WSUS 3.0 & manuelle Installation

[Basti1983 10]

Hallo zusammen,

 

gibt es beim WSUS (Version 3.0, Clients über Gruppenrichtlinie eingebunden) die Möglichkeit das "UpdateSchild" auszublenden und lediglich die Option "Herunterfahren und Updates installieren" anzubieten?

Eine automatische Installation kommt nicht infrage, zu groß können die Wechselwirkungen sein wenn ein Update für ein geöffnetes Programm (z.B. IE) installiert wird. Zusätzlich könnte das "Updates installiert - neu starten?" für Verwirrung sorgen.

Die Installation morgends/abends um X Uhr kommt ebenfalls nicht Infrage da ich nie sicher sein kann das die Rechner alle an sind. WOL können leider nicht alle.

Also ist "Herunterfahren und Updates installieren" die einzigste Lösung...

 

 

Gruss,

Basti

[Sunny61 773]

Ja, Du kannst das Schild ausblenden. Am besten über die Benutzerrichtlinie:

 

Zugriff auf alle Windows Update Funktionen entfernen.

Damit werden die systemweiten Einträge auf Windows Update entfernt, z.B. im IE ist via das Menü Extras kein Eintrag zu Windows Update mehr vorhanden. Ebenfalls gibt es keine Benachrichtigung, also kein Symbol im Systray, für angemeldete Administratoren. Dies gilt natürlich nur für User, die auch im Verwaltungsbereich der Richtlinie liegen. Obwohl im Explain nicht explizit genannt, kann diese Richtlinie auch unter W2K erfolgreich eingesetzt werden.

[Basti1983 10]

Und du bist sicher das das so funktioniert?

 

So wie ich die Richtlinie verstehe wird der Zugriff komplett gesperrt, d.h. dürfte die "normale" WSUS-Richtlinie (inkl. Herunterfahren & Updates installieren) nicht mehr greifen?!?!

[Sunny61 773]

Ja, na klar geht das. Hast Du das Explain denn auch wikrlich richtig gelesen? Ich glaub nicht, steht doch ganz genau da!

 

Wenn Du mir nicht glaubst, dann teste es an einem Client mit dem passenden User. ;)

[Basti1983 10]

Ich teste es mal...

 

In der Beschreibung steht ja klipp und klar

If you enable this setting, all Windows Update features are removed.

d.h. was nicht vorhanden ist, kann auch nicht aktiviert werden?

[WSUSPraxis 48]

@Sunny61

 

Oft macht auch der Ton die Musik !

 

@Basti1983

 

An deiner Stelle würde ich trotzdem über eine andere Update Strategie nachdenken !

 

Eine automatische Installation kommt nicht infrage, zu groß können die Wechselwirkungen

sein wenn ein Update für ein geöffnetes Programm (z.B. IE) installiert wird. Wie kommst du zu dieser Annahme ?

[Basti1983 10]

In diesem Fall ist es eine Vermutung. Hatte bei div. Programmen schon öfters Probleme mit Updates wenn das Programm gestartet war.

 

Was passiert z.B. wenn ich ein IE Update einspiele wenn dieser noch geöffnet ist?

- funktioniert dieser weiterhin auch ohne neustart?

- Wechselwirkungen?

Dieses Szenario könnte man auf fast jede Applikation ausweiten. Was z.B. bei einem Outlook Service Pack?

[smartino 11]

In diesem Fall ist es eine Vermutung. Hatte bei div. Programmen schon öfters Probleme mit Updates wenn das Programm gestartet war.

 

Was passiert z.B. wenn ich ein IE Update einspiele wenn dieser noch geöffnet ist?

- funktioniert dieser weiterhin auch ohne neustart?

- Wechselwirkungen?

Dieses Szenario könnte man auf fast jede Applikation ausweiten. Was z.B. bei einem Outlook Service Pack?

 

ich arbeite mit WSUS seit der ersten Version. Probleme mit geöffneten Programmen, die upgedatet werden sind mir nicht bekannt. Unabhängig davon ist es natürlich ratsam, daß Du Dir verschiedene Gruppen in WSUS anlegst. Beispielsweise eine Gruppe für validierte PCs, die nicht geupdatet werden dürfen. Und natürlich eine Testgruppe, bei der Du Parches und insbesondere SPs erstmal ausgibig testest, bevor Du sie auf die "normalen" PCs losläßt.

 

In diesem Zusammenhang mußt Du Dir vor Einsatz von WSUS gründlich eine Update und Teststrategie überlegen, festlegen, welche Updates automatisch genehmigt werden sollen oder ob Du überhaupt diese Funktion einsetzen möchtest.

 

Wenn Du das alles beachtest, kann WSUS Dir eine ganze Menge Arbeit abnehmen und Dein Netz sicherer machen.

 

Viele Grüße

 

Thomas

[Basti1983 10]

Das ist klar, Testgruppen, verschiedene Untergruppen weil Anwendung X sich nicht mit Update Y verträgt usw.

 

Zum Thema Update-Installation bei geöffneten Programmen.

Aktuelles Beispiel:

Testgruppe mit 3 Arbeitsplätzen. Bei allen 3 ist Outlook geöffnet. Patchinstallation gestartet, schlägt jedoch fehl.

Microsoft Office 2003 Service Pack 3 (SP3) wird installiert (Update 1 von 5)... Fehlgeschlagen!

 

Deswegen meine Idee mit "Herunterfahren und Updates installieren"

[Sunny61 773]

@Sunny61

 

Oft macht auch der Ton die Musik !

 

Was genau gefällt dir nicht an meiner Antwort?

[Sunny61 773]

In der Beschreibung steht ja klipp und klar

If you enable this setting, all Windows Update features are removed.

d.h. was nicht vorhanden ist, kann auch nicht aktiviert werden?

 

Nein, das verstehst Du falsch. Es werden dabei nur die entsprechenden Links auf Windows Update entfern. Z.B. im IE > Extras > Windows Update. Das gibts dann nicht mehr.

 

Für den einwandfreien Betrieb Clients/WSUS ist u.a. der Dienst Automatische Updates und der Intelligente Hintergrundübertragungsdienst zuständig. Bei XP sollte auch der Krypthografiedienst laufen.

[Sunny61 773]

Aktuelles Beispiel:

Testgruppe mit 3 Arbeitsplätzen. Bei allen 3 ist Outlook geöffnet. Patchinstallation gestartet, schlägt jedoch fehl.

Microsoft Office 2003 Service Pack 3 (SP3) wird installiert (Update 1 von 5)... Fehlgeschlagen!

 

Deshalb installiere ich immer Servicepacks via GPO im AD. Hier kann ich den Zeitpunkt bestimmen, beim starten des Rechners. Die User werden frühzeitig informiert und normalerweise gibts dabei keine solchen Probleme.