Dr.Tad

Vielen Dank nochmals, ich werde das mal die nächsten Tage mal anpacken und Feedback hier nochmal geben. Also bitte Thread noch net closen, da ich sicherlich nochmal Fragen haben werde :) Gruß Tad

Das mit dem VPN muss ich mal schauen, aber danke, wenn es geht werde ich das script einbauen lassen. Ja es handelt sich um eine Live-Umgebung. Wir benutzen hauptsächlich VMs: 1. Fileserver mit dem 2. DC, DHCP, DNS 2. Backupserver 3. SBS mit DC,DNS, DHCP, Exchange, WSUS 4. Terminalserver 5. Managementserver 6. Datenbankserver Achso, dann trage ich ich in den ersten GPO wirklich nur die Clients ein, die auch die Updates vom WSUS ziehen sollen? Dachte ich müsste die doppelt eintragen, und durch die 2. GPO wieder ausser Kraft setzen lassen.

Vielen Dank, jetzt hab ich im Großen und Ganzen verstanden wie der WSUS funktioniert und wozu er letzendlich dient. Wir benutzen Bintec als VPN-Lösung. Kann ich auf jedem Server quasi den 2. WSUS installieren? Wichtig war dann nur der Haken. Ich hab irgendwie noch nen "Gedankenfurz". Ich hab in meiner GPO-Verwaltung meine Domäne und darunter sind die ganzen GPOs. Für den 2. WSUS müsste ich ja einen neuen GPO anlegen, aber woher weisst er denn jetzt welche GPO jetzt ausschlaggebend für den Client ist ? Bsp.: xxx.lokal (Domäne) - 1. WSUS GPO (mit allen Clients) - 2. WSUS GPO (mit den auserwählten Clients als Sicherheitsfilter) i.d.R. sollte ja die erste Richtlinie in Kraft setzen und dann die 2. damit alles reibungslos funktioniert richtig?

Nur im nochmal alles klar zu stellen, nicht dass ich dich jetzt falsch verstanden habe. Alle Clients in meinem Netz holen sich die Genehmigung von meinem WSUS, welche Update sie installieren dürfen und welche nicht. Der 2. WSUS dient also quasi einfach nur, damit ich weiterhin entscheiden kann welche Updates relevant für die Außendienstmitarbeiter sind. Aber dennoch müssen sie sich doch regelmäßig bei diesem WSUS sich melden oder nicht? Damit sie eben wissen, was sie dürfen und was eben nicht für sie freigeschaltet wurde. Das war doch das Problem, ich möchte ja das die Clients die nicht regelmäßig in der Domäne sind...trotzdem immer aktuell bleiben. Aber sowie ich dich verstanden habe hilft ja kein weg drum herum, die Clients aktuell zu halten, gleichzeitig bestimmen zu können was sie für Updates ziehen oder nicht. Wenn ich dem Anwender per Sicherheitsfilter sage, zieh die Updates selber, du wirst nicht von unserem WSUS verwaltet, dann würde das nach meinen Vorstellung klappen, aber die Anwender hätten zu viel "Rechte". Schwere Geburt ich weiss :) Ja ich bin ja frisch fertig mit der Ausbildung und bin noch nicht so gewandert in Sachen GPO und WSUS etc. Vielen dank mit dem Hinweis mit dem Plenken, ist mir nie aufgefallen.

Also viele Dank für den Link, da bin ich etwas schlauer geworden. Mir sind jetzt 2 Fragen auf gekommen. 1. Warum muss ich einen 2. WSUS installieren ? Kann ich net einfach eine GPO erstellen und da definieren kein WSUS Update durchführen, so dass er aber trotzdem ein automatisches Update macht über den Client selber ? Ich hab es jetzt so verstanden das die Clients nur anhand des WSUS entscheiden können ob sie selber updaten sollen oder ob sie das Update vom WSUS bekommen. Wenn das richtig ist...wieso ist das so ? Mein Home PC macht doch auch ohne WSUS seine Updates. 2. Die Clients (Außendienstmitarbeiter) besitzen i.d.R. alle ein VPN Client...wenn sie sich einwählen per VPN...ziehen Sie sich dann die neuen Updates vom WSUS ? Oder muss da was zusätzlich konfiguriert werden ? Wenn das klappt dann wäre das einfacher als ein 2. WSUS aufsetzen ? Danke :)

Hallo ihr Lieben Ich habe mal eine Frage bezüglich Gruppenrichtlinien. Ich bin gerade erst frisch aus der Ausbildung, daher verzeiht mir meine Unwissenheit. Folgendes Problem: Ich habe eine Domäne xxxx.local und darunter laufen all die Gruppenrichtlinien. z.B.: -Default Domain Policy -Update Services Client Computers Policy -Update Services Common Settings Policy -Update Services Server Computers Policy Die drei rotmarkierten GPOs sind wahrscheinlich für den WSUS zuständig richtig Meine Frage ist, wir haben Mitarbeiter die sind nicht immer bei uns im Netz und ich möchte das bei diesen Mitarbeitern die GPO so eingestellt ist, dass sie sich nicht über den WSUS updaten sondern es unabhängig vom WSUS automatisch ziehen (sowie ein Standard home PC zu Hause), wie mach ich das ? Zur Zeit ziehen sich ja alle Clients diese GPO und dementsprechen ziehen sich die Clients die ausserhalb unserer Domäne arbeiten keine Updates, da sie ja keine Verbindung zu unserem Server haben. Ich wäre euch sehr dankbar, wenn ihr mir da weiterhelfen könntet! Gruß Tad