haggi83
Goto Top

WSUS GPO wird nur bei zugeordneten Computer gezogen - nicht über OU

Hallo,


es sind zwar schon vergleichbare Beiträge diesbezüglich geschrieben, ich habe aber mein Problem nicht gefunden....


Folgendes:


WSUS Richtlinien sind eingerichtet, Updates sind heruntergeladen, usw.. passt soweit alles.


Nun zu den Clients:


Ich habe OUs angelegt, in der die entsprechenden Computer geschoben wurden ( Also z.B. OU - Rechner in der die entsprechenden Computerkonten sind.) und die GPO mit dieser OU verknüpft.


Leider wird nach mehrmaligen gpudate /force usw. der/die Clients nicht gefunden bzw. sie ziehen sich nicht die Updates vom WSUS.

Wenn ich jedoch die Computerkonten direkt in die Sicherheitsfilterung der GPO verknüpfe, holen sich die Clients brav die Updates....


Hat jemand einen Tipp an was das liegen könnte??


Es würde zwar auch so gehen, wenn ich einfach die Computerkonten immer in der GPO hinzufüge, ich würde diese aber gerne in entsprechende OUs schieben...


Danke schonmal im Voraus

Content-ID: 101994

Url: https://administrator.de/forum/wsus-gpo-wird-nur-bei-zugeordneten-computer-gezogen-nicht-ueber-ou-101994.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

Logan000
Logan000 17.11.2008 um 13:42:20 Uhr
Goto Top
Moin Moin

WSUS 3.0?
Server2003/2008?
WindowsXP/Vista?

Ich habe OUs angelegt, in der die entsprechenden Computer geschoben wurden ( Also z.B. OU - Rechner in der die entsprechenden Computerkonten sind.) und die GPO mit dieser OU verknüpft.
Leider wird nach mehrmaligen gpudate /force usw. der/die Clients nicht gefunden bzw. sie ziehen sich nicht die Updates vom WSUS.
Wird denn die Richtlinie angewendet? Was gibt gpresult zu dieser richtlinie aus?

Gruß L.
datasearch
datasearch 17.11.2008 um 13:51:15 Uhr
Goto Top
Hallo Haimer,

vermutlich fehlen den Computerkonten die Berechtigungen zum übernehmen des GPO (ACE: Richtlinie übernehmen).

Zuerst schalte bitte die erweiterten Funktionen in der Konsole "Active Directory Benutzer und Computer ein. Anschließend wechselst du in den Container "System \ Policys". Dort rechtsklick auf die GUID der GPO die nicht übernommen wird, Eigenschaften. Nun auf den Reiter Sicherheit. Hier hast du die Berechtigung "Gruppenrichtlinie übernehmen". Prüfe bitte ob deine Computer effektiv dieses Recht besitzen. Also, klicke dazu auf den Reiter Erweitert, Effektive Berechtigungen, wähle dort das Computerkonto eines Computers in der WSUS-OU und schaue dir die Berechtigungen an. Er MUSS das recht Übernehmen haben. Sollte das nicht der Fall sein, gib der entsprechenden Gruppe zb. eine Gruppe mit allen Computerkonten die WSUS nutzen sollen ODER allen Computern ODER "Domänen-Computern" die Berechtigung das GPO zu übernehmen. Nun sollte es funktionieren.

Die Funktion "Sicherheitsfilterung" der GPMC macht aber eigentlich nichts anderes. Nur so weißt du, was da im Hintergrund passiert face-smile per Default sollten "Authentifizierte Benutzer" die Berechtigung zum übernehmen eines GPO haben.
haggi83
haggi83 17.11.2008 um 15:00:53 Uhr
Goto Top
Hallo,


hab jetzt alles soweit getestet.....


Leider nimmt er trotzdem nur die Richtlinie an, wenn der PC direkt in die Sicherheitsfilterung eingetragen wird.....


Hab auch eine Gruppe angelegt und die Computerkonten darin eingefügt - Berechtigung gesetzt usw. aber ohne Erfolg.


Wäre auch nicht weiter tragisch, aber ich kann in der Sicherheitsfilterung nur immer einen PC hinzufügen, nicht mehrere auf einmal - oder stelle ich mich nur so an.... face-smile

Gibts hier auch einen Trick?


Danke nochmal
Logan000
Logan000 17.11.2008 um 15:14:28 Uhr
Goto Top
Moin

Wäre auch nicht weiter tragisch, aber ich kann in der Sicherheitsfilterung nur immer einen PC hinzufügen, nicht mehrere auf einmal - oder stelle ich mich nur so an..

Du könntest eine Gruppe eintragen, deren Mitglieder PC sind.

Gruß L.
haggi83
haggi83 17.11.2008 um 15:23:55 Uhr
Goto Top
Das hab ich ja wie oben geschrieben gemacht, aber auch da wird die GPO nicht gezogen.... zum verzweifeln....
Logan000
Logan000 17.11.2008 um 16:07:48 Uhr
Goto Top
Moin

Das hab ich ja wie oben geschrieben gemacht, ...
Sorry, hab ich überlesen.

Hast Du schon mal gpresult am Client ausgeführt, bzw einen Richtlinienergebnis erstellt?

Gruß L.
haggi83
haggi83 17.11.2008 um 16:10:38 Uhr
Goto Top
Hi,


hab ich alles schon gemacht....


Wenn der Computer über Sicherheitsfilterung verknüpft wird, bekommt er sie sofort!


Wenn ich eine OU, oder Gruppe mit der WSUS-GPO verknüpfe - fehlanzeige....
datasearch
datasearch 17.11.2008 um 17:01:44 Uhr
Goto Top
Was sagen denn die Effektiven Berechtigungen wenn du die Gruppe "Authentifizierte Benutzer" hinzufügst und dieser die übernahme der Richtlinie erlaubst (falls noch nicht vorhnden)? Lass dich nicht zu sehr von der GPMC ablenken. Es kann auch sein, das durch eine Berechtigungsdelegation in einer übergeordneten OU irgendwo Berechtigungen verweigert werden. So etwas kannst du in der GMPC nicht sehen. Also, schaue im AD mit Benutzer und Computer unter dem Reiter Sicherheit->Erweitert der Policy und dann Effekt. Berechtigungen was der Computer dort überhaupt darf.

Die richtige GUID bekommst du problemlos über die gmpc heraus. Dort steht die Kennung und der richtige Name des GPO.
haggi83
haggi83 17.11.2008 um 17:16:26 Uhr
Goto Top
Ich schaue immer übers AD...

Es ist der Hammer...

Der Computer den ich in die OU verschoben habe hat die Berechtigung Gruppenrichtlinie übernehmen. Die richtige GUID hab ich.
Authentifizierte User haben das Recht Lesen und Gruppenrichtlinie übernehmen.

Die OU befindet sich direkt unter der Domain und hat keine übergeordnete OU.....
datasearch
datasearch 17.11.2008 um 22:26:24 Uhr
Goto Top
Seltsamerweise verstehe ich das diesmal nicht. Du bist dir absolut Sicher das du unter effektive Berechtigungen geschaut hast? Nicht das noch irgendwo verweigern-Berechtigungen (Filter) gesetzt wurden. Okey, dann der lange Weg. Starte mal bitte auf einem der betroffenen Clients die MMC, füge das SnapIn "Richtlinienergebnissatz" hinzu und prüfe ob das GPO überhaupt ausgewertet wird. Falls ja, prüfe wo hier der Fehler liegt. Du kannst auch einmal mit dem Computerkonto in der ACL den Vorgang wiederholen, und prüfen was hier anders läuft.

Was auch hilft, über die GPMC einen simulierten Ergebnissatz im Planungsmodus erstellen und mit den tatsächlichen Daten am Client gegenprüfen.
haggi83
haggi83 18.11.2008 um 11:49:17 Uhr
Goto Top
Hallo nochmal!


Es funktioniert! Denk ich face-smile


Ich hab jetzt nochmal eine neue Gruppe angelegt und die Berechtigung wie beschrieben gegeben.


Es scheint jetzt zu funktionieren, jedenfalls sind einige PCs im WSUS sichtbar die ich nicht über die Sicherheitsfilterung eingetragen habe.

Weiß der Geier warum es bei der vorigen Gruppe nicht funktioniert hat....


War wirklich kein Anwendungsfehler von mir - bin kein Noob face-smile


Vielen Dank nochmal an euch beide!!!
JonasQuinn
JonasQuinn 09.11.2011 um 11:26:35 Uhr
Goto Top
Hallo,

ich weiß diese Disskusion ist schon recht alt. Aber ich habe glaube genau das selbe Problem. Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS-Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS-Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?

herzlichen Dank für jede Hilfe.