Sunny61

Weshalb nehmen Firmenrechner am Windows Insider Programm teil? Das ist IMO sehr kontraproduktiv. Es gibt auch noch die Möglichkeit, den Zugriff auf WU komplett auszublenden. Ist eine Computer Einstellung innerhalb von WU. In einem deiner zahllosen Screenshots, die mich persönlich nerven, solltest Du didie dritte Option zum Neustart wegkriegen. Hast Du wirklich alle Einstellungen per GPMC.MSC konfiguriert oder arbeitest Du auch mit GPEDIT.MSC und in der WU-GUI? Hast Du angegeben, dass innerhalb der Nutzungszeit NICHT neu gestartet werden soll? Hast Du das GPO inzwischen komplett mit aktuellen Templates neu erstellt?

Ist die 1909 denn schon in deinem WSUS angekommen? Falls ja, ist die 1909 denn auch schon freigegeben? Falls ja, ist die 1909 auch schon gedownloadet?

BTW: Der SQL Server sollte unbedingt aktualisiert werden. Das letzte CU installieren: https://buildnumbers.wordpress.com/sqlserver/#SQLvNext

Lass das Script doch mal anzeigen, dann siehst Du gleich ob es wirklich das Script ist.

Scripte lokal ablegen und im Script zu Beginn prüfen ob das AD erreichbar ist. Die lokalen Scripte starten dann immer, weil sie ja erreichbar sind. Wenn das AD nicht erreichbar ist, abbruch, fertig.

Nutzungszeit nennt sich die Einstellung. Das hast Du jetzt schon zum dritten Mal gehört. Stell eine Nutzungszeit ein. Wie viele Stunden soll der PC denn in einem undefinierten Zustand verharren? Und wenn User nicht gespeicherten Inhalt auf dem PC haben, ist das nicht dein bzw. des Admins Problem. Jeder User ist verantwortlich für sein Tun. Man kann auch per GPO einen Fake-WSUS angeben, da muss man nicht hinlaufen und das manuell einstellen. Du kannst mit jedem Zustand leben, deine User machen dir das Leben schwer. :) Und ja, es kann natürlich auch passieren, dass so ein Client, warum auch immer, plötzlich mal neu startet. Pech gehabt. Und MSFT ändert sehr gerne mit jeder Build die Art und Weise wie mit Updates umgegangen wird. Aus Sicht der IT-Sicherheit ist das, was Du machst, hochgradig fahrlässig. Solange kein Reboot nach dem Update stattfindet, ist es genauso als wäre das Update nicht installiert.

Dann darfst Du das nicht versuchen mit GPOs zu regeln. Weshalb installierst Du Updates, wenn der Client nicht gestartet werden darf? Wasch mich, aber mach mich nicht nass. So liest sicht das für mich. Gib den Cliens einfach einen Fake-WSUS an den es nicht gibt, dann ziehen sie keine Updates und können auch nicht versehentlich neu starten. BTW: 2 Tage nach der Installation der Updates wird neu gestartet, ob Du willst oder nicht. MSFT ist es egal was du willst, sie wollen einen Reboot nach der Installation. Und nur das zählt für MSFT. Da Du keine Nutzungszeit angegeben hast, in der anderen Einstellung, zieht diese Einstellung natürlich nicht.

Das steht in den GPO-Beschreibungen exakt so drin? Kann ich mir beim besten Willen nicht vorstellen. Nutzungszeit angeben und die Zeit angeben, in der der Client neu gestartet werden darf.

In der Regsitry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate findest Du die Einstellungen, die dafür verantwortlich sein können. Es gibt auch noch in HKCU Einstellungen, die machen aber IMO nichts in Sachen Reboot. Es kann natürlich auch noch jemand mit einem Script oder per GPP eine Regdatei importieren. Du hast im GPO keine Nutzungszeiten definiert. Und wenn Du Nutzungszeiten defeiniert hast, kannst Du Zeiten für den Reboot einstellen. Wenn die im ADMX Template nicht vorhanden sind, dann sind die Templates nicht aktuell. Oder du nimmst dir einen W10 1909 Client, installierst die RSAT-Tools und bearbeitest von dort aus das GPO für die 1909 Clients. Grundsätzlich musst Du dich von den Einstellungsmöglichkeiten wie bei W7 verabschieden, diese Möglichkeiten gibt es nicht mehr in der Art.

Das mit TAB hat nichts mit der PS zu tun, geht auch in der Commandline. In der PS gibst Du start-p ein und drückst die TAB-Taste. Gibt es eine Auswahl, wird die durch weiteres Drücken der TAB-Taste durchlaufen. Dann das - eingeben und die TAB-Taste drücken, mit jedem drücken der TAB-Taste wird eine weitere Option angegeben. Und gib den Pfad zur Powershell.exe vollständig an. Auch hier kann man mit der TAB-Taste arbeiten C:\wind TAB-Taste drücken, \ eingebeben, die ersten Buchstaben des Verzeichnisses angeben und TAB-Taste. Und schau dir die Doku von MSFT an, die ich verlinkt hatte. BTW: Das Beispiel aus dem Blog funktioniert bei dir lokal? Probier es immer zuerst lokal und das Ergebnis sichtbar ausgeben lassen.

Nö, geht in einem Rutsch. Rechtslick auf den Ordner > Erweitert > Besitz übernehmen > neuen Besitzer auswählen, jetzt sofort oben einen Haken setzen und unten die Vererbung unterbrechen. Mit OK bestätigen und erneut öffnen.

Es fehlt zu Beginn das - vor Filepath: Start-Process -filepath. An der Stelle IMMER mit der Tabtaste arbeiten, hilft ungemein. Wenn keine automatische Vervollständigung stattfindet, stimmt etwas nicht. Du weißt wie das geht? Steht alles auch so in der Doku: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/start-process?view=powershell-7 Es ist immer sehr hilfreich so ein Script auch lokal laufen zu lassen, man sieht gleich ob es funktioniert, dann erweitern, Stück für Stück. BTW: In welchem Blog hast Du die Anleitung gefunden? Es ändert sich immer wieder etwas, deshalb ist es fast besser, zu Beginn die Doku des Herstellers zu nutzen.

Besitz übernehmen.

Danke für das Script, jetzt nur den Code noch anonymisieren. ;)

[OT] Ein früherer Kollege hat immer LTP anstatt LPT gesagt und geschrieben. :) [/ot]

Dort gibt es ihn nur, wenn sich mit diesem User schon mal jemand angemeldet hat.

Du kannst einen geplantet Task mit dem o.g. Tool einrichten. Als SYSTEM laufen lassen und alle Profile löschen lassen, die älter 10 Tage sind, oder ähnliches.

Danke für die Korrektur, das ist schon zu lange her, als ich es noch auf dem Schirm hatte. Die gen. sind wohl keine echten Policies, denn dann, so hatte ich das mal gelernt, verschwindet alles aus dem GPO vom Client.

Normalerweise verschwindet das GPO sobald sie gelöscht wird, sofern es sich um echte Policies handelt. Und die SW-Installation für Computer und User ist eine echte Policy, sollte also auch auf den Rechnern verschwinden. Setz dich an so einen Rechner hin und mach als angemeldeter User ein gpupdate /target:user [ENTER]. Reboot und neu anmelden, kommt immer noch eine FM? Du kannst übrigens auch in der GPMC die GUIDs sehen, linke Seite auf alle Gruppenrichtlinienobjekte klicken > rechts dann auf Details. Hier ist die GUID zu finden.

Diese GUID solltest Du im SYSVOL Ordner finden. Du kannst auch mal via Win+R ein RSOP.MSC aufrufen. Usereinstellungen reichen an der Stelle.

@casi4712 Wie genau lautet die Anforderung, die Du bekommen hast? Nicht deine Batch, sondern die Anforderung für diese Aufgabe. Möglicherweise lässt sich das viel einfacher lösen, wenn man die Anforderung kennen würde. Am AD kann man alle Rechner einfach per PS auslesen und mit diesen Namen arbeiten, dafür muss ich mich nicht über eine IP-Range mit allen Rechnern verbinden.

Da muss es auch einen Name des GPO geben, in dem Du die Software Installation findest. Die Meldung ist recht eindeutig, das MSI bzw. die Software ist nicht mehr an der Stelle, auf die im GPO verwiesen wird.

Also wird die Software unter Benutzern installiert, nicht beim Start des Rechners, sondern erst NACH der Anmeldung. Ist das so richtig? Falls ja, solltest Du das mit Hilfe von GPRESULT /H GPRESULT.HTML in einer Commandline herausbekommen. Schau dir das HTML an.

Es gibt doch Logdateien für fehlgeschlagenen Upgrades, danach suchen und lesen, dann solltest Du Details finden. Grundsätzlich gilt: BIOS aktualisieren, Treiber manuell aktualisieren, sauberen Reboot und erneut probieren.

GPEDIT.MSC ausführen und dort nachsehen. Sind Tools vom Hersteller des Rechners installiert? Falls ja, dort mal nachschauen.