Sunny61

Ein WSUS-GPO mit einem Fake WSUS erstellen. DisableDualScan auf 1 stellen, das sollte ausreichen. Wenn die Updates dann kommen sollen, das GPO wieder entfernen. Sind alle Updates durch, GPO wieder auf die OU verlinken. EDIT: Auch den AlternateDownloadserver mit einem FakeWSUS-Eintrag füllen.

Zuerst per VPN verbinden, dann die RDP-Verbindung aufbauen.

So wie es geschrieben ist. Kommt man vom Internet aus direkt per RDP auf den Server?

Kommt drauf an. Das kann man so und so sehen, oder auch so sehen.

Dann wäre selbst ausprobieren der beste Weg. :)

Ich kenn das, ist bei uns so umgesetzt. Und da die Server nicht ins Internet kommen, sehe ich dort recht schnell dass immer die Signaturen ankommen. ;)

Habt ihr keinen WSUS im Einsatz? Auf dem WSUS musst Du explizit so ein Upgrade/Update genehmigen, damit es ausgerollt wird. Nein, denn das wäre fatal. BTW: Du kannst natürlich auch mit einem WSUS die Signaturen abholen und die Client per GPO so konfigurieren, dass sie die Signaturen beim WSUS holen.

Beim Benutzer Wechsel wird/kann das VPN trennen, falls es Benutzerbezogen ist.

Damit grenzt Du dir viele potentielle Helfer, die mit Smartphone lesen, einfach aus. Denk mal drüber nach. Diese deine Screenshots sind flüssiger als Wasser.

Treiberaktualisierungen prüft man direkt beim Hersteller nacht, WU ist nicht immer der richtige Anlaufpunkt. https://downloadcenter.intel.com/de/product/75442/Intel-Dualband-Wireless-AC-3160 Geh doch mal in die Windows-Einstellungen und tippe gleich zu Beginn in das Suchfeld Hardwareadressen ein, da sollte gleich der richtige Link auftauchen. BTW: Erspar uns doch solche riesigen nichts sagenden Screenshots bitte, Danke.

Per GPO über den Taskmanager. Ein GPO für Zeitraum A, ein zweites für Zeitraum B. Und Jetzt musst Du das ganze nur noch gescriptet kriegen. Es gibt sehr viele Scripte für die GPMC: https://www.gruppenrichtlinien.de/artikel/die-scripte-der-gpmc-das-unbekannte-feature Das hier könnte in deine Richtung gehen: Setting Permissions for all GPOs Linked to a Scope of Management

D.h. der/die Server/Clients sind vom Internet aus, ohne VPN, über RDP zu erreichen? Schlechte Idee, ganz schlechte Idee.

Du hast geschrieben du verstehst das Script nicht und willst nicht neu installieren weil Du 80%ige Gründe brauchst. Du verstehst das Script zu 100% nicht. Und 100% sind 20% mehr als 80%.

Lies dir doch bitte die beiden Zeilen noch ein paar Mal durch.

Und wie lange willst Du noch weitermachen? Reißleine ziehen, jetzt ist der beste Zeitpunkt. Wenn es 7 Maschinen sind riskierst Du sehr viel. Installiere sie aus einem anderen frischen Image neu. Es sind sicherlich VMs, die kannst Du ja herunter fahren und später in einer geschützten Umgebung nochmal überprüfen.

Dann hol dir jemanden ins Haus der das kann. Oder installiere endlich neu. Aber hör auf mit der Fäkaliensprache, das ist hier völlig unangebracht.

Spätestens jetzt solltest Du die Reißleine ziehen und den Server neu machen. Für mich ist hier Schluß.

Und ws macht man, wenn man keine Rechte hat Keys zu lsöchen? Man übernimmt den Besitz und löscht dann, wie bei Ordnern oder Dateien.

Schau doch mal in die geplanten Aufgaben, da könnte etwas bei oder direkt nach der Anmeldung starten. Auch den Autostart nach Anwendungen absuchen.

Und die Pixel können auch mit LineageOS beglückt werden, also hat man dann weiter Support.

Lösch in der Registry alle Einträge von Policies: HKEY_CURRENT_USER\Software\Policies HKEY_LOCAL_MACHINE\SOFTWARE\Policies HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate Zusätzlich: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\Update HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\WindowsUpdate Die Liste erhebt keinen Anspruch auf Vollständigkeit. Wenn es danach immer noch nicht klappt, Server neu installieren.

Und da sind auch die Hersteller im Allgmeinen nicht so hinterher. Auf meinem LOS 17.1 (Android 10) bekomme ich monatlich die Sicherheitsupdates geliefert. Wenn man in Foren quer liest, dann liefern die Hersteller meist nur alle paar Monate. Also auch nicht so erquickend das Thema Sicherheit an der Stelle.

Oder die Geräte mit einem aktuellen Android versorgen. Mehr als 2 Versionen von Android wird wohl kein Hersteller garantieren. Oder auf Apple umstellen. Die glaube ich, supporten ältere Geräte länger, bin mir aber nicht sicher.

Sind das Geräte die den Mitarbeitern gehören oder sind das Geräte vom Unternehmen? Als Mail App kannst Du dir auch FairEmail anschauen. https://email.faircode.eu/

Bei uns ist PasswordDepot im Einsatz. https://www.password-depot.de/