xcaschox
Goto Top

WSUS updates - Laptop nicht im Firmen Netzwerk

Hallo,
folgendes Szenario:
wir haben einen WSUS Server, der auch schön fleißig seine Updates an seine Clients sendet.
wir haben auch einige Laptops mit denen unsere Außendienstler arbeiten, die Aber selten bis nie in Büro (Firmennetz) kommen.
Bei diesen Laptops ist allerdings eingestellt, dass diese Laptops Updates von unserem WSUS bekommen.

Gibt es noch eine zusätzliche Einstellung, die sagt, wenn kein WSUS dann updates direkt aus dem Netz?

Hoffe ich habe mich klar ausgedrückt.

Danke schon mal für eure Tipps.

Gruß

Content-ID: 170129

Url: https://administrator.de/forum/wsus-updates-laptop-nicht-im-firmen-netzwerk-170129.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

dokapp
dokapp 21.07.2011 um 10:54:18 Uhr
Goto Top
Generell würde ich die WSUS, wenn nicht WSUS dann normal nicht empfehlen, da auch updates die dann zb einen system-absturz bewirken können geladen werden, diese aber nicht über den WSUS bekommen.

Die denkbar beste Möglichkeit wäre meines erachtensnach wenn man die Laptops einfach über VPN ins Netzwerk eingliedern würde, und so die WSUS Updates beziehen könnte.

MfG
DerWoWusste
DerWoWusste 21.07.2011 um 13:33:20 Uhr
Goto Top
Hi.
Du kannst alle nötigen Einstellungen über ein Startskript setzen lassen.
1) Teste, ob WSUS pingbar
2a) Wenn nicht, stelle die Registrywerte des Updatedienstes auf Internetupdate
2b) Wenn ja, stelle sie auf WSUS
3) Starte den Updatedienst neu
jsysde
jsysde 21.07.2011 um 17:44:22 Uhr
Goto Top
Du kannst alle nötigen Einstellungen über ein Startskript setzen lassen.
...welches Adminrechte vorraussetzt (Dienst neu starten) - und die hat doch der "Otto-Normal-User" anno 2011 gar nicht mehr! face-wink

Davon abgesehen führt dieses Vorgehen die Verwendung eines WSUS-Servers ab adsurdum: WSUS verwendet man, um gezielt Updates zu installieren und eben _nicht!_ alles, was MS über die Update-Website anbietet. Als Beispiel sei hier mal das unsägliche "Browserwahl"-Update genannt - das habe ich auf dem WSUS (natürlich) abgelehnt, keiner meiner Clients hat es installiert. Sobald der Client nun aber nur einmal online Updates anfordert, kommt das Mistding als "Wichtiges Update" doch auf den Rechner.

Ich halte daher den Weg über ein VPN für den sinnvollsten. Oder natürlich, man stellt den WSUS -selbstverständlich SSL-verschlüsselt- direkt via Web bereit (auch wenn die Doku sagt, das ginge nicht mit einem FQDN - es geht doch!).

Cheers,
jsysde
DerWoWusste
DerWoWusste 23.07.2011 um 15:42:04 Uhr
Goto Top
@jsysde
...welches Adminrechte vorraussetzt (Dienst neu starten) - und die hat doch der "Otto-Normal-User" anno 2011 gar nicht mehr!
Nein. Ein Startskript ist kein Anmeldeskript. Es setzt keine Rechte voraus, da es vom Konto "System" ausgeführt wird.

Gebe Dir ansonsten aber recht, dass es nicht unbedingt erstrebenswert ist, die Kontrolle darüber, welche Updates rauf kommen, aufzugeben.
jsysde
jsysde 23.07.2011 um 17:07:47 Uhr
Goto Top
Nein. Ein Startskript ist kein Anmeldeskript. Es setzt keine Rechte voraus, da es vom Konto "System" ausgeführt
wird.
Wenn man es über GPO setzt, ja. Das las sich für mich aber eher nach "Skript im Autostart" bzw. könnte auch so verstanden werden. Und das bräuchte sehr wohl Adminrechte.

Cheers,
Joshua