12
WSUS GPO wird nur bei zugeordneten Computer gezogen - nicht über OU
Hallo,
es sind zwar schon vergleichbare Beiträge diesbezüglich geschrieben, ich habe aber mein Problem nicht gefunden....
Folgendes:
WSUS Richtlinien sind eingerichtet, Updates sind heruntergeladen, usw.. passt soweit alles.
Nun zu den Clients:
Ich habe OUs angelegt, in der die entsprechenden Computer geschoben wurden ( Also z.B. OU - Rechner in der die entsprechenden Computerkonten sind.) und die GPO mit dieser OU verknüpft.
Leider wird nach mehrmaligen gpudate /force usw. der/die Clients nicht gefunden bzw. sie ziehen sich nicht die Updates vom WSUS.
Wenn ich jedoch die Computerkonten direkt in die Sicherheitsfilterung der GPO verknüpfe, holen sich die Clients brav die Updates....
Hat jemand einen Tipp an was das liegen könnte??
Es würde zwar auch so gehen, wenn ich einfach die Computerkonten immer in der GPO hinzufüge, ich würde diese aber gerne in entsprechende OUs schieben...
Danke schonmal im Voraus
es sind zwar schon vergleichbare Beiträge diesbezüglich geschrieben, ich habe aber mein Problem nicht gefunden....
Folgendes:
WSUS Richtlinien sind eingerichtet, Updates sind heruntergeladen, usw.. passt soweit alles.
Nun zu den Clients:
Ich habe OUs angelegt, in der die entsprechenden Computer geschoben wurden ( Also z.B. OU - Rechner in der die entsprechenden Computerkonten sind.) und die GPO mit dieser OU verknüpft.
Leider wird nach mehrmaligen gpudate /force usw. der/die Clients nicht gefunden bzw. sie ziehen sich nicht die Updates vom WSUS.
Wenn ich jedoch die Computerkonten direkt in die Sicherheitsfilterung der GPO verknüpfe, holen sich die Clients brav die Updates....
Hat jemand einen Tipp an was das liegen könnte??
Es würde zwar auch so gehen, wenn ich einfach die Computerkonten immer in der GPO hinzufüge, ich würde diese aber gerne in entsprechende OUs schieben...
Danke schonmal im Voraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 101994
Url: https://administrator.de/contentid/101994
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
12 Kommentare
Neuester Kommentar
Moin Moin
WSUS 3.0?
Server2003/2008?
WindowsXP/Vista?
Gruß L.
WSUS 3.0?
Server2003/2008?
WindowsXP/Vista?
Ich habe OUs angelegt, in der die entsprechenden Computer geschoben wurden ( Also z.B. OU - Rechner in der die entsprechenden Computerkonten sind.) und die GPO mit dieser OU verknüpft.
Leider wird nach mehrmaligen gpudate /force usw. der/die Clients nicht gefunden bzw. sie ziehen sich nicht die Updates vom WSUS.
Wird denn die Richtlinie angewendet? Was gibt gpresult zu dieser richtlinie aus?Leider wird nach mehrmaligen gpudate /force usw. der/die Clients nicht gefunden bzw. sie ziehen sich nicht die Updates vom WSUS.
Gruß L.
Hallo Haimer,
vermutlich fehlen den Computerkonten die Berechtigungen zum übernehmen des GPO (ACE: Richtlinie übernehmen).
Zuerst schalte bitte die erweiterten Funktionen in der Konsole "Active Directory Benutzer und Computer ein. Anschließend wechselst du in den Container "System \ Policys". Dort rechtsklick auf die GUID der GPO die nicht übernommen wird, Eigenschaften. Nun auf den Reiter Sicherheit. Hier hast du die Berechtigung "Gruppenrichtlinie übernehmen". Prüfe bitte ob deine Computer effektiv dieses Recht besitzen. Also, klicke dazu auf den Reiter Erweitert, Effektive Berechtigungen, wähle dort das Computerkonto eines Computers in der WSUS-OU und schaue dir die Berechtigungen an. Er MUSS das recht Übernehmen haben. Sollte das nicht der Fall sein, gib der entsprechenden Gruppe zb. eine Gruppe mit allen Computerkonten die WSUS nutzen sollen ODER allen Computern ODER "Domänen-Computern" die Berechtigung das GPO zu übernehmen. Nun sollte es funktionieren.
Die Funktion "Sicherheitsfilterung" der GPMC macht aber eigentlich nichts anderes. Nur so weißt du, was da im Hintergrund passiert
per Default sollten "Authentifizierte Benutzer" die Berechtigung zum übernehmen eines GPO haben.
vermutlich fehlen den Computerkonten die Berechtigungen zum übernehmen des GPO (ACE: Richtlinie übernehmen).
Zuerst schalte bitte die erweiterten Funktionen in der Konsole "Active Directory Benutzer und Computer ein. Anschließend wechselst du in den Container "System \ Policys". Dort rechtsklick auf die GUID der GPO die nicht übernommen wird, Eigenschaften. Nun auf den Reiter Sicherheit. Hier hast du die Berechtigung "Gruppenrichtlinie übernehmen". Prüfe bitte ob deine Computer effektiv dieses Recht besitzen. Also, klicke dazu auf den Reiter Erweitert, Effektive Berechtigungen, wähle dort das Computerkonto eines Computers in der WSUS-OU und schaue dir die Berechtigungen an. Er MUSS das recht Übernehmen haben. Sollte das nicht der Fall sein, gib der entsprechenden Gruppe zb. eine Gruppe mit allen Computerkonten die WSUS nutzen sollen ODER allen Computern ODER "Domänen-Computern" die Berechtigung das GPO zu übernehmen. Nun sollte es funktionieren.
Die Funktion "Sicherheitsfilterung" der GPMC macht aber eigentlich nichts anderes. Nur so weißt du, was da im Hintergrund passiert
per Default sollten "Authentifizierte Benutzer" die Berechtigung zum übernehmen eines GPO haben.
Hallo,
hab jetzt alles soweit getestet.....
Leider nimmt er trotzdem nur die Richtlinie an, wenn der PC direkt in die Sicherheitsfilterung eingetragen wird.....
Hab auch eine Gruppe angelegt und die Computerkonten darin eingefügt - Berechtigung gesetzt usw. aber ohne Erfolg.
Wäre auch nicht weiter tragisch, aber ich kann in der Sicherheitsfilterung nur immer einen PC hinzufügen, nicht mehrere auf einmal - oder stelle ich mich nur so an....
Gibts hier auch einen Trick?
Danke nochmal
hab jetzt alles soweit getestet.....
Leider nimmt er trotzdem nur die Richtlinie an, wenn der PC direkt in die Sicherheitsfilterung eingetragen wird.....
Hab auch eine Gruppe angelegt und die Computerkonten darin eingefügt - Berechtigung gesetzt usw. aber ohne Erfolg.
Wäre auch nicht weiter tragisch, aber ich kann in der Sicherheitsfilterung nur immer einen PC hinzufügen, nicht mehrere auf einmal - oder stelle ich mich nur so an....
Gibts hier auch einen Trick?
Danke nochmal
Moin
Du könntest eine Gruppe eintragen, deren Mitglieder PC sind.
Gruß L.
Wäre auch nicht weiter tragisch, aber ich kann in der Sicherheitsfilterung nur immer einen PC hinzufügen, nicht mehrere auf einmal - oder stelle ich mich nur so an..
Du könntest eine Gruppe eintragen, deren Mitglieder PC sind.
Gruß L.
Das hab ich ja wie oben geschrieben gemacht, aber auch da wird die GPO nicht gezogen.... zum verzweifeln....
Moin
Hast Du schon mal gpresult am Client ausgeführt, bzw einen Richtlinienergebnis erstellt?
Gruß L.
Das hab ich ja wie oben geschrieben gemacht, ...
Sorry, hab ich überlesen.Hast Du schon mal gpresult am Client ausgeführt, bzw einen Richtlinienergebnis erstellt?
Gruß L.
Hi,
hab ich alles schon gemacht....
Wenn der Computer über Sicherheitsfilterung verknüpft wird, bekommt er sie sofort!
Wenn ich eine OU, oder Gruppe mit der WSUS-GPO verknüpfe - fehlanzeige....
hab ich alles schon gemacht....
Wenn der Computer über Sicherheitsfilterung verknüpft wird, bekommt er sie sofort!
Wenn ich eine OU, oder Gruppe mit der WSUS-GPO verknüpfe - fehlanzeige....
Was sagen denn die Effektiven Berechtigungen wenn du die Gruppe "Authentifizierte Benutzer" hinzufügst und dieser die übernahme der Richtlinie erlaubst (falls noch nicht vorhnden)? Lass dich nicht zu sehr von der GPMC ablenken. Es kann auch sein, das durch eine Berechtigungsdelegation in einer übergeordneten OU irgendwo Berechtigungen verweigert werden. So etwas kannst du in der GMPC nicht sehen. Also, schaue im AD mit Benutzer und Computer unter dem Reiter Sicherheit->Erweitert der Policy und dann Effekt. Berechtigungen was der Computer dort überhaupt darf.
Die richtige GUID bekommst du problemlos über die gmpc heraus. Dort steht die Kennung und der richtige Name des GPO.
Die richtige GUID bekommst du problemlos über die gmpc heraus. Dort steht die Kennung und der richtige Name des GPO.
Ich schaue immer übers AD...
Es ist der Hammer...
Der Computer den ich in die OU verschoben habe hat die Berechtigung Gruppenrichtlinie übernehmen. Die richtige GUID hab ich.
Authentifizierte User haben das Recht Lesen und Gruppenrichtlinie übernehmen.
Die OU befindet sich direkt unter der Domain und hat keine übergeordnete OU.....
Es ist der Hammer...
Der Computer den ich in die OU verschoben habe hat die Berechtigung Gruppenrichtlinie übernehmen. Die richtige GUID hab ich.
Authentifizierte User haben das Recht Lesen und Gruppenrichtlinie übernehmen.
Die OU befindet sich direkt unter der Domain und hat keine übergeordnete OU.....
Seltsamerweise verstehe ich das diesmal nicht. Du bist dir absolut Sicher das du unter effektive Berechtigungen geschaut hast? Nicht das noch irgendwo verweigern-Berechtigungen (Filter) gesetzt wurden. Okey, dann der lange Weg. Starte mal bitte auf einem der betroffenen Clients die MMC, füge das SnapIn "Richtlinienergebnissatz" hinzu und prüfe ob das GPO überhaupt ausgewertet wird. Falls ja, prüfe wo hier der Fehler liegt. Du kannst auch einmal mit dem Computerkonto in der ACL den Vorgang wiederholen, und prüfen was hier anders läuft.
Was auch hilft, über die GPMC einen simulierten Ergebnissatz im Planungsmodus erstellen und mit den tatsächlichen Daten am Client gegenprüfen.
Was auch hilft, über die GPMC einen simulierten Ergebnissatz im Planungsmodus erstellen und mit den tatsächlichen Daten am Client gegenprüfen.
Hallo nochmal!
Es funktioniert! Denk ich
Ich hab jetzt nochmal eine neue Gruppe angelegt und die Berechtigung wie beschrieben gegeben.
Es scheint jetzt zu funktionieren, jedenfalls sind einige PCs im WSUS sichtbar die ich nicht über die Sicherheitsfilterung eingetragen habe.
Weiß der Geier warum es bei der vorigen Gruppe nicht funktioniert hat....
War wirklich kein Anwendungsfehler von mir - bin kein Noob
Vielen Dank nochmal an euch beide!!!
Es funktioniert! Denk ich
Ich hab jetzt nochmal eine neue Gruppe angelegt und die Berechtigung wie beschrieben gegeben.
Es scheint jetzt zu funktionieren, jedenfalls sind einige PCs im WSUS sichtbar die ich nicht über die Sicherheitsfilterung eingetragen habe.
Weiß der Geier warum es bei der vorigen Gruppe nicht funktioniert hat....
War wirklich kein Anwendungsfehler von mir - bin kein Noob
Vielen Dank nochmal an euch beide!!!
Hallo,
ich weiß diese Disskusion ist schon recht alt. Aber ich habe glaube genau das selbe Problem. Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS-Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS-Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?
herzlichen Dank für jede Hilfe.
ich weiß diese Disskusion ist schon recht alt. Aber ich habe glaube genau das selbe Problem. Ich habe im AD eine OU WSUS angelegt und darunter jeweils eine OU für Computer und eine für Server. Danach die Gruppenrichtlinien für Computer und Server angelegt und den jeweiligen OU zugeordnet.
Wenn ich jetzt einen Rechner aus dem Ordner Computers nach WSUS-Computer verschiebe, bekommt er die Richtlinie und ist in der WSUS-Konsole auch schtbar.
Ich würde aber gerne die Rechner alle im Ordner Computers lassen, weil eventuell ja auch mal andere Richtlinien kommen können. Also habe ich unter WSUS-Computer eine Gruppe angelegt und die Computer als Mitglied dieser Gruppe hinzugefügt. Nun funktioniert das ganze aber nicht und in der WSUS-Konsole ist kein einziger Rechner sichtbar.
Funtioniert das ganze mit Gruppen nicht - oder was mache ich falsch?
herzlichen Dank für jede Hilfe.
