MurdocX

Objekt sind kein Wunschkonzert. Da muss man im Zweifel schon nachschlagen. Die genannte „Version“ muss nicht zum Exchange passen, laut Microsoft Dokumentation. Heißt für Dich: Einfach stehen lassen was stand https://docs.microsoft.com/de-de/dotnet/api/microsoft.exchange.webservices.data.exchangeversion?view=exchange-ews-api

Ok, also einfach alle Updates. Dann ist die Größe kein Wunder. Ihr solltet nur Updates unter „Unapproved“ und „Needed“ in Kombination genehmigen!

Welche Updates werden genehmigt? Alle die Microsoft bereitstellt oder nur die die Clients auch Anfragen?

Auf einem Domaincontroller würde ich sowas nicht installieren wollen. Das wäre die Möglichkeit den DC von dem DMS zu trennen. Wenn die Last nicht bekannt ist, wie kann man dann eine geeignete CPU aussuchen? Garnicht Um welchen Hersteller geht es hier?

Haben die Benutzer rein Zufällig "Ändern" Berechtigung auf den Ordner? Das beinhaltet auch "Löschen" als Recht

Schon die Pfade an der Quelle kontrolliert? Also in der Registry.

Und was soll an der Richtlinie nicht funktionieren? "Remove" ist hier etwas missverständlich, denn der Store wird nicht im eigentlichen Sinne "entfernt", wie man hier denken würde, sondern nur deaktiviert. Mit der "Enterprise"-Edition kein Problem.

Welche denn? Das wage ich ja zu bezweifeln

Bisher noch nie Probleme mit dem Board gehabt. 0

Es schadet sicher auch nicht mal auf andere Umsetzungen, wie z.B. hier: https://www.prajwaldesai.com/deploy-software-updates-using-sccm-2012-r2/ zu schauen.

Den Timer steuert der Windows Update Client selber. Du kannst auch genauso 180 Minuten setzen, wenn du auf Nummer sicher gehen willst das alles installiert wurde. Alternativ hast du deine 2 Tage. Das halte ich eher für "zu ungeplant"

Mir erschließt sich gerade nicht die Sinnhaftigkeit. Ohne einen Neustart werden die Updates nicht angewendet. Dann kann ich auch gleich bis zum Wochenende die 6 Tage warten und initiiere den Neustart direkt danach. 6 Tage in einem inkonsistenten Zustand wäre mir persönlich zu heiß.

Der Server installiert Updates und wartet zwei Tage. Das ist die Standardeinstellung. Wenn der Server aber am Updatetag direkt den Neustart macht, dann passiert das nicht mehr unkontrolliert, sondern sofort. Das ist eine schlecht Idee. Lass den Server entscheiden wann die Updates komplett installiert wurden.

Dann erhelle ich Dich mit zwei Zitaten aus anderen Gruppenrichtlinien

Hier steht es ganz schön (englisch): https://social.technet.microsoft.com/Forums/en-US/ae7a347b-38f4-4391-bd2e-787e48a5a38b/suppress-reboot-for-software-updates?forum=configmanagersecurity "So, if you have both Workstations and Servers checked in the Suppress the system restart on the following devices section (screenshot below) then restarts will *never* be forced by ConfigMgr. " Setze noch "Neustart immer zur geplanten Zeit durchführen", wie oben schon geschrieben und deine Server machen am Wochenende den Neustart.

Setze in der GPO "Autom. Herunterladen und laut Zeitplant installieren = Samstag/Sonntag" und "Neustart immer zur geplanten Zeit durchführen = 15Min" setzen Vermeiden solltest du "Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind." Dann startet der Server auch nach den Updates durch.

Genau das steht in dem Artikel "Beim Booten muss man in die BIOS-Einstellungen gehen und dort die Option für den Secure Boot abschalten."

Richtig. Gateway prüfen schadet in keinem Fall :)

Wenn das nicht sauber konfiguriert wurde, dann hast du ein Tattoo bekommen. Heißt du musst das mit einer "Gegen-Richtlinie" wieder gerade ziehen. Deswegen hab ich auch gefragt :)

Probier mal diesen Workaround: https://www.borncity.com/blog/2017/11/09/defender-application-control-blockt-programmedownloads/

Hattest du die Ordnerumleitung mal zum "test" konfiguriert?

Stell die Update-Richtlinie über die Gruppenrichtlinien einfach auf "Manuell". Dann kannst du genau so das machen.

Manche Virenscanner hängen unten ihre Signatur dran wie z.B. "Geprüft durch Avast". Alles was den Inhalt der Mail verändert, bricht die Signatur. Das ist logisch und auch richtig so. Ich würde mal prüfen, ob eure Firewall/Gateway das signieren übernehmen kann.

Hier sollten alle relevanten Informationen drin stehen: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960/swvlan.html

"Uplink" sind die Verbindungen die den Switch zum Nächsten verlassen. Damit du das Vlan auch auf anderen nutzen kannst. Einfach erklärt: Nimm 2 komplett identische Autos. Du musst sie aber auseinander halten. Wie machst du das? Du machst einen Aufkleber drauf, dann klappts auch. Genau so ist das mit den Paketen auf Netzwerkebene. Deswegen "taggen". So lange du nur ein Auto hast, weißt du auch immer das es nur das eine sein kann. Also muss an einem Switchport auch immer nur, wenn es eins ist das vlan als "untagged" laufen. Ports: LWL-Uplink: Vlan 1,2,3,4 tagged Port-1: vlan 1 untagged Port-2: vlan 2 untagged Port-3: vlan 2 untagged Port-4: vlan 3 untagged So würde das als eine "einfache" Konfig auf einem Switch aussehen.