
77282
03.08.2018
WSUS GPO Vererbung
Hallo zusammen,
mal eine Frage:
Ein Kunde hat in der Default Domain Policy den WSUS Teil folgender maßen konfiguriert: 4.- Autom. Herunterladen und laut Zeitplan installieren .
In einer unteren OU in dem alle Server Mitglied sind hat er eine weitere GPO konfiguriert in dem : "3. Autom. Herunterladen, aber vor Installieren benachrichtigen" konfiguriert wurde.
Wie war das den noch gleich? überstimmt die oberste GPO nicht die unteren? Sprich würde dann nicht doch die" 4.- Autom. Herunterladen und laut Zeitplan installieren" angewendet werden?
mal eine Frage:
Ein Kunde hat in der Default Domain Policy den WSUS Teil folgender maßen konfiguriert: 4.- Autom. Herunterladen und laut Zeitplan installieren .
In einer unteren OU in dem alle Server Mitglied sind hat er eine weitere GPO konfiguriert in dem : "3. Autom. Herunterladen, aber vor Installieren benachrichtigen" konfiguriert wurde.
Wie war das den noch gleich? überstimmt die oberste GPO nicht die unteren? Sprich würde dann nicht doch die" 4.- Autom. Herunterladen und laut Zeitplan installieren" angewendet werden?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 382225
Url: https://administrator.de/forum/wsus-gpo-vererbung-382225.html
Ausgedruckt am: 04.04.2025 um 17:04 Uhr
10 Kommentare
Neuester Kommentar
Hallo @77282
Wie ist das eigentlich wenn ein Teil einer Gpo in der default policy konfiguriert wurde. Z.b. suche alle 12 Stunden nach Updates. In der wsus gpo die nur der einen ou zugewiesen wurde würde dies nicht konfiguriert.
Wird in diesem Beispiel dieser eine Teil suche alle 12 stunden nach updates übernommen oder wird dies auch überschreiben?
Die Anwendungsreihenfolge von GPOs ist LSDOU
Also zuerst werden die Local-Policies angewandt, danach die vom Standort (Site) und dann die von den OUs.
Theoretisch kannst du dir die Verwerbung auch wie ein Wanderweg vorstellen. Dieser Weg beginnt oben im Domain-Root und endet unten am Objekt. Der Wanderer hat nur zwei Arme und kann nicht so viel tragen. Deshalb wirft er jedesmal Informationen Weg wenn er an einem Zwischenziel Einstellungen mit neuen Werten findet.
Wenn in der OU drinsteht Nutze datei BildOU als Hintergund, dann nutzt er das und vergisst die Einstellung von BildDomain.
Das gilt nur solange nichts enforced ist.
Es gilt also immer die Einstellung, die am nächsten am Objekt ist.
Wenn diese Einstellung nicht nochmal auftaucht, dann schleppt er diese natürlich mit.
Wenn du also im Domainroot einen WSUS spezifiziert hast und nicht irgendwo nochmal diese Richtlinie anpackst, wird sie WSUS-Richtlinie angewandt.
Grüße
@IT-Pro
Wie ist das eigentlich wenn ein Teil einer Gpo in der default policy konfiguriert wurde. Z.b. suche alle 12 Stunden nach Updates. In der wsus gpo die nur der einen ou zugewiesen wurde würde dies nicht konfiguriert.
Wird in diesem Beispiel dieser eine Teil suche alle 12 stunden nach updates übernommen oder wird dies auch überschreiben?
Die Anwendungsreihenfolge von GPOs ist LSDOU
Also zuerst werden die Local-Policies angewandt, danach die vom Standort (Site) und dann die von den OUs.
Theoretisch kannst du dir die Verwerbung auch wie ein Wanderweg vorstellen. Dieser Weg beginnt oben im Domain-Root und endet unten am Objekt. Der Wanderer hat nur zwei Arme und kann nicht so viel tragen. Deshalb wirft er jedesmal Informationen Weg wenn er an einem Zwischenziel Einstellungen mit neuen Werten findet.
Wenn in der OU drinsteht Nutze datei BildOU als Hintergund, dann nutzt er das und vergisst die Einstellung von BildDomain.
Das gilt nur solange nichts enforced ist.
Es gilt also immer die Einstellung, die am nächsten am Objekt ist.
Wenn diese Einstellung nicht nochmal auftaucht, dann schleppt er diese natürlich mit.
Wenn du also im Domainroot einen WSUS spezifiziert hast und nicht irgendwo nochmal diese Richtlinie anpackst, wird sie WSUS-Richtlinie angewandt.
Grüße
@IT-Pro
Zitat von @77282:
Wie ist das eigentlich wenn ein Teil einer Gpo in der default policy konfiguriert wurde. Z.b. suche alle 12 Stunden nach Updates. In der wsus gpo die nur der einen ou zugewiesen wurde würde dies nicht konfiguriert.
In diesem Bsp. werden die Einstellungen gemischt.Wie ist das eigentlich wenn ein Teil einer Gpo in der default policy konfiguriert wurde. Z.b. suche alle 12 Stunden nach Updates. In der wsus gpo die nur der einen ou zugewiesen wurde würde dies nicht konfiguriert.
Hinweis: Das ist nicht bei allen GPO so.
Was bei unseren Servern schon zwei mal vorgekommen ist, ist ein automatischer Neustart nach Installation der Updates.
Obwohl in der GPO steht "runterladen und installieren aber nicht automatisch neu starten".
Dann werden sie wohl zu diesem Zeitpunkt nicht diese Einstellung ("aber nicht automatisch neu starten") gehabt haben. Warum auch immer. Nicht konfiguriert, GPO nicht angewendet, Admin-Fehler ....Obwohl in der GPO steht "runterladen und installieren aber nicht automatisch neu starten".
Ist das bei euch auch schon mal vorgekommen?
Vor gaaaanz vielen Jahren.Kann es vorkommen, dass eine GPO vielleicht nicht richtig angewendet wird und die Einstellungen einer höheren GPO für diesen Server verbleiben?
Ja natürlich kann sowas vorkommen. Das kannst Du mit- rsop.msc
- "gpresult /r"
- "gepresult /h %temp%\gpresult.html" und dann die HTML auswerten
Oder mit einem Richtlinienergebnissatz, welchen Du am Management Computer mittels der MMC "Gruppenrichtlinien" für den betroffenen Server erstellen lässt. Da kommt dann auch so eine HTML-Seite bei raus.
Installiert Ihr die Updates auf euren Servern automatisch oder ladet ihr sie runter und installiert diese später von Hand?
Nein. Auf Servern erfolgt bei uns keine automatische Installation. Nur herunterladen.Klingt für mich so: Wenn kein User angemeldet ist kannst du ruhig neu starten. Ist das so?
Bei Workstation Versionen ja. dafür gibt es ja dort u.a auch die "Nutzungszeit".Bei Servern nein. Diese booten nicht, wenn das nicht eingestellt ist.
1. Automatische Updates konfigurieren = 3- Autom Herunterladen aber vor Installation benachrichtigen
Und die Unterpunkte?Hast Du hier etwa "Während automatischer Wartung installieren" aktiviert?
Was habt Ihr hier eingestellt:
Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Wartungszeitplan
5. Erneut zu einem Neustert für Geplante Installationen auffordern= aktiviert
haben wir nicht