Sunny61

Hi Norbert, danke also zum Testen habe ich ja sogar schon die Firewall des Clients ausgeschaltet. Funktioniert trotzdem nicht. Wo genau muss ich einstellen, dass der Client auch ohne vorige Einladung die Sitzung annehmen darf? Bei XP musste man das extra einstellen sonst ging es nicht vielleicht liegt hier der Fehler.

Du hast die Computer GPO erstellt und auf die Computerobjekte wirken lassen? Hier die GPO mit den Einstellungen die bei mir ausreicht: Hast Du die Firewallregeln auf die Clients wirken lassen, wie im HowTo angegeben? Was sagt ein RSOP.MSC bzw. ein GPRESULT auf dem Client?

gibts bei Windows 7 nicht sowas wie bei XP, dass ich einen 'last Known Good'-Sicherungspunkt wählen und den Stand wiederherstellen kann?

Du kannst natürlich einen Systemwiederherstellungspunkt nutzen.

Oh, ich dachte, dass die Einträge von wsus.de und der connect2wsus doch recht identisch sein sollten.

Nein, das eine hat mit dem anderen nichts zu tun.

Meine Clients erhalten hier viel weniger Einstellungen per GPO bzgl. dem WSUS-Update. Aber ich werde vielleicht ein paar Änderungen vornehmen und die Einstellungen übernehmen, die auch sonst so in der Domäne vorhanden sind.

Ich hab mal eine Beispiel GPO für Clients und Benutzer erstellt. http://www.wsus.de/images/WSUSGPO.png Wichtig ist die zweite Benutzereinstellung, damit sieht kein Anwender etwas von den Updates.

Schön das man im Enterprise Umfeld nicht in die Niederungen von Thunderbird hinabsteigt, aber da sind ja nicht alle, ich zB bin hier aber in einem kleinen e.V. und hab nur WS2003R2 Standard x64, und wir haben nicht viele kostengünstige Optionen für Software, insofern wäre eine offizielle Thunderbird.msi der Programmverbreitung sicher nicht abträglich, auch wenn die administrative Betreuung schwierig sein kann. Aber ich komm vom Thema ab.

Die Mozilla Foundation hat schon genug zu tun um die ganzen Bugs wieder auszubauen, wie sollen die Entwickler da noch ein MSI File aus dem Hut zaubern? ;) Beim Firefox gibts ein eigenes kleines Projekt dafür. Firefox MSI

Hab mich jetzt mal kurz eingelesen, eigentlich Super Sache, die HowTo s aus dem Netz sind zwar alle für WS2008 und passen zwar nicht recht auf unser WS2003R2 Standard, aber man könnte es mal versuchen. Der Aufwand ist halt noch mal höher als Verteilung mit GPO, dafür hätte man dann halt die Kontrolle ...

Du hast einmalig den Aufwand mit den Zertifikaten, den Rest erledigst Du im Schlaf nach zweimal probieren. Und Du hast viel mehr Kontrolle über die Installationen als wie mit GPO. Auch bekommst Du Rückmeldungen, über die GPO hast Du schlechte Karten.

Wir stellen das alles via LUP und WSUS zur Verfügung. Den aktuellen Flash Player zur Installation genehmigen und die alte Version ablehnen. Fertig ist die Laube. Zu diesem Thema findest Du hier Hinweise: http://www.mcseboard.de/windows-forum-security-47/erfahrungen-secunia-csi-5-0-a-181863.html#post1120867

Mir scheint, wir reden aneinander vorbei.

Nein, ich versteh dich schon. Du verstehst mich nicht. Irgendeine Anwendung klaut sich den Focus und die gilt es zu finden. Deshalb mein Hinweis auf den Systemstart. Ich würde alles außer McAfee deaktivieren und neu starten. Jetzt nochmal probieren.

Welche Software mußt Du denn installieren?

die üblichen Verdächtigen.

Und welche sind das? Bei mir gibts gar keine Einträge, und jetzt?

Passiert aber nur, wenn ich schon eine RDP-Verbindung zu einem Server offen hab. Sonst nicht. Kann mir also kaum vorstellen, dass das was mit dem Systemstart zu tun hat.

OK, ist dein Problem wenn Du das nicht testen willst. Ich würde auch am Server testen.

Danke für die Infos.

Woher weiß man das? Will sagen woran erkennt man das eine unbeaufsichtigte Installation von Thunderbird ab Version 4 nicht funktionieren wird.

Wenn es als Admin klappt und über eine Computer GPO nicht, dann ist IMHO die SW bzw. der Installer nicht dafür ausgelegt. So einfach kann das sein.

( Und wieso scheint das seit 4 Programmversionen niemand zu stören ? )

Weil niemand im Enterprise Umfeld TB per GPO auf Clients ausrollt. Vom administrieren ganz zu schweigen.

Die Verwendung von WSUS zur Softwareverteilung wäre für uns sehr interessant, bisher war ich immer der Annahme das geht gar nicht, die Artikel muss ich mir ja unbedingt mal zu Gemüte führen....

Es gab schon immer eine Schnittstelle von MS dafür, mit dem LUP kannst Du Updates/Programme komfortabel importieren und den Clients zur Verfügung stellen.

alle anderen können ganz normal arbeiten

Hast Du es schon mit einem neuen Benutzerprofil probiert?

Achso, das ist ja doof!

Steht aber direkt beim Upload mit dabei.

Also hier: WindowsUpdate.log

* All files for update were already downloaded and are valid.
Setting AU scheduled install time to 2011-11-14 02:00:00
Windows Update is disabled by policy for user

Das sieht recht ordentlich aus. Den letzten Eintrag bekommst Du weg, wenn Du in der Registry HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate > DisableWindowsUpdateAccess auf 0 abänderst oder den Eintrag löscht. Wenn DisableWindowsUpdateAccessMode auch vorhanden ist, auf 0 setzen oder löschen. Jetzt kannst Du auch als Benutzer Windows Update aufrufen.

Hab jetzt nochmal die unterschiedlichen Einträge zwischen der von dir geposteten reg-Datei und den Einträgen in der connect2wsus-Beschreibung verglichen:

Ich hab das alles nicht exakt im Kopf, Du kannst mit Hilfe von GPEDIT.MSC einfach einen Client konfigurieren und dir in der Registry die geänderten Werte ansehen. Du kannst die Werte von Connect2WSUS nicht mit den Werten von WSUS.DE vergleichen. Setz dir Werte, die für dich am besten sind.

Also wenn ich den Befehl wie beschrieben auf einem Client ausführe, kommt Systemfehler 5!!

Bei welcher Zeile genau kommt der Fehler? Bist Du als Admin angemeldet? Wenn UAC aktiv ist, mußt Du die Commandline mit Adminrechten öffnen.

Nichts desto trotz muss es ja einen Grund geben, warum auf einmal alle Clients die IP vom Proxy haben.

Es klappte ja vorher auch immer.

Das mußt Du schon MS fragen.

Also hier mal das log von heute; ich habs angehängt, wird sonst zu unübersichtlich.

Das Log muß erst von einem Mod freigeschaltet werden. Alternativ kannst Du es extern uploaden und den Link hier posten. Filehoster findest Du über ein Suchmaschine deines Vertrauens.

Genau das wäre mir am Liebsten aber ich finde die Richtlinie nicht.

Das ist keine "Richtlinie" zum ein- oder ausschalten. NTFS-Berechtigungen kannst Du wie in diesem HowTo gezeigt einrichten: Eingeschränkte Gruppen

Vielen, vielen Dank Sunny61! Du hast mir da echt weitergeholfen.

Freut mich, Danke für die Rückmeldung. ;)

Nachdem der Rechner jetzt auch schon beim WSUS aufgetaucht ist, läd er nur noch keine Updates. Naja, mal schauen, irgendwas stand da mit 03:00 Uhr im log. Also vielleicht macht er das erst morgen.

Das "irgendwas" ist das Installationsdatum und die Uhrzeit. Der Download fängt normalerweise sofort an. Welche Fehlermeldungen findest Du im Log? Was sagt der Statusreport des Client im WSUS?

Ansonsten habe ich mal die Einträge von den Reg.-Schlüsseln verglichen.

Diese weichen teilweise aber ganz schön von denen ab, die bei der Anleitung von connect2wsus dabei waren. Manche Einträge gibt es gar nicht, andere wieder schon und die, die es gibt, haben teilweise andere Werte. Hhmmmm.....

Bei Connect2WSUS hab ich nur die nötigsten Einträge fest eingebaut, in der Regdatei von WSUS.de sind mehr Möglichkeiten drin. Auch ist die für aktuellere Betriebssysteme gedacht.

Jetzt dachte ich mir kann man nicht Server seitig Gruppenrichtlinien oder ähnliches erstellen die das verändern der eigene Benutzer Profile verhindert, also auch das speichern von dateien auf dem Desktop usw. ?

Du kannst den Desktop ganz bequem auf ein Netzlaufwerk umleiten. Natürlich kannst Du auch per GPO die NTFS-Berechtigungen für den Desktop auf Lesen einschränken.

Achja richtig, den mit dem \AU kann ich mir sparen, aber den letzten benötigt man dennoch, weil dieser befindet sich ja im HKEY_CURRENT_USER

Richtig. ;)

Wenn ich das jetzt richtig gelesen habe, dann sollte doch der Inhalt dieser reg-Datei alles wieder löschen - oder? Die Untereinträge brauch ich ja nicht seperat mit Minus zu versehen, wenn ich das obere Element lösche.?

Genau, es reicht dieser Eintrag:

[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

Super, das mit dem Löschen schau ich mir gleich mal an! DANKE!!

 

Wenn ich die Einträge dann wieder gelöscht habe, dann verbindet sich der Rechner ganz normal wieder über das Windows-Update - oder?

Richtig.

Nochwas: Kann ich die erstellte reg-Datei auf alle Betriebsystems anwenden oder gibt es eine Einschränkung?

Auf alle aktuellen Betriebssysteme kannst Du die Regdatei anwenden. Einschränkungen gibts möglicherweise bei W9x oder ähnlich altes.

Windows Server 2003

Clients mit Windows 7 Enterprise

 

Die User haben keine Admin-Berechtigungen auf den Rechnern.

 

Problem:

Täglich gibt es Updates von Programmen wie Firefox, Adobe Reader, Java...

Nun können sich die User diese aber nicht selbst installieren, sondern es muss dafür ein Admin-Kennwort eingegeben werden.

Stell die Updates via LUP und WSUS zur Verfügung. Das ist in ca. 30 Minuten komplett eingerichtet und funktioniert zuverlässig. http://www.mcseboard.de/windows-forum-security-47/erfahrungen-secunia-csi-5-0-a-181863.html#post1120867

Für MS Patches arbeiten wir mit dem WSUS, laut Secunia kann man mit Hilfe von CSI auch Drittanbieter Patches über den WSUS verteilen. Funktioniert das gut?

Mit Hilfe vom Local Update Publisher kannst Du auch fremde Software über den WSUS bereitstellen. Deployment von MSP-Updates über WSUS: Teil 1 (Konfiguration) | How the ESCde does IT

Deployment von MSP-Updates über WSUS: Teil 2 (Paketerstellung für Adobe Reader X) | How the ESCde does IT

Beim zweiten Teil beachte den Kommentar ganz unten bezüglich des WSUS.

Wenn ich das Skript als Logoutskript laufen lasse, wird interessanterweiße der richtige Name (der Clientname des Remotebenutzers) ausgegeben.

Dann geht der Login wohl zu schnell. Bau doch zum testen eine Pause ins Script ein. Bei 20 Sekunden beginnen und dann nach unten arbeiten. Ich weiß, ist keine Lösung, aber evtl. ein Würgaround.

Du könntest es mit der PSEXEC.EXE von MS versuchen.

Ah danke schön, also einfach diesen Inhalt WSUS.DE - AU-Client Registry Key in einer reg-Datei speichern und ausführen (natürlich noch die eigenen Infos eingeben)?

Richtig.

Ich brauche das dann nur temporär, wie bekomme ich dann später die Einträge wieder aus der reg-Datei heraus? Muss das händisch erfolgen oder kann ich da auch eine reg-Datei schreiben?

Du kannst entweder alles manuell wieder löschen, oder Du erstellst dir eine zweite Regdatei zum löschen der Einträge. In diesem Artikel weiter unten findest Du die exakte Syntax dazu: Mithilfe von.reg-Dateien (Dateien von Registrierungseinträgen) Registrierungsunterschlüssel und Werte hinzufügen, ändern oder löschen