Sunny61

Darf denn dei Gruppe das GPO lesen und übernehmen? Das Userobjekt liegt im Verwaltungsbereich des GPO? Oder hast Du die Gruppe im GPO an einer Stelle eingetragen?

Es sind die gleichen Gründe, wie für alle anderen Sicherheitsupdates.

Das Tool macht nichts anderes als den Ordner %windir%\softwaredistribution zu löschen, das umbenennen kannst Du dir sparen. Damit müllst Du dir das LW C:\ unnütz voll, oder hast Du den unbenannten Ordner schon irgendwann mal wieder zurück umbenannt? Das ist eh alles nur temporär, also weg damit. Das Abschalten der gen. Funktion kann die Lösung sein, ist aber IMHO nur kurzsichtig gedacht. Besser ist es auf alle Fälle das Update zu installieren.

Alternativ mit ein paar Testclients mal bei 0 anfangen und dann langsam weiter vorarbeiten. Aber wenn du nicht magst, es ist deine Lebenszeit die du damit vertust.

Zu welcher Deutschen Meisterschaft? Oder meinst Du Vizekusen?

Und wenn Du bei einem Testuser ALLE GPOs deaktivierst, funktioniert es dann wieder?

Für W10 wird sich nichts ändern, da es kein 23H2 gibt, nur bei W11 kann sich etwas ändern. Wir hatten bisher die Upgrades manuell freigegeben, da konnte dann auch keines dazwischen funken, nur das, das auch freigegeben wurde. Mit WUfB habe ich keinerlei Erfahrungen.

Hmm, ich habe mit den Einstellungen Windows Update für Unternehmen noch nie irgendwas gemacht, auch holen bei mir alle Clients/Server die Updates beim WSUS über den BITS. Einzig hab ich mal mit der Wartung experimentiert. Das hatte nicht geklappt, deshalb läuft bei uns derzeit noch alles so wie zu W7 Zeiten, in Sachen WSUS. ;) Wenn Du an diesem Standort keinen WSUS installieren möchtest/kannst, dann wird dir IMHO nichts anderes übrig bleiben, als damit jetzt zu leben. Alternativ mit ein paar Testclients mal bei 0 anfangen und dann langsam weiter vorarbeiten.

Was ist denn sonst alles in Bezug auf WSUS eingestellt? Was ist bei der Übermittlungsoptimierung konfiguriert? Weshalb holen alle Clients einzeln von WU direkt?

Und den ganzen Tag, den Du verbraucht hast, ist an der Stelle keine Downtime? Immer wieder Reboots? Bei unserem WSUS kann man auch Notepad++, Firefox, VisualStudioCode, VLCPlayer und weitere zur Verfügung stellen, dafür brauchts kein Ivanti. Ich kenne Ivanti nicht, kann also nichts dazu schreiben. Gerade wenn etwas komplex und wichtig ist, sollte man sich mit dem Gedanken der Neuinstallation intensiv beschäftigen, so meine Meinung. Denn wenn es von heute auf morgen fällig ist, warum auch immer, ist es IMHO beruhigend in der Schublade die passende Doku dazu zu haben. ;) Nein, so ein Problem hatten wir noch nicht bei unseren ~200 Servern. Doch, es spielt IMHO eine Rolle und du hast es ja genannt. ;)

Welches OS ist im Einsatz? Eine Neuinstallation ist deinem Vorgehen vorzuziehen und für die Zukunft sollte es eine verwaltbare Lösung geben. Bis zu ein paar 100 Clients/Servern kann das ein WSUS sein, der zeigt dir an, wann sich wer mit welchem Updatestatus gemeldet hat.

Du kannst mit einem Suchtool im SYSVOL die ordner/Dateien durchsuchen.

Eine eigene Gruppe erstellen die Zugriff hat. Ausgewählte Benutzerkonten einfügen, bzw. eine Gruppe mit Benutzerkonten wenn man das Berechtigungskonzept durchgängig nach diesem Muster erstellt: https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Insbesonders dieses Schaubild zeigt es deutlich wie es sein sollte:

Danke für die Rückmeldung. ;)

Gegen WU magst Du ihn nicht testen lassen? BTW: Das blöde an den verschiedenen ADMX-Templates liegt im Detail, wenn Du eine Einstellung gesetzt hast, die im neuen Template nicht mehr vorhanden ist, findest Du sie nie wieder um sie evtl. zu wechseln. Die Clients haben die Einstellung aber noch, und können sie auch noch anwenden.

Beim Upgrade ist immer out of the Box aktiviert, dass Updates geladen werden, man kann das auch deaktivieren, dann wird beim Upgrade NICHTS geholt. Oder man aktualisiert das ISO bzw. die WIM darin, dann passt das auch. Ist der Client denn jetzt aktuell oder nicht?

Da hat MSFT sicher wieder mal etwas 'optimiert', aber das ist ja nicht das Problem beim TO. Der Rechner meldet sich ja, und so wie es aussieht ist er up2date, dann wäre ja klar warum er nichts weiter will. https://support.microsoft.com/en-us/topic/march-12-2024-kb5035853-os-builds-22621-3296-and-22631-3296-a69ac07f-e893-4d16-bbe1-554b7d9dd39b Weg vom Central Store, back to the roots. :)

Du kannst auch mal probieren, mit dem betreffenden Client direkt zu WU zu gehen, wird er dort richtig erkannt? Dein Client (22631.3296) sollte schon auf dem letzten CU sein, lt. diesem Artikel: https://learn.microsoft.com/de-de/windows/release-health/windows11-release-information

Advanced Settings > System Options > [X] Enable High Resolution mode when connected to a USB-C DP alt mode Dock ist die Einstellung. Setzt man den Haken kommt diese Warnung: All USB devices in a dock will connect at USB2 speeds, and the Gigabit NIC will experience reduced performance when High Resolution mode is enabled. Diese Einstellung braucht man um z.B. 3 Monitore im Full-HD Mode an der Docking betreiben zu können. Hat ein Kollege rausgefunden. Ob das für die UltraSlim auch gilt, weiß ich nicht. d.h. Du hast versucht das Paket zu installieren? Falls ja, geh doch den anderen Weg, entpacken und über den Gerätemanager den Treiber für die Karte aktualisieren lassen. Dazu dann den Pfad in das Verzeichnis angeben.

Welche BIOS Version ist installiert? Es gibt im BIOS eine Einstellungen die dafür sorgt, dass es weniger Performance gibt, auswendig weiß ich die nicht, kann ich erst am Montag nachreichen. Sind die Treiber für die Docking von hier: https://support.hp.com/at-de/drivers/hp-elitebook-840-g4/11122291 oder von hier: https://support.hp.com/de-de/drivers/hp-usb-c-dock-g5/27767205 Sind die Treiber für die NIC von HP oder von Intel? Ohne es manuell geprüft zu haben, hier gibt es ein Paket aus 2024: https://www.intel.de/content/www/de/de/download/15084/intel-ethernet-adapter-complete-driver-pack.html Evtl. sind ja auch aktuellere Treiber für die verwendete Karte dabei.

Wir deployen das auch in Baramundi, aber du könntest den hier beschriebenen Weg probieren: https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory Auszug aus dem Artikel: Da läuft nicht zufällig irgendein 3rd Party Tool, welches dir in die Suppe spucken kann?

Wenn Du es so schnell selbst gelöst hast, kannst Du es ja im Betreff ganz vorne hinzufügen: [gelöst]

Lt. Beschreibung ist e zwar nicht nötig, aber probieren kannst Du das Script trotzdem: https://learn.microsoft.com/en-us/previous-versions/orphan-topics/ws.10/cc749026(v=ws.10)?redirectedfrom=MSDN

Eine Idee zur Umsetzung kann dieser Artikel liefern: https://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/ Außer die Umgebung ist klein genug um das selbst manuell zu erledigen. In dem Zusammenhang kann man auch prüfen, ob man evtl. Maschinen mit mehreren Diensten im Einsatz hat und hier die Anzahl der Dienste pro Maschine/Server reduzieren kann.