xrated2

Für dieses Event (mass copy) gibts leider kein separates Ereignis

Das Problem warum es mal ging und mal nicht, liegt wohl am Netzwerk bzw. höchstwahrscheinlich Wifi Und Reg32 funktioniert auch nicht unter 64Bit OS, ich dachte das hat was mit dem RegTyp zu tun aber da ist wohl das komplette Windows gemeint mit 32 Bit.

Falsche Subnetmaske?

Ja von den Gruppen passt alles, das Paket wird installiert sobald ich die Rules rausnehme (allerdings nicht immer!). Auch eine ganz simple Registry Abfrage geht nicht, den Key habe ich mit einer Policy gesetzt die über Gruppenmitgliedschaft zum PC verbunden ist. Sobald ich irgendwas aus dem Dateisystem oder der Registry abfrage funktioniert nichts. Der enthaltene Remote MSI Manager kann sich nicht mit dem PC verbinden (als Domänen Admin angemeldet). Bei Update Event History taucht Unable to Find Resource auf, allerdings wesentlich geringer oft als ich probiert habe. Das könnte auch was anderes sein. Bei Show Pending Updates sind Firewall Rules auf dem Client notwendig. Die habe ich mal so wie hier gesetzt: https://help.symantec.com/cs/CCS11.5.2/USER_GUIDE/v97300448_v125263363/Creating-firewall-rules-to-enable-remote-querying-of-Windows-Updates?locale=EN_US Aber dann auch wieder entfernt weil der Client Probleme hatte den Server zu erreichen.

Siehst du denn einen Syntax- oder Logikfehler in den Rules? Muss man eigentlich eine Zeit warten wenn man was in dem Paket ändert? WPP ist so eingestellt das die Pakete nicht in der WSUS Console erscheinen, falls das irgendwas ausmacht. Am Client drücke ich nur auf Updates suchen.

Finde ich einfach übersichtlicher und einfacher bei den Rules

Also ich weiß nicht warum WPP so rumbockt, es geht kein einziges Paket bei mir. Nur die ohne oder Default Rules. Und mir kommt vor das sich die Pakete gegenseitig blockieren. Wenn ich von 3 Paketen wie unten, eins ohne Rules mache dann funktioniert das auch nicht. Was ist denn da falsch? Update Rule: <lar:Or> <lar:Not><bar:FileExists Path="NetPhone Client\NetPhone Client.exe" Csidl="42"/></lar:Not> <bar:FileVersion Path="NetPhone Client\NetPhone Client.exe" Comparison="LessThan" Version="9.40.0.127" Csidl="42"/> </lar:Or> Package Rule: <lar:And> <bar:Processor Architecture="9"/> <bar:RegDword Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Netphone" Value="wppinstall" Comparison="EqualTo" Data="1" RegType32="true"/> <msiar:MsiApplicationInstallable/> </lar:And>

Leider nicht, hab aktuell diese Rule. Die GUI ist echt schwierig zu bedienen bei verschachtelten Rules. <lar:And> <bar:Processor Architecture="9"/> <lar:Or> <lar:Not> <bar:FileExists Path="NetPhone Client\NetPhone Client.exe" Csidl="42"/> </lar:Not><bar:FileVersion Path="NetPhone Client\NetPhone Client.exe" Comparison="LessThan" Version="9.40.0.127" Csidl="42"/></lar:Or> </lar:And>

Weil im Update Catalog nur ein Acrobat Update ist habe ich mal eine Vollversion geschnürt mit dem selben Ergebnis: not applicable. Dann habe ich nacheinander die Rules deaktiviert und es liegt tatsächlich daran bei isinstallable rules: <bar:FileVersion Path="Adobe\Acrobat Reader DC\Reader\AcroRd32.exe" Comparison="LessThan" Version="19.10.20098.54430" Csidl="42"/> Dann funktioniert FileVersion also gar nicht d.h. auch keine 0 wenn die Datei nicht existiert? Schau ich mir also doch noch mal das "oder" in der Rule an

Ja mit Leerzeichen aber der Pfad existiert noch gar nicht weil der Client noch nicht installiert ist. Siehe auch: https://www.wsus.de/de/WSUS-Package-Publisher/Chrome-per-WPP-als-Update-bereitstellen Wenn kein Chrome installiert ist, ist die Version auch kleiner als die zu verteilende Version. Das Update würde also an alle verteilt werden. Das Csidl 42 steht für ProgramFiles86

Das Update habe ich approved aber es erscheint not applicable. Ich vermute das es an den Rules liegt, gibt es da ein Log wo man mehr sieht? Im Log des Wua steht, er hätte 0 Updates gefunden. Es ist ein MSI Paket, der abgefragte RegKey existiert auch definitiv. Das Paket ist auf dem PC nicht installiert und es ist ein 64Bit OS.

Das Problem ist u.a. das die Belegschaft extrem wechselhaft ist, mal sind alle im Büro, mal arbeiten fast alle über VPN. Die Leitung hat nur 12/1MBit/s. Es ist OpenVPN im Einsatz und da erfolgt die Einwahl erst nach dem anmelden, also werden alle Policies im Background verarbeitet so das eine Softwareverteilung über VPN nicht funktioniert. Oder betrifft das nur die Verteilung über GPO, nicht die über WSUS WPP ? Dann lag ich oben total daneben. Ich will nur vermeiden das die VPN Leitung durch Softwareinstallationen geplättet wird und das aber auch jeder trotzdem die Installationen im Büro kommt. Die MS Updates sind zwar WSUS gesteuert aber die holen sich die Clients gemeinsam übers Internet (also nicht vom WSUS Server) weil sich die WSUS Clients nicht nach Ort steuern lassen und sonst auch wieder das Internet zu stark ausbremsen würden wenn sehr viele über VPN von zu Hause arbeiten. Lässt sich das in dem Fall überhaupt nicht steuern? Ich bräuchte sowas wie das bei Slowlink nichts vom WSUS Server sondern von MS direkt bezogen wird. Aber der Client holt sich die Updates ja selbst, da bleibt dann nur das Interval möglichst groß zu lassen.

Hallo Ich suche eine Lösung mit der man das kopieren einer gewissen Anzahl von Dateien (mass copy) überwachen und unterbinden kann. Nun gibts da ja einige Produkte die da eine eMail versenden bei einem Alarm aber das wars dann auch schon. Man könnte ja dann noch via Script das Konto sperren und den PC runterfahren wenn das Program das als Parameter übergibt. Ausserdem wäre es schön wenn das recht zügig von statten geht d.h. Realtime. Optional auch am besten agentless. Und mit den Preisen ist das auch so eine Sache, mehr als 1k€ sind nicht drin. Sind nur ~20 User. Habe mir bis jetzt nur Netwrix und IS Decisions von den Features angesehen, vielleicht kennt noch jemand was in Frage kommt. In der Demo von Netwrix sah das auch nicht wirklich nach Realtime aus und die entsprechenden Parameter können nicht übermittelt werden. McAfee DLP ist vermutlich zu teuer und kompliziert. Gruß Thomas

Moin Problem gibt es noch gar keins aber ich möchte die vermeiden durch entsprechende Planung und Durchführung

Also ich habe jetzt viel nachgelesen u.a. https://blogs.technet.microsoft.com/grouppolicy/2013/05/23/group-policy-and-logon-impact/ https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/27/gpos-and-slow-link-detection/ Und ich glaube in dem Fall kann ich auf die ganzen Einstellungen wohl verzichten da wegen dem VPN gar keine synchrone Anmeldung möglich ist. A particular CSE requires synchronous foreground processing. There are four CSEs provided by Microsoft that currently require synchronous foreground processing: Software Installation, Folder Redirection, Microsoft Disk Quota and GP Preferences Drive Mapping. If any of these are enabled within one or more GPOs, they will trigger the next foreground processing cycle to run synchronously when they are changed. Daraus verstehe ich das die spätestens bei der 2. Anmeldung synchron abgearbeitet werden. Aber das geht dank VPN wohl eh nicht weil der DC nie vor der Anmeldung erreichbar ist und die über Background processing nicht funktionieren d.h. da braucht man ja nicht mal slowlink einstellen um Software installation zu verhindern, welches mittlerweile mit NLA statt nur ping funktioniert.

Hallo Ich bin grad dabei dies einzubauen: https://www.gruppenrichtlinien.de/artikel/ssd-zu-schnell-synchroner-startvorgang-nicht-moeglich/ Jetzt gibts hier aber noch extrem viele VPN User und da gibts ja die Slowlink Detection die default an ist. Ich habe gelesen das über VPN alles als Slowlink erkannt wird weil große Pings nicht durchgehen. Slowlink ist ja nicht so schlecht, denn ich möchte keine Softwarepakete von WPP über VPN verteilen. Zumindest nicht bei Leuten die regelmäßig im Büro sind. Mir ist aber aufgefallen das man Slowlink für User und Computer getrennt einstellen kann. Gehe ich da recht in der Annahme wenn ich Slowlink für Benutzerpolicies ausschalte, dass dann alle Benutzerpolicies auch immer ausgeführt werden? Ich dachte da vor allem an die Laufwerkszuordnungen via GPO. Skripts gibts derzeit gar keine. Und wie sieht es dann bei den Computerpolicies aus mit aktivem Slowlink, werden dann so Policies wie Restricted Groups oder die Steuerung von lokalen Gruppen überhaupt ausgeführt? Dann gibt es noch eine Policy "Asynchrone Verarbeitung der Gruppenrichtlinie bei langsamen Netzwerkverbindungen". Gilt diese nur für Computer oder auch Benutzer? In der Beschreibung steht u.a. das Laufwerkszuordnungen nicht richtig funktionieren wenn es aktiv ist, aber Computer oder Userbezogene Laufwerke? Und inwieweit hat das Abhängigkeiten/Auswirkungen zu den Settings aus dem Link oben? Edith meint noch, wenn sich der User erst nach dem Windows Logon mit VPN anmeldet oder gar nicht, ist dann überhaupt keine GPO aktiv? Dann wird sich ja über cached credentials angemeldet. Gruß Thomas

Mit der Dateiversion hatte ich ursprünglich auch angefangen aber mir dann überlegt das die ja auch in einem anderen Pfad sein könnte, deswegen kam mir die Idee mit der Registry. Mit anderen Pfad meine ich nicht nur Programfiles und X86 sondern auch komplett andere Pfade die früher die User hätten selbst angeben können.

Ging leider nicht, habe alles probiert. Sowas wie Gruppen gibts bei der Verteilung eigentlich keine? Also die Computergruppen in WSUS kenne ich aber da ist die Zuweisung ja nicht grade optimal. Verteilt ihr dann Anwendungen die nicht jeder benötigt, optional? Und wenn man in der Rule z.B. ein Reg_SZ abfragt wo steht: value CurrentVersion data 65.0.1 (bei Firefox) funktioniert da die Rule Reg Sz To Version Registry Key ? Oder bei OpenVPN steht da 2.4.7-I603 also nicht in 4 Ziffern gruppiert.

Ich hatte das Problem das wenn man Revise macht und Product Name ändert, ein Überbleibsel mit dem alten Namen bestand den man in der GUI nicht löschen konnte. Dann habe ich diese in der DB wie hier gelöscht: https://blog.wydler.eu/2015/11/10/loeschen-von-produkten-im-wsus-package-publisher/ Wenn ich nun ein Update mit folgendem Namen (wie vorher) anlege Vendor: Telegram Messenger Product Name: Telegram Desktop kommt ziemlich am Ende wenn steht "PublishPackage" der Fehler Index was out of range. Must be non-negative and less than the size of the collection. Parameter name: index Im Log sieht man das er zuerst versucht cmbBxVendorName und cmbBxProductName mit leerem Text anzulegen und dann nacheinander einen Buchstaben hinzufügt was ich seltsam finde. Macht er aber wohl bei allen Paketen. Ich glaube das hat evtl. was damit zu tun das ich nicht nur das ungültige Update sondern auch den Herstellereintrag so gelöscht habe. Nach dem Fehler kann ich in der Datenbank Telegram Desktop finden aber nicht den Hersteller Telegram Messenger Denke ich werde das machen solange das noch nicht produktiv ist: Uninstall-WindowsFeature -Name UpdateServices,Windows-Internal-Database -Restart Post restart, delete EVERYTHING in the C:\Windows\WID\ (for Win 2012 r2) folder. Then run the following command to re-install WSUS: Install-WindowsFeature UpdateServices -Restart wpptest.txt wpptelegram.txt

https://github.com/telegramdesktop/tdesktop/issues/3903 https://github.com/telegramdesktop/tdesktop/issues/2355 Alternative gibts leider keine wenns Chef und User wollen.

Ich halte es für gar keine gute Idee ins Userprofile zu installieren wie der Hersteller denkt, weswegen ich das nach PF abgeändert habe. Das Programm fordert keine Rechte via UAC an sondern gibt eine Fehlermeldung wenn man es nicht am Anfang mit Administratorrechten startet. Jetzt weiß ich nicht ob der WU Agent das von vornherein mit Admin startet oder da auch erst eine Elevation macht wenns benötigt wird. Weil da kommt nämlich keine ... Der Hersteller bleibt trotz zig Requests stur und stellt die Installationsroutine nicht um, wohl damit die User ohne Adminrechte auch updaten können. Gibt aber wohl einige Firmen die per GPO kein starten von EXE im Userprofile erlauben. Schlecht wenn man sich nicht an Standards hält.

Aber der User hat ja gar keine Rechte zum installieren. Edit: Hab einen Schalter gefunden für ProgramFiles Install

Und wenn die Version nicht vorhanden ist (weil File nicht da), sollte die Version ja 0 sein und dann auch kleiner sein. Also wird das Programm auch installiert wenn keine älteren Versionen vorhanden sind? Im Falle einer Exe habe ich bei dem ersten Ruleset jetzt ob die Dateiversion identisch ist. Was nur etwas b***d ist das dieses Programm im Userprofile installiert wird und in der Registry nicht unter HKEY_LM zu finden. Der WSUS Client weiß doch gar nicht wer HKEY_CU oder %USERPROFILE% ist oder?

Es gibt noch 2 weitere GPO das die User benachrichtigt werden und das sie Updates einspielen dürfen

Macht das so Sinn? Das gleiche Paket soll nicht noch einmal installiert werden. Das Paket ist nur für 64Bit OS und soll keine neueren Installationen überschreiben. Wenn das Paket noch nie installiert war, soll es installiert werden. Wärs besser die Registry zu prüfen anstatt die Dateiversion?