horstix 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Hallo allerseits, da dies mein erster Beitrag ist, möchte ich alle erstmal Begrüßen und hoffe das die Frage nicht schon zu oft gestellt worden ist, leider habe ich auf die schnelle (gebe es zu) nicht wirklich das gefunden, was mir weiterhelfen würde. Ich arbeite in einem Unternehmen als Junior Administrator und habe den Aufgabenbereich der Windows Updates übernommen, wobei ein WSUS Server in Einsatz ist. Jedoch wurde dieser bisher nicht wirklich pfleglich behandelt und ich versuche mich gerade durch die ganzen einzelnen Richtlinien zu wühlen, welche angelegt worden sind. Dabei habe ich so ein – zwei Dinge erfahren die bisher Schiefgelaufen sind und auch haben sich bei mir Verständnisfragen gebildet. Ich versuche dass mal in Punkten zu definieren, ist bestimmt einfacher als ein Kompletter Text. 1. WSUS Gruppenrichtlinien, wie viele machen sinn, was sollte ein Update bekommen. Also, damit im WSUS eine Gruppe Updates bekommen kann wird ja im WSUS eine Gruppe definiert, diese wird dann unter einer Gruppenrichtlinie in einer OU Verwaltet bzw. Konfiguriert. Frage: Wie viele Richtlinien machen da Sinn, den eigentlich (soweit ich es sehe) nimmt man da doch immer dieselben Einstellungen, da reicht doch dann eine Richtlinie die man in verschiedenen OUs platziert, oder? 2. WSUS Automatische Updates bei Servern Wir haben hier diverse OUs wo Server verschiedenster Arten enthalten sind (W2K – XP). Sollten diese auch mit einer Richtlinie versehen werden? (Denke ja) Aber wie sollte man dann im WSUS die Richtlinien für das Update dieser Gruppe definieren, das die Produktivsysteme nicht einfach mal durchbooten oder gar sich ganz weghängen (soll ja Updates geben, die nicht so ganz koscher sind ;) ) 3. WSUS Automaische Updates bei den Client PCs der Mitarbeiter Diese sollen der Automatischen Updates immer auf dem neuesten Stand sein, jedoch haben die Mitarbeiter nur Benutzerrechte, als mal versucht worden ist, den WSUS auf diese OU anzuwenden, haben sich wohl Updates installiert und hinterher musste sich überall der Administrator anmelden, damit die EULA wieder bestätigt werden konnte… Das ist natürlich bei 300 PCs ziemlich bescheiden, wie kann man das umgehen, beziehungsweise so Planen das es dazu nicht kommt. 4. WSUS Gruppen Wie viele Gruppen sollte man in der WSUS Oberfläche anlegen, bzw. Konfigurieren (Server und Clients getrennt, oder noch weiter auseinander bröseln… Abteilungen etc) Vielen Dank für eure Hilfe und mühen die Ihr mir entgegenstreckt, den ich hänge hierbei so ziemlich in den Seilen…. Grüße Horstix ;) Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 2. WSUS Automatische Updates bei Servern erst mal hierzu ein Hinweis: Ich würde "scharfe" Server niemals über einen WSUS/SUS updaten!!! Hier besteht die Gefahr, dass Update evtl. nicht kompatibel mit installierten Programmen sind oder einfach noch mehr Fehler verursachen! Server immer erst in einer Testumgebung patchen; wenn hier alles funktioniert können die Updates manuell installiert werden. Zitieren Link zu diesem Kommentar
JustinXiang 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Hallo Horstix! Also ich hab einen WSUS bei uns in der Firma im Einsatz und ich habe die Gruppen im WSUS so definiert, das die einzelenen Abteilungen abgebildet sind! Grund dafür ist das ich dann nur eine Gruppenrichtlinie für die komplette Firma brauche(ausgenommen der Server), aber es bekommen nicht alle Clients gleichzeitig die Updates! Das heißt dort wo es sensible Daten gibt bin ich vorsichtiger mit den Updates als bei uns im Lager! Denn wenn dort mal das SAP weil ein nicht koscherer Patch eingespielt wurde nicht funkt auf den PC's so habe ich das Problem nur in einer Abteilung und nicht gleich in der ganzen Firma! Bei den Server fahre ich die Updates noch immer von Hand! Sie holen sich zwar die Updates vom WSUS aber den Installationszeitpunkt gebe ich an, damit ich nicht das Problem habe das sich vielleicht dienste verabschieden, die ich unbedingt brauche! Abgesehen davon habe ich 2x in der woche ein Wartungsfenster in denen ich mit meinen Servern machen kann was ich will! Zu den Problem mit dem Rechten habe ich derzeit leider keine Idee für dich! Werd aber mal ein bisschen rumspielen und schauen ob ich für dich was rausfinde! Möglicherweise hat aber jemand schon eine Lösung für das Problem! Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Hi und willkommen an Board :) Zu Deinen Fragen: 1. WSUS Gruppenrichtlinien: Wir haben 2 Richtlinien. 1 Für Client Computer, 1 für Server. 2. Updates bei Servern Für Server haben wir die Option 3 ausgewähnt (automatisches Downloaden, manuelles Installieren). Diese Richtlinie haben wir an die Domain Controllers OU und an alle Server-OUs gelinkt. Wobei es hier eine Unter-OU gibt, in der die Pilot-Server gelistet sind. 3. Updates bei Client PC Hier haben wir die Option 4 ausgewählt. Automatisches Downloaden und automatisches Installieren. Das klappt aber auch nur, wenn die User auf ihren Client PCs keine Admins sind (bemühe hier zu noch mal die Boardsuche). Ansonsten wie unter 2. 4. Computergruppen in WSUS: Siehe auch meine Antwort zu 1. Wir haben in WSUS eine Computer-Gruppe erstellt, in der alle Computer (Clients und weniger kritische Servers) Mitglied sind, die Patches als Pilot-Gruppe erhalten sollen. 2 Wochen später bekommen alle anderen auch die Patches, sofern sich keine Probleme ergeben haben. Bei hochkritischen Patches wird dieser Testzeitraum auch schon mal verkürzt (auf bis zu 1-2 Tage). Hoffe, dass das erstmal die Fragen beantwortet. Gruß Christoph Zitieren Link zu diesem Kommentar
Loki-123 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Hi, Zum Punkt eins: Wir haben lediglich eine Gruppenrichtlinie für alle Clients. Die Server erhalten keine WSUS-Updates. Die installieren wir lieber von Hand am Wochenende ;) Zum Punkt zwei: Wie schon bei Punkt eins geschrieben: Kein WSUS bei Servern und "unternehmemskritischen" Systemen! Zum Punkt drei: Du kannst in den Gruppenrichtlinien festlegen, dass auch Nicht-Administratoren Windows-Updates installieren dürfen. Normalerweise musst Du die Eulas direkt beim freigeben zur Installation auf dem WSUS bestätigen. Bei den Clients sollte die Abfrage dann eigentlich nicht mehr kommen Zum Punkt vier: Als,o ich habe für jede Abteilung bei uns eine Gruppe angelegt. Aber ich denke, es ist Geschmackssache. Gibt Leute, die nur zwei Gruppen benutzen: Echtumgebung und Test-Umgebung. Hat den Vorteil, dass man neue Updates erst der Test-Umgebung vorwirft und wenn dort alles fehlerfrei weiterläuft die Updates in die Gruppe Echtumgebung zum Installieren freigibt. Gruß, Thomas Zitieren Link zu diesem Kommentar
horstix 10 Geschrieben 31. Oktober 2006 Autor Melden Teilen Geschrieben 31. Oktober 2006 Hallo zusammen erstmal vielen Dank für die ersten Hilfestellungen, ich habe folgende Änderungen bzw. Vorbereitungen getroffen: alle alten Gruppen lasse ich stehen und versuche nach und nach die Richtlinien zu ändern. Folgende neue Gruppen habe ich zum Test angelegt 01. xyz xyz: 0 01. xyz xyz Pilot: 0 xyz: ist ein Platzhalter des Abteilungsnamens / der Gruppe In Pilot habe ich die Richtlinie so Konfiguriert, das dort erstmal zwei PCs hin verschoben wurden, diese sollen als Testobjekt dienen (später mehr, denke mal so 6-10). Nach dem nächsten Neustart sollten die PCs sich also die neue Richtlinie schnappen :-) - Die Automatischen Updates werden automatisch installiert, aber nicht neu gestartet. Wie kann ich jetzt im WSUS die Updates so Freigeben, das die Eula nicht mehr angenommen werden muss? Bis dahin, Morgen mache ich damit weiter.... sofern Murphy mich lässt und die PCs im WSUS auftauchen... --> EDIT: 16:02 Habe doch Heute noch ein wenig gemacht, und kann sehen das die PCs nun im WSUS stehen, jedoch möchte ich das dies Arbietplätze die keine Administrator rechte haben, ganz sichergehen das nicht irgendwo ne EULA oder so abgefragt wird... Jedoch finde ich diesen Punkt nicht im WSUS, das man diese Allgemein schon bestätigen kann... Muss man das bei den einzellnen Updates einstellen? Müssen eigentlich alle Updates einzeln geprüft und freigegeben werden, oder gibt es da richtlinien, das man ohne zu prüfen gewisse dinge auf jeden Fall automatisch installieren lassen könnte? Danke - horstix Zitieren Link zu diesem Kommentar
horstix 10 Geschrieben 9. November 2006 Autor Melden Teilen Geschrieben 9. November 2006 Guten Morgen zusammen, so langsam habe ich das WSUS prinzip verstanden, finde aber doch, das sich Microsoft ein wenig mehr mühe bei der Umsetzung geben können... Ist für den Anfänger ziemlich verwirrend was die mit "Zum Installieren genehmigen" bzw. den ganzen Klassifizierungen meinen. Deswegen noch mal meine Frage an euch WSUSler ;) : Der WSUS schlägt mir ja vor, das bestimmte Updates für das System erforderlich sind, wovon geht er da aus? Bzw. sollten diese Updates auch installiert werden, wenn Beispielweise gar kein Outlook Express auf dem PC im Einsatz ist? --> Er sagt ja, ist für den Client/Server erforderlich... Auch würde ich gerne wissen, wie man die Klassifizierungen zu verstehen hat. Bzw. was macht überhaupt Sinn und wie sollte man diese zur Installation freigeben (alles von Hand, oder Sicherheitsupdates ruhig automatisch zur Installation freigeben...) Definitionsupdates, Service Packs, Sicherheitsupdates, Tools, Update-Rollups, Updates, Wichtige Updates Also ich meine sind nun Wichtige Updates "wichtig" für mich, oder doch die Sicherheitsupdates (finde beides nicht ganz unwichtig vom Begriff her...). Eine Beschreibung welche Klassifizierung was ist, wäre also hier nicht schelcht aufgehoben :-) Edit: zusätzlich stellt sich mir gerade noch eine Frage: kann man diese Updates alle ablehnen? Da ja ein anderes vorrang hat (neuer ist?): Ein anderes Update hat vor diesem Update Vorrang. Es wird empfohlen, dass Sie das vorrangige Update genehmigen und sich vergewissern, dass die untergeordneten Updates für keine Computer mehr erforderlich sind, bevor Sie das vorrangige Update ablehnen. Weitere Informationen erhalten Sie unter Updates werden genehmigt Danke und Gruß horstix Zitieren Link zu diesem Kommentar
horstix 10 Geschrieben 10. November 2006 Autor Melden Teilen Geschrieben 10. November 2006 Guten Abend allerseits, da ich noch keine Rückmeldung habe und nicht hoffe das mir niemand helfen kann :rolleyes: Wollte ich noch mal Erinnern, das hier jemand ist der bezüglich des WSUS echt auf dem schlauch steht, den ich habe jetzt mal zum Test einige Updates freigegeben und siehe da der Client in der Firma wollte vom Benutzer unter anderem eine Eula bestätigung :schreck: Da die Clients keine Adminrechte haben, können die diese auch nicht dauerhaft bestätigen... Im WSUS habe ich keinen "Schalter" gefunden das ich die Eula genehmigen will.... Hilfe ruft und Danke sagt horstix Zitieren Link zu diesem Kommentar
Anakim 10 Geschrieben 11. November 2006 Melden Teilen Geschrieben 11. November 2006 Zu deiner EULA Frage, wenn du Updates in WSUS freigibst, die eine EULA Bestätigung benötigen, dann musst du diese im WSUS machen. Die EULA poppt dann auf und diese Eingabe wird dann natürlich an die Updates weitergeben. Der Eintrag das nicht Admin Updates installieren können ist natürlich auch Voraussetzung. Hoffe das hilft dir weiter Grüße Anakim Zitieren Link zu diesem Kommentar
horstix 10 Geschrieben 17. Januar 2007 Autor Melden Teilen Geschrieben 17. Januar 2007 Hallo zusammen, nach einer Umstrukturierung im Hause, wurde ich eine Zeit lang vom WSUS befreit, jedoch kommt das Thema jetzt ganz aktuell wieder auf mich zu.... Viele Antworten konnte ich verarbeiten, so dass ich mich im WSUS mittlerweile ein wenig besser zu Recht finde… Leider habe ich immer noch ein offenes Problem, welches ich wohl ohne anderweitige Hilfe von außen nicht gelöst bekomme Es geht um die EULA Ich habe in einem Pilotprojekt, alle Updates freigeschaltet, welche für die Clients relevant wären, das hat super funktioniert und die Updates wurden auch installiert. Leider haben genau diese Clients jetzt das Problem, das bei jedem start des Word, Excel etc. die EULA abgefragt wird… obwohl ich beim WSUS für den entsprechenden Eintrag „EULA akzeptieren“ ausgewählt habe. Habe ich einen Gedankenfehler? Wenn ich doch in der WSUS Oberfläche die EULA akzeptiere, mache ich dies doch stellvertretend für alle Clients, die dieses Update bekommen sollen?! @EDIT: Zusätzlich habe ich gerade die Rückmeldung von einigen "Pilotusern" bekommen, das jetzt ein PopUp Window bei denen erscheint, das der Vorgang zum Update fast abgeschlossen ist und der Computer neugestartet werden soll. Dies ist sehr problematisch imk laufenden Betrieb und stört... (Später neu starten ist ausgegraut) kann man diese Meldung deaktivieren? So das der Computer beim nächsten mal starten Änderung, was er haben will...? Gruß horstix Zitieren Link zu diesem Kommentar
horstix 10 Geschrieben 17. Januar 2007 Autor Melden Teilen Geschrieben 17. Januar 2007 Guten Abend noch mal zusammen, kennt den keiner diesen Konfigurationsfehler oder hat zumindest das selbe Problem mit der "Eula" Abfrage? Ich kann doch nicht an 300 Rechnern herumlaufen (auch Standortübergreifend) und mich wegen einer EULA als Admin anmelden :-/ Gruß horstix Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 17. Januar 2007 Melden Teilen Geschrieben 17. Januar 2007 @horstix Bist du dir wirklich sicher das du bei allen Updates die eine Eula Bestätigung erfordern, du auf dem Wsus Server der Eula zugestimmt hast ? --- > Denn die Bestätigungsfunktion der Eulas funktioniert sonst eigentlich problemlos Zu deiner 2 Frage nach dem Popup was kommt und du den Neustart verhindern willst ! Kannst du die Boardsuche benutzen. Wir hatten dies in letzter Zeit ein paar Mal behandelt. Wenn du dies nicht findest ? Dann melde dich wieder ! Zitieren Link zu diesem Kommentar
Squire 214 Geschrieben 18. Januar 2007 Melden Teilen Geschrieben 18. Januar 2007 Also Eula auf den Clients hab ich bei WSUS 2 bzw 3 noch nie gesehen ... die Eula wird in der WSUS Konsole abgenickt und das war es dann. Kann es sein, dass das IE7 war? Das erste Update über den WSUS hatte die EULA Abfrage drinnen - das hat MS aber ziemlich flott wieder zurückgezogen und eine modifizierte Version nachgeschoben Zitieren Link zu diesem Kommentar
horstix 10 Geschrieben 18. Januar 2007 Autor Melden Teilen Geschrieben 18. Januar 2007 Hallo zusammen, also das eine Problem lässt sich lösen indem die Updates nicht während des Betriebs, sondern erst beim "herunterfahren" des Rechner installiert werden. (Damit kann ich leben). Das Problem mit der Eula betrifft bei mir die Office Version, ich habe mal zwei Screenshot angehangen und hoffe wirklich das Ihr mir dabei weiterhelfen könnt, denn ich komme einfach nicht weiter. Im WSUS habe ich alles noch mal durchgesehen und es steht bei den EULA Richtlinien eigentlich immer das diese angenommen wurde... Bei folgendem Update "Titel: Office XP Service Pack 3" (ich denke es betrifft diesen) steht folgendes: Dem Endbenutzer-Lizenzvertrag (EULA) für dieses Update wurde zugestimmt. EULA anzeigen. Kann ich irgendwie am Client herrausfinden, welcher Patch die neue EULA annahme verlangt? Denn ich kann sonst nichts feststellen... Gruß horstix Zitieren Link zu diesem Kommentar
horstix 10 Geschrieben 19. Januar 2007 Autor Melden Teilen Geschrieben 19. Januar 2007 Guten Morgen zusammen, ist den wirklich keiner da, der mir bei diesem Problem helfen kann? Ich habe auch schon eine Anfrage nach Microsoft geschickt, jedoch blieb da meine Frage unbeantwortet... Gruß horstix Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.