WSUS GPO wird nur bei zugeordneten Computer gezogen - nicht über OU
Hallo,
es sind zwar schon vergleichbare Beiträge diesbezüglich geschrieben, ich habe aber mein Problem nicht gefunden....
Folgendes:
WSUS Richtlinien sind eingerichtet, Updates sind heruntergeladen, usw.. passt soweit alles.
Nun zu den Clients:
Ich habe OUs angelegt, in der die entsprechenden Computer geschoben wurden ( Also z.B. OU - Rechner in der die entsprechenden Computerkonten sind.) und die GPO mit dieser OU verknüpft.
Leider wird nach mehrmaligen gpudate /force usw. der/die Clients nicht gefunden bzw. sie ziehen sich nicht die Updates vom WSUS.
Wenn ich jedoch die Computerkonten direkt in die Sicherheitsfilterung der GPO verknüpfe, holen sich die Clients brav die Updates....
Hat jemand einen Tipp an was das liegen könnte??
Es würde zwar auch so gehen, wenn ich einfach die Computerkonten immer in der GPO hinzufüge, ich würde diese aber gerne in entsprechende OUs schieben...
Danke schonmal im Voraus
es sind zwar schon vergleichbare Beiträge diesbezüglich geschrieben, ich habe aber mein Problem nicht gefunden....
Folgendes:
WSUS Richtlinien sind eingerichtet, Updates sind heruntergeladen, usw.. passt soweit alles.
Nun zu den Clients:
Ich habe OUs angelegt, in der die entsprechenden Computer geschoben wurden ( Also z.B. OU - Rechner in der die entsprechenden Computerkonten sind.) und die GPO mit dieser OU verknüpft.
Leider wird nach mehrmaligen gpudate /force usw. der/die Clients nicht gefunden bzw. sie ziehen sich nicht die Updates vom WSUS.
Wenn ich jedoch die Computerkonten direkt in die Sicherheitsfilterung der GPO verknüpfe, holen sich die Clients brav die Updates....
Hat jemand einen Tipp an was das liegen könnte??
Es würde zwar auch so gehen, wenn ich einfach die Computerkonten immer in der GPO hinzufüge, ich würde diese aber gerne in entsprechende OUs schieben...
Danke schonmal im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 101994
Url: https://administrator.de/forum/wsus-gpo-wird-nur-bei-zugeordneten-computer-gezogen-nicht-ueber-ou-101994.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
12 Kommentare
Neuester Kommentar
Moin Moin
WSUS 3.0?
Server2003/2008?
WindowsXP/Vista?
Gruß L.
WSUS 3.0?
Server2003/2008?
WindowsXP/Vista?
Ich habe OUs angelegt, in der die entsprechenden Computer geschoben wurden ( Also z.B. OU - Rechner in der die entsprechenden Computerkonten sind.) und die GPO mit dieser OU verknüpft.
Leider wird nach mehrmaligen gpudate /force usw. der/die Clients nicht gefunden bzw. sie ziehen sich nicht die Updates vom WSUS.
Wird denn die Richtlinie angewendet? Was gibt gpresult zu dieser richtlinie aus?Leider wird nach mehrmaligen gpudate /force usw. der/die Clients nicht gefunden bzw. sie ziehen sich nicht die Updates vom WSUS.
Gruß L.
Hallo Haimer,
vermutlich fehlen den Computerkonten die Berechtigungen zum übernehmen des GPO (ACE: Richtlinie übernehmen).
Zuerst schalte bitte die erweiterten Funktionen in der Konsole "Active Directory Benutzer und Computer ein. Anschließend wechselst du in den Container "System \ Policys". Dort rechtsklick auf die GUID der GPO die nicht übernommen wird, Eigenschaften. Nun auf den Reiter Sicherheit. Hier hast du die Berechtigung "Gruppenrichtlinie übernehmen". Prüfe bitte ob deine Computer effektiv dieses Recht besitzen. Also, klicke dazu auf den Reiter Erweitert, Effektive Berechtigungen, wähle dort das Computerkonto eines Computers in der WSUS-OU und schaue dir die Berechtigungen an. Er MUSS das recht Übernehmen haben. Sollte das nicht der Fall sein, gib der entsprechenden Gruppe zb. eine Gruppe mit allen Computerkonten die WSUS nutzen sollen ODER allen Computern ODER "Domänen-Computern" die Berechtigung das GPO zu übernehmen. Nun sollte es funktionieren.
Die Funktion "Sicherheitsfilterung" der GPMC macht aber eigentlich nichts anderes. Nur so weißt du, was da im Hintergrund passiert per Default sollten "Authentifizierte Benutzer" die Berechtigung zum übernehmen eines GPO haben.
vermutlich fehlen den Computerkonten die Berechtigungen zum übernehmen des GPO (ACE: Richtlinie übernehmen).
Zuerst schalte bitte die erweiterten Funktionen in der Konsole "Active Directory Benutzer und Computer ein. Anschließend wechselst du in den Container "System \ Policys". Dort rechtsklick auf die GUID der GPO die nicht übernommen wird, Eigenschaften. Nun auf den Reiter Sicherheit. Hier hast du die Berechtigung "Gruppenrichtlinie übernehmen". Prüfe bitte ob deine Computer effektiv dieses Recht besitzen. Also, klicke dazu auf den Reiter Erweitert, Effektive Berechtigungen, wähle dort das Computerkonto eines Computers in der WSUS-OU und schaue dir die Berechtigungen an. Er MUSS das recht Übernehmen haben. Sollte das nicht der Fall sein, gib der entsprechenden Gruppe zb. eine Gruppe mit allen Computerkonten die WSUS nutzen sollen ODER allen Computern ODER "Domänen-Computern" die Berechtigung das GPO zu übernehmen. Nun sollte es funktionieren.
Die Funktion "Sicherheitsfilterung" der GPMC macht aber eigentlich nichts anderes. Nur so weißt du, was da im Hintergrund passiert per Default sollten "Authentifizierte Benutzer" die Berechtigung zum übernehmen eines GPO haben.
Was sagen denn die Effektiven Berechtigungen wenn du die Gruppe "Authentifizierte Benutzer" hinzufügst und dieser die übernahme der Richtlinie erlaubst (falls noch nicht vorhnden)? Lass dich nicht zu sehr von der GPMC ablenken. Es kann auch sein, das durch eine Berechtigungsdelegation in einer übergeordneten OU irgendwo Berechtigungen verweigert werden. So etwas kannst du in der GMPC nicht sehen. Also, schaue im AD mit Benutzer und Computer unter dem Reiter Sicherheit->Erweitert der Policy und dann Effekt. Berechtigungen was der Computer dort überhaupt darf.
Die richtige GUID bekommst du problemlos über die gmpc heraus. Dort steht die Kennung und der richtige Name des GPO.
Die richtige GUID bekommst du problemlos über die gmpc heraus. Dort steht die Kennung und der richtige Name des GPO.
Seltsamerweise verstehe ich das diesmal nicht. Du bist dir absolut Sicher das du unter effektive Berechtigungen geschaut hast? Nicht das noch irgendwo verweigern-Berechtigungen (Filter) gesetzt wurden. Okey, dann der lange Weg. Starte mal bitte auf einem der betroffenen Clients die MMC, füge das SnapIn "Richtlinienergebnissatz" hinzu und prüfe ob das GPO überhaupt ausgewertet wird. Falls ja, prüfe wo hier der Fehler liegt. Du kannst auch einmal mit dem Computerkonto in der ACL den Vorgang wiederholen, und prüfen was hier anders läuft.
Was auch hilft, über die GPMC einen simulierten Ergebnissatz im Planungsmodus erstellen und mit den tatsächlichen Daten am Client gegenprüfen.
Was auch hilft, über die GPMC einen simulierten Ergebnissatz im Planungsmodus erstellen und mit den tatsächlichen Daten am Client gegenprüfen.
Hallo,
ich weiß diese Disskusion ist schon recht alt. Aber ich habe glaube genau das selbe Problem. Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS-Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS-Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?
herzlichen Dank für jede Hilfe.
ich weiß diese Disskusion ist schon recht alt. Aber ich habe glaube genau das selbe Problem. Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS-Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS-Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?
herzlichen Dank für jede Hilfe.