takvorian
Goto Top

WSUS Updates für betimmte PCs verhindern

Hallo zusammen,

in einer Schule habe ich am Windows 2012 DC auch einen WSUS mit laufen. Ich möchte nun dafür sorgen dass bestimmte PC's welche mit einem Softwareschutz ausgestattet sind, KEINE Windows Updates erhalten. Wie regle ich das am besten in der entsprechenden Gruppenrichtlinie?

Danke für Infos.

Content-Key: 214674

Url: https://administrator.de/contentid/214674

Printed on: July 12, 2024 at 16:07 o'clock

Member: DerWoWusste
DerWoWusste Aug 19, 2013 at 21:11:06 (UTC)
Goto Top
Hi.

Erstelle eine GPO, bei der Du den Dienst "Windows Update" deaktivierst. Diese GPO dann per Sicherheitsfilterung nur auf die (zuvor erstellte) Gruppe dieser PCs anwenden.
Member: Alchimedes
Alchimedes Aug 19, 2013 at 21:24:22 (UTC)
Goto Top
Hallo.


welchen Sinn hat es Redmond's Updates zu verhindern ?

Kein wunder das Schulen offen sind wie Scheuentore

Gruss
Member: napperman
napperman Aug 20, 2013 updated at 06:52:13 (UTC)
Goto Top
Moin!

@Alchimedes:

Ist doch logisch. Wenn Du Rechner betreibst, die nach jeder Schulung/Reboot wieder im Ausgangszustand sind, dann ziehen die jedesmal die Updates aufs neue.

Diese Rechner muss man dann anderweitig sichern.

Gruß,

Napperman
Member: psannz
psannz Aug 20, 2013 at 09:02:11 (UTC)
Goto Top
Sers,

sagmal, wenn die Rechner nach jedem Reboot oder nach jeder Schulung neu aufgesetzt werden sollen, warum arbeitest du dann nicht mit ner PXE/WDS Lösung? Musst einfach nur nach jedem neuen Patchday (sei es MS, Adobe, Oracle, oder sonst was) das Basisimage anpassen.
Den Windows Update Dienst kannst du dann durchaus drinnen lassen. Schick die Rechner einfach per default in die Updatebefreite WSUS Gruppe. Oder geht es dir auch darum IO Last auf den Rechnern zu vermindern weil die Rechner lokal gar kein Storage haben sondern e.g. via iSCSI booten? Dann macht das natürlich wesentlich mehr Sinn...

Grüße,
Philip
Member: takvorian
takvorian Aug 20, 2013 at 13:55:18 (UTC)
Goto Top
Hallo,

in besagter Schule kommt Dr.Kaiser als PC Wächter zum Einsatz. Die PC's werden nicht jedesmal neu aufgesetzt dafür sind die Voraussetzungen in einer Kleinstadt nun mal nicht gegeben.
Ich werden den Dienst via GPO deaktivieren.

1x im Jahr, in den Sommerferien werden die Kisten dann aufgemacht und mit Updates über den WSUS dann neu versorgt. Hier haben wir noch alte E8500 PC's im Einsatz und keine Topmoderne Infrastruktur. Auch die 2 Server sind nicht neu sondern wurden nur um RAM erweitert und mit Server 2012 neu aufgesetzt.

Danke Micha