Sunny61

Doch, man kann immer noch Updates manuell installieren. Aus dem Update Catalog downloaden und per Doppelklick starten. Falls man es automatisiert per Commandozeile machen möchte, dann die WUSA.EXE aus %windir%\System32 dafür benutzen: %windir%\system32\wusa.exe "Pfad_zur_MSU" Und das ganze in einer administrativen Commandline aufrufen.

Du kannst übrigens auch Updates manuell aus dem Update Catalog in den WSUS importieren. Ist vielleicht auch keine schlechte Sache, denn beim WSUS wird immer x86 + 64Bit gedownloadet. Manuell kannst Du wählen.

Dann begrenze den BITS auf dem WSUS. Geht via GPO: https://wsus.de/de/HowTo/Background-Intelligent-Transfer-Services-BITS 8-17 Uhr 100 kb, 17-8 Uhr Vollgas. Zusätzlich auch nur die Updates genehmigen, die auch von den Clients angefordert werden. Geht übrigens per Script automatisiert. Von Dukel (AFAIR) gibt es hier im Forum dazu ein PS-Script. Schon wird Bandbreite geschont. Und was bringt das für den Download aus dem Internet? Nichts, denn der WSUS lädt von WU herunter. Natürlich holen alle Clients vom WSUS ihre Updates.

ich stell den Artikel von Mark ein. https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Evtl. wird es klarer. Du hast das GPO auch korrekt auf die OU verlinkt? Es sind auch wirklich Benutzereinstellungen konfiguriert?

Auch wenn es den IE7 vermutlich auf dem System nicht mehr gibt, der Hinweis auf Intranet aus diesem Artikel prüfen: http://iefaq.info/index.php?action=artikel&cat=39&id=92&artlang=de Der erste Haken darf NICHT gesetzt sein, die anderen drei schon.

Auf dem Problemclient der einen Mitarbeiterin ein neues Profil geben. Das alte brauchst Du nicht zu löschen. Als dritter anmelden, das Profil im Dateisystem von USERNAME auf _USERNAME umbenennen. In der Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList die Einträge durchgehen, den Eintrag der betroffenen Benutzerin löschen und den Rechner neu starten. Jetzt kann sich die Benutzerin anmelden. Funktioniert es jetzt?

Was spricht gegen Remote App?

Ruf die Einstellungen auf, dort Windows Update. Update Verlauf anklicken. Wenn Du mehr Details wissen willst, dann schau ins Eventlog, dort gibt es Details. Alternativ die WindowsUpdate.log per Powershell erzeugen. https://blogs.technet.microsoft.com/charlesa_us/2015/08/06/windows-10-windowsupdate-log-and-how-to-view-it-with-powershell-or-tracefmt-exe/

Weshalb steht das mit dem Testsystem nicht im ersten Posting? Das solltest für zukünftige Postings/Anfragen unbedingt berücksichtigen, Danke.

Oje, wenn ein 'Server' Produkt nur mit einer GUI läuft, ist es IMO kein Server Produkt, sondern nur eine Client Server Bastellösung. Aber ihr wisst sicherlich warum ihr das einsetzt. Viel Erfolg weiterhin. :)

Was sagt eigentlich der Hersteller/Programmierer der uns unbekannten Software dazu?

Und bei den Software Restriction Policys gibst Du die Dateien an, die außerhalb von %programfiles%, %programfiles (x86)% und %windir% ausgeführt werden sollen. Nicht mehr und nicht weniger.

Dann würde ich den Dienstleister anrufen und ihn seine Arbeit machen lassen.

Gibt es einen Proxy oder ist schon ein WSUS auf dem Client eingetragen? Wenn letzteres, dann lösche den WSUS aus der Registry, net stop wuauserv && net start wuauserv [ENTER] auf einer administrativen Commandline, jetzt .Net Framework installieren, gpupdate /target:computer [ENTER] und anschließend neu starten. Jetzt sollte der WSUS wieder drin stehen.

Wow, ab 3 Rechner rentiert sich ein WSUS schon, auch wenn die Internanbindung gut ist. Aber jeder wie er mag. :) Danke auf jeden Fall für die Rückmeldung. ;)

Die automatische Freigabe muss man ja nicht aktivieren. :) Vielleicht kriegt MSFT das nochmal hin, die einzelnen Build in die Produkte aufzunehmen, wäre sicherlich nicht verkehrt. Ja ich weiß, es gäbe dann wieder viele die genau damit ein Problem haben, aber die gibt es immer.

Ja, aber wenn Du das noch im Update Cache liegen hast, wird das immer wieder mit installiert. Wir hatten auf 4 (von 650) Clients das Problem des BSOD, ging recht einfach zu beheben.

Welche Funktion kann MSFT streichen? Mir wäre es auch lieber, wenn wir einzelne Builds aktivieren/deaktivieren könnten.

Dann sollte man das in Zukunft tun. :p Die anderen erforderlichen Updates manuell aus dem Update Catalog downloaden, den Update Cache leeren und jetzt ein Update nach dem anderen installieren. Und immer einen Reboot dazwischen. Bei KB4041691 handelt es sich doch um das DELTA-Update, das hat MSFT sowieso zurück gezogen. Also einfach mal den Windows Update Cache leeren und neu nach Updates suchen lassen.

Im WSUS ablehnen, dann den Windows Update Cache leeren und wieder nach Updates suchen lassen. Jetzt sollte das Update nicht mehr angeboten werden.

Nur für die 1607 kannst Du nicht eingrenzen. Du kriegst alles und kannst es später ablehnen. Besser noch, nur die Updates genehmigen, die auch von den Clients angefordert werden. An so ein Szenario denkt bei MSFT niemand, deshalb gibt es auch keine Empfehlung dazu. ;) Kritische Updates, Sicherheitsupdates und evtl. Updates sollte ausreichen.

Wenn es zuerst nur 1 TS war und jetzt alle 5, dann könnte es schon an einem Update liegen. Aber bei der Fülle an Informationen die von dir kommen, ist es nicht möglich die relevanten heraus zu filtern.

Sind die beiden FixIt öffentlich oder geheim? Falls öffentlich, darfst Du gerne die KB-Nummer veröffentlichen, Danke.

Mit Subdomains würde ich nicht arbeiten, lieber OUs pro Standort, dort dürfen dann die Standort Admins tun was immer sie tun müssen. Und auf die TLD, also das .local, ist doch gesch... Egal ob da .local oder .intra steht. Sieht eh kein Mensch, außer den Admins. Und für Exchange Split DNS nutzen, schon ist das Problem gelöst und du kannst mit gekauften Zertifikaten arbeiten.

Rein in die Domäne und sich selbst via GPO verwalten lassen.