterladen und laut Zeitplan installieren .
In einer unteren OU in dem alle Server Mitglied sind hat er eine weitere GPO konfiguriert in dem : "3. Autom. Herunterladen, aber vor Installieren benachrichtigen" konfiguriert wurde.
Wie war das den noch gleich? überstimmt die oberste GPO nicht die unteren? Sprich würde dann nicht doch die" 4.- Autom. Herunterladen und laut Zeitplan installieren" angewendet werden?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 382225
Url: https://administrator.de/forum/wsus-gpo-vererbung-382225.html
Ausgedruckt am: 15.03.2025 um 08:03 Uhr
10 Kommentare
Neuester Kommentar
Hi,
wenn die Default Domain Policy nicht auf "erzwingen" ("force") steht, dann überschreibt die GPO an der untergeordneten OU diese Einstellung wieder. d.H. im konkreten Bsp. müsste für die Server in dieser OU gelten: "3. Autom. Herunterladen, ...."
E.
wenn die Default Domain Policy nicht auf "erzwingen" ("force") steht, dann überschreibt die GPO an der untergeordneten OU diese Einstellung wieder. d.H. im konkreten Bsp. müsste für die Server in dieser OU gelten: "3. Autom. Herunterladen, ...."
E.
Danke für die Info!
Wie ist das eigentlich wenn ein Teil einer Gpo in der default policy konfiguriert wurde. Z.b. suche alle 12 Stunden nach Updates. In der wsus gpo die nur der einen ou zugewiesen wurde würde dies nicht konfiguriert.
Wird in diesem Beispiel dieser eine Teil suche alle 12 stunden nach updates übernommen oder wird dies auch überschreiben?
Wird in diesem Beispiel dieser eine Teil suche alle 12 stunden nach updates übernommen oder wird dies auch überschreiben?
Hallo @77282
Wie ist das eigentlich wenn ein Teil einer Gpo in der default policy konfiguriert wurde. Z.b. suche alle 12 Stunden nach Updates. In der wsus gpo die nur der einen ou zugewiesen wurde würde dies nicht konfiguriert.
Wird in diesem Beispiel dieser eine Teil suche alle 12 stunden nach updates übernommen oder wird dies auch überschreiben?
Die Anwendungsreihenfolge von GPOs ist LSDOU
Also zuerst werden die Local-Policies angewandt, danach die vom Standort (Site) und dann die von den OUs.
Theoretisch kannst du dir die Verwerbung auch wie ein Wanderweg vorstellen. Dieser Weg beginnt oben im Domain-Root und endet unten am Objekt. Der Wanderer hat nur zwei Arme und kann nicht so viel tragen. Deshalb wirft er jedesmal Informationen Weg wenn er an einem Zwischenziel Einstellungen mit neuen Werten findet.
Wenn in der OU drinsteht Nutze datei BildOU als Hintergund, dann nutzt er das und vergisst die Einstellung von BildDomain.
Das gilt nur solange nichts enforced ist.
Es gilt also immer die Einstellung, die am nächsten am Objekt ist.
Wenn diese Einstellung nicht nochmal auftaucht, dann schleppt er diese natürlich mit.
Wenn du also im Domainroot einen WSUS spezifiziert hast und nicht irgendwo nochmal diese Richtlinie anpackst, wird sie WSUS-Richtlinie angewandt.
Grüße
@IT-Pro
Wie ist das eigentlich wenn ein Teil einer Gpo in der default policy konfiguriert wurde. Z.b. suche alle 12 Stunden nach Updates. In der wsus gpo die nur der einen ou zugewiesen wurde würde dies nicht konfiguriert.
Wird in diesem Beispiel dieser eine Teil suche alle 12 stunden nach updates übernommen oder wird dies auch überschreiben?
Die Anwendungsreihenfolge von GPOs ist LSDOU
Also zuerst werden die Local-Policies angewandt, danach die vom Standort (Site) und dann die von den OUs.
Theoretisch kannst du dir die Verwerbung auch wie ein Wanderweg vorstellen. Dieser Weg beginnt oben im Domain-Root und endet unten am Objekt. Der Wanderer hat nur zwei Arme und kann nicht so viel tragen. Deshalb wirft er jedesmal Informationen Weg wenn er an einem Zwischenziel Einstellungen mit neuen Werten findet.
Wenn in der OU drinsteht Nutze datei BildOU als Hintergund, dann nutzt er das und vergisst die Einstellung von BildDomain.
Das gilt nur solange nichts enforced ist.
Es gilt also immer die Einstellung, die am nächsten am Objekt ist.
Wenn diese Einstellung nicht nochmal auftaucht, dann schleppt er diese natürlich mit.
Wenn du also im Domainroot einen WSUS spezifiziert hast und nicht irgendwo nochmal diese Richtlinie anpackst, wird sie WSUS-Richtlinie angewandt.
Grüße
@IT-Pro
Zitat von @77282:
Wie ist das eigentlich wenn ein Teil einer Gpo in der default policy konfiguriert wurde. Z.b. suche alle 12 Stunden nach Updates. In der wsus gpo die nur der einen ou zugewiesen wurde würde dies nicht konfiguriert.
In diesem Bsp. werden die Einstellungen gemischt.Wie ist das eigentlich wenn ein Teil einer Gpo in der default policy konfiguriert wurde. Z.b. suche alle 12 Stunden nach Updates. In der wsus gpo die nur der einen ou zugewiesen wurde würde dies nicht konfiguriert.
Hinweis: Das ist nicht bei allen GPO so.
Was bei unseren Servern schon zwei mal vorgekommen ist, ist ein automatischer Neustart nach Installation der Updates.
Obwohl in der GPO steht "runterladen und installieren aber nicht automatisch neu starten".
Ist das bei euch auch schon mal vorgekommen?
Kann es vorkommen, dass eine GPO vielleicht nicht richtig angewendet wird und die Einstellungen einer höheren GPO für diesen Server verbleiben?
Installiert Ihr die Updates auf euren Servern automatisch oder ladet ihr sie runter und installiert diese später von Hand?
Obwohl in der GPO steht "runterladen und installieren aber nicht automatisch neu starten".
Ist das bei euch auch schon mal vorgekommen?
Kann es vorkommen, dass eine GPO vielleicht nicht richtig angewendet wird und die Einstellungen einer höheren GPO für diesen Server verbleiben?
Installiert Ihr die Updates auf euren Servern automatisch oder ladet ihr sie runter und installiert diese später von Hand?
Was bei unseren Servern schon zwei mal vorgekommen ist, ist ein automatischer Neustart nach Installation der Updates.
Obwohl in der GPO steht "runterladen und installieren aber nicht automatisch neu starten".
Dann werden sie wohl zu diesem Zeitpunkt nicht diese Einstellung ("aber nicht automatisch neu starten") gehabt haben. Warum auch immer. Nicht konfiguriert, GPO nicht angewendet, Admin-Fehler ....Obwohl in der GPO steht "runterladen und installieren aber nicht automatisch neu starten".
Ist das bei euch auch schon mal vorgekommen?
Vor gaaaanz vielen Jahren.Kann es vorkommen, dass eine GPO vielleicht nicht richtig angewendet wird und die Einstellungen einer höheren GPO für diesen Server verbleiben?
Ja natürlich kann sowas vorkommen. Das kannst Du mit- rsop.msc
- "gpresult /r"
- "gepresult /h %temp%\gpresult.html" und dann die HTML auswerten
Oder mit einem Richtlinienergebnissatz, welchen Du am Management Computer mittels der MMC "Gruppenrichtlinien" für den betroffenen Server erstellen lässt. Da kommt dann auch so eine HTML-Seite bei raus.
Installiert Ihr die Updates auf euren Servern automatisch oder ladet ihr sie runter und installiert diese später von Hand?
Nein. Auf Servern erfolgt bei uns keine automatische Installation. Nur herunterladen.
Welche Einstellungen in euren WSUS-GPOs habt ihr den vorgenommen?
Die Einstellung: "Keinen automatischen Neustart für die geplante Installation automatischer Updates durchführen, wenn Benutzer angemeldet Sind"
Klingt für mich so: Wenn kein User angemeldet ist kannst du ruhig neu starten. Ist das so? Was muss ich alles einstellen um einen automatischen Neustart unter allen umständen zu vermeiden?
Ich frage so doof, da es bei mir schon 2 mal vorkam, dass ein Server System einfach neu gestartet wurde. War sehr unangenehm.
Folgende GPO Einstellungen sind für meine Server eingestellt worden:
1. Automatische Updates konfigurieren = 3- Autom Herunterladen aber vor Installation benachrichtigen
2. Automatische Updates sofort installieren = Deaktiviert.
3. Die Standardoption"updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren " nicht anpassen. = Aktiviert
4. Empfohlene updates über automatische Updates installieren= Aktiviert
5. Erneut zu einem Neustert für Geplante Installationen auffordern= aktiviert
6. keinen automatischen Neustert für geplante Installationen automatischer Updates durchführen wenn Benutzer angemeldet ist = Aktiviert
7. Zeitplan für geplante Installationen neu erstellen = 30 min
Passt das eurer Meinung nach? Oder würdet ihr was anpassen
Die Einstellung: "Keinen automatischen Neustart für die geplante Installation automatischer Updates durchführen, wenn Benutzer angemeldet Sind"
Klingt für mich so: Wenn kein User angemeldet ist kannst du ruhig neu starten. Ist das so? Was muss ich alles einstellen um einen automatischen Neustart unter allen umständen zu vermeiden?
Ich frage so doof, da es bei mir schon 2 mal vorkam, dass ein Server System einfach neu gestartet wurde. War sehr unangenehm.
Folgende GPO Einstellungen sind für meine Server eingestellt worden:
1. Automatische Updates konfigurieren = 3- Autom Herunterladen aber vor Installation benachrichtigen
2. Automatische Updates sofort installieren = Deaktiviert.
3. Die Standardoption"updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren " nicht anpassen. = Aktiviert
4. Empfohlene updates über automatische Updates installieren= Aktiviert
5. Erneut zu einem Neustert für Geplante Installationen auffordern= aktiviert
6. keinen automatischen Neustert für geplante Installationen automatischer Updates durchführen wenn Benutzer angemeldet ist = Aktiviert
7. Zeitplan für geplante Installationen neu erstellen = 30 min
Passt das eurer Meinung nach? Oder würdet ihr was anpassen
Klingt für mich so: Wenn kein User angemeldet ist kannst du ruhig neu starten. Ist das so?
Bei Workstation Versionen ja. dafür gibt es ja dort u.a auch die "Nutzungszeit".Bei Servern nein. Diese booten nicht, wenn das nicht eingestellt ist.
1. Automatische Updates konfigurieren = 3- Autom Herunterladen aber vor Installation benachrichtigen
Und die Unterpunkte?Hast Du hier etwa "Während automatischer Wartung installieren" aktiviert?
Was habt Ihr hier eingestellt:
Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Wartungszeitplan
5. Erneut zu einem Neustert für Geplante Installationen auffordern= aktiviert
haben wir nicht
"1. Automatische Updates konfigurieren = 3- Autom Herunterladen aber vor Installation benachrichtigen
Und die Unterpunkte?"
Hier steht geplanter Installationstag = 0
Geplante Installationszeit = 3:00
Und die Unterpunkte?"
Hier steht geplanter Installationstag = 0
Geplante Installationszeit = 3:00
