WSUS - GPO verweigert

[tester78 10]

Hallo ( GPO siehe JPG im Anhang)

 

ich möchte eine funktionierende WSUS GPo auf Domänenebene haben.

 

Wenn ich aber die Authentifizierten Benutzer in der Sicherheitsfilterung (Gruppenrichtlinie übernehmen) NICHT hinzugefügt habe, erhalte ich:

 

 

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

Default Domain Policy

 

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.

----------------------------------------------------------------------

Richtlinien der lokalen Gruppe

Filterung: Nicht angewendet (Leer)

 

WSUS

Filterung: Verweigert (Sicherheit)

 

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen

----------------------------------------------------------

Domänen-Benutzer

Jeder

Benutzer

Administratoren

INTERAKTIV

KONSOLENANMELDUNG

Authentifizierte Benutzer

Diese Organisation

LOKAL

Domänen-Admins

Organisations-Admins

 

Erst wenn ich die Authentifizierten Benutzer hinzugefügt habe, gibt es das an meinem PC:

 

 

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

Default Domain Policy

WSUS

 

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.

----------------------------------------------------------------------

Richtlinien der lokalen Gruppe

Filterung: Nicht angewendet (Leer)

 

Der Computer ist Mitglied der folgenden Sicherheitsgruppen

----------------------------------------------------------

Administratoren

Jeder

Benutzer

NETZWERK

Authentifizierte Benutzer

 

Scheinbar habe ich einen grundsätzlichen Fehler in meiner GPO.

 

Wer hat eine Idee?

 

Vielen Dank

[Sunny61 773]

ich möchte eine funktionierende WSUS GPo auf Domänenebene haben.

 

Schlechte Idee. Du hast Server und Clients, die sollten aber nicht die komplett gleichen Einstellungen für den WSUS bekommen.

 

Wenn ich aber die Authentifizierten Benutzer in der Sicherheitsfilterung (Gruppenrichtlinie übernehmen) NICHT hinzugefügt habe, erhalte ich:

 

Erstell 2 GPOs, eine für die Clients und eine für die Server. Dann kannst Du die Authentifizierten Benutzer drin lassen. Dafür verlinkst Du die GPO nur auf die erforderlichen OUs.

 

Hast Du nur Computer- oder auch Benutzereinstellungen konfiguriert?

[tester78 10]

Für mich ist es aber ok wenn Client und Server die gleichen EInstellungen bekommen.

 

Ich habe nur die COmputereinstellungen für Windows Update konfiguriert.

 

Ist es also zwingend notwendig 2 GPOs zu erstellen und die Authentifizierten Benutzer drinne zu lassen?

 

Wenn ich 2 GPOs erstelle, müssen dann in beiden die Authentifizierten enthalten sein, oder nur in einer (in welcher?) ?

 

Edit. Also ich verstehe nicht was bei der Sicherheitsfilterung und der Delegierung eingetragen sein muss.

 

Also bei der Sicherheitsfilterung gehen auch nur "Authentifizierte Benutzer"?

Weil eigentlich sind die Windows Update Einstellungen doch keine Benutzerkonfiguration sondern Computerkonfigurationen :confused:

bearbeitet 14. April 2011 von tester78

[tester78 10]

Ich habe es jetzt einmal so eingerichtet, was ist daran falsch?:

 

 

Uploaded with ImageShack.us

 

Bin ich nur zu ungeduldig bis sich alle PCs die richtige Richtlinie ziehen?

Weil über die GPO Gruppenrichtlinienfunktion haben manche PCs die richtigen Windows Update einstellungen aber viele auch nicht!

 

Es gab vor einem halben jahr schonmal einen WSUS Server mit einer eigenen GPO und viele PCs haben jetzt immer noch diese GPO/Windows Update Einstellungen:o

[Sunny61 773]

Für mich ist es aber ok wenn Client und Server die gleichen EInstellungen bekommen.

 

Nein, ist es nicht. Du weißt es nur noch nicht. ;)

 

Ich habe nur die COmputereinstellungen für Windows Update konfiguriert.

 

Ist es also zwingend notwendig 2 GPOs zu erstellen und die Authentifizierten Benutzer drinne zu lassen?

 

Wenn Du die Authentifizierten Benutzer in der Sicherheitsfilterung rausnimmst, müssen natürlich Gruppen oder Computer rein. Und die Clients müssen im Verwaltungsbereich der GPO liegen, die Gruppen können an einem anderen Ort liegen.

 

Wenn ich 2 GPOs erstelle, müssen dann in beiden die Authentifizierten enthalten sein, oder nur in einer (in welcher?) ?

 

Siehe oben.

 

Edit. Also ich verstehe nicht was bei der Sicherheitsfilterung und der Delegierung eingetragen sein muss.

 

Weshalb schraubst Du dann daran herum? Lass in der Delegierung einfach alles beim Standard, wenn es unbedingt sein muß, dann arbeite mit Gruppen bei der Sicherheitsfilterung.

 

Also bei der Sicherheitsfilterung gehen auch nur "Authentifizierte Benutzer"?

Weil eigentlich sind die Windows Update Einstellungen doch keine Benutzerkonfiguration sondern Computerkonfigurationen :confused:

 

In den Authentifizierten Benutzern sind die Computerkonten auch enthalten.

[Sunny61 773]

Ich habe es jetzt einmal so eingerichtet, was ist daran falsch?:

 

 

Wenn die GPO nicht auf Benutzerkonten wirkt, dann kannst Du dir die Einstellung im Objektstatus auch sparen. Das sind alles Stolpersteine, lass es so einfach wie möglich.

 

Bin ich nur zu ungeduldig bis sich alle PCs die richtige Richtlinie ziehen?

 

Das weiß ich nicht. Wie lange wartest Du denn? Was machst Du wenn es eilt? Wieviele DCs hast Du an dem Standort im Einsatz? Weißt du wie lange es dauert, bis sich ein Client die GPOs erneut holt?

 

Weil über die GPO Gruppenrichtlinienfunktion haben manche PCs die richtigen Windows Update einstellungen aber viele auch nicht!

 

Und was sagen die Eventlogs auf den Clients?

 

Es gab vor einem halben jahr schonmal einen WSUS Server mit einer eigenen GPO und viele PCs haben jetzt immer noch diese GPO/Windows Update Einstellungen:o

 

Das ist nicht gut. Dir fehlt wohl noch etwas Grundlagenwissen. Schau dich zusätzlich bei Mark um: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Dort findest Du sicherlich viele Erklärungen und Hilfen.