Jump to content

Neustart Benachrichtigung für normale Benutzer entfernen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir haben bei uns den WSUS im EInsatz. Nun kam die Anforderung dass die Benachrichtigung "PC muss neugestartet werden" dem normalen Benutzer nicht angezeigt werden soll. Dieser soll von dem Updateprozess möglichst nichts mitbekommen.

 

Unter Benutzerkonfiguration --> Administrative Vorlagen --> Windows Komponenten --> Windows Update ist folgendes konfiguriert:

 

Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen 
[b][u]Aktiviert  [/u][/b]
Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen 
[b][u]Aktiviert  [/u][/b]
Zugriff auf alle Windows Update-Funktionen entfernen 
[b][u]Aktiviert[/u][/b]
Benachrichtigungen konfigurieren: 
[b][u]0 - Keine Benachrichtigungen anzeigen [/u][/b] 

 

Die erste Frage:

Werden mit diesen Einstellungen die Updates wie gewünscht im Hintergrund installiert und der Benutzer erhält keine Meldung dass etwas installiert wurde oder ein Neustart notwendig ist?

 

Die Gruppenrichtlinie haben wir dann auf eine OU angewandt in welche unsere normalen Benutzer liegen. In dieser OU liegen nur benutzerobjekte. Leider wird die GPO nicht angewandt und taucht auch mittels rsop.msc nicht auf.

Wenden wir die GPO auf die OUs mit den Computern an, dann sind die Einstellungen vorhanden. Problem dabei ist dass wir mit den Administrationsaccounts Zugriff auf die WSUS Funktionen brauchen um kurzfristig über die Befehlszeile Updates vom WSUS laden zu lassen (Administrationsaccounts sind in anderer OU als normale benutzer).

 

Meine Frage ist nun, warum? Es sind doch Benutzereinstellungen und sollten doch eigentlich auch auf Benutzerobjekte angewandt werden können.

Link zu diesem Kommentar

wir haben bei uns den WSUS im EInsatz. Nun kam die Anforderung dass die Benachrichtigung "PC muss neugestartet werden" dem normalen Benutzer nicht angezeigt werden soll. Dieser soll von dem Updateprozess möglichst nichts mitbekommen.

 

Die zweite Benutzereinstellung aus der Beispiel GPO suchst Du: http://www.wsus.de/images/WSUSGPO.png

 

Unter Benutzerkonfiguration --> Administrative Vorlagen --> Windows Komponenten --> Windows Update ist folgendes konfiguriert:

 

Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen 
[b][u]Aktiviert  [/u][/b]
Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen 
[b][u]Aktiviert  [/u][/b]
Zugriff auf alle Windows Update-Funktionen entfernen 
[b][u]Aktiviert[/u][/b]
Benachrichtigungen konfigurieren: 
[b][u]0 - Keine Benachrichtigungen anzeigen [/u][/b] 

 

Die erste Frage:

Werden mit diesen Einstellungen die Updates wie gewünscht im Hintergrund installiert und der Benutzer erhält keine Meldung dass etwas installiert wurde oder ein Neustart notwendig ist?

 

Richtig.

 

Die Gruppenrichtlinie haben wir dann auf eine OU angewandt in welche unsere normalen Benutzer liegen. In dieser OU liegen nur benutzerobjekte. Leider wird die GPO nicht angewandt und taucht auch mittels rsop.msc nicht auf.

Wenden wir die GPO auf die OUs mit den Computern an, dann sind die Einstellungen vorhanden. Problem dabei ist dass wir mit den Administrationsaccounts Zugriff auf die WSUS Funktionen brauchen um kurzfristig über die Befehlszeile Updates vom WSUS laden zu lassen (Administrationsaccounts sind in anderer OU als normale benutzer).

 

Meine Frage ist nun, warum? Es sind doch Benutzereinstellungen und sollten doch eigentlich auch auf Benutzerobjekte angewandt werden können.

 

Was ist sonst noch in der GPO eingestellt? Loopbackmode? Habt ihr sicher die Einstellungen auch nur im Benutzerteil konfiguriert?

Link zu diesem Kommentar

@sweigl

in der Sicherheitsfilterung sind nur "Authentifizierte Benutzer" enthalten.

Bei gpresult /v steht die Richtlinie nicht, sie taucht aber auch gar nicht auf (auch nicht bei angewendet).

 

@Sunny61

In der GPO ist kein Loopbackverarbeitungsmodul konfiguriert und es sind auch nur diese WSUS Einstellungen unter Benutzerkonfiguration gesetzt.

Link zu diesem Kommentar

@Sunny61

In der GPO ist kein Loopbackverarbeitungsmodul konfiguriert und es sind auch nur diese WSUS Einstellungen unter Benutzerkonfiguration gesetzt.

 

Dann muss die GPO greifen. Ist die Vererbung deaktiviert? In welcher OU liegen die Clients? Gibt es dort irgendwelche veränderten Einstellungen?

 

Erstelle eine neue leere OU, ohne irgendwelche Vererbungen oder Einstellungen direkt in der Root der Domain. Testbenutzerobjekte hinein, WSUs GPO verlinken und an einem Client anmelden. Funktioniert es jetzt? Wenn nein, verschieb doch auch den Testclient in die OU, gpupdate /force ausführen und zweimal neu starten. Jetzt anmelden. Fehlermeldungen im Eventlog auf dem Client? Habt ihr mehrere DCs im Einsatz? Wenn ja, wurde die GPO auch ordentlich auf alle DCs repliziert?

Link zu diesem Kommentar

Wenn der Client und der User in der OU mit der GPO liegen funktioniert es.

Aber sobald sich ein Admin anmeldet hat auch dieser keinen Zugriff auf die WSUS Funktionen.

 

Wenn wir die GPOs auf unsere bisherigen PCs anwenden, funktioniert es, aber Admins haben keinen Zugriff auf die WSUS Funktionen, obwohl die Admins nicht in der Benutzer-OU sind, auf welche die GPO angewendet wird.

 

Eigentlich sollte die GPO doch dann nur auf die Benutzerobjekte angewendet werden die in der OU liegen auf welche die GPO zeigt, oder? Warum muss ich diese GPO zusätzlich noch auf die Computerobjekte anwenden (wodurch scheinbar die Einstellungen für alle Benutzer gelten, die sich am PC anmelden), obwohl darin nur die Benutzerkonfiguration gesetzt ist?

Link zu diesem Kommentar
Wenn der Client und der User in der OU mit der GPO liegen funktioniert es.

Aber sobald sich ein Admin anmeldet hat auch dieser keinen Zugriff auf die WSUS Funktionen.

 

Was sagt ein RSOP.MSC? Bzw. ein gpresult /v auf der Commandline.

 

Wenn wir die GPOs auf unsere bisherigen PCs anwenden, funktioniert es, aber Admins haben keinen Zugriff auf die WSUS Funktionen, obwohl die Admins nicht in der Benutzer-OU sind, auf welche die GPO angewendet wird.

 

Da muss es etwas geben. Ist der Loopback Modus aktiviert?

 

Eigentlich sollte die GPO doch dann nur auf die Benutzerobjekte angewendet werden die in der OU liegen auf welche die GPO zeigt, oder?

 

Richtig.

 

Warum muss ich diese GPO zusätzlich noch auf die Computerobjekte anwenden (wodurch scheinbar die Einstellungen für alle Benutzer gelten, die sich am PC anmelden), obwohl darin nur die Benutzerkonfiguration gesetzt ist?

 

Loopback Modus macht das.

Link zu diesem Kommentar

Hallo,

 

ich poste hier mal das gpresult eines Testrechners:

 

Betriebssystemtyp:        Microsoft Windows XP Professional
Betriebssystemversion:   5.1.2600
Dom„nentyp:                 Windows 2000
Zwischengespeichertes Profil:             
Lokales Profil:               C:\Dokumente und Einstellungen\test_user_2
Langsame Verbindung? Nein

COMPUTEREINSTELLUNGEN
----------------------
CN=NB002,OU=WSUS-Test,OU=Domain Computers,DC=Augsburg,DC=sup
Zeit der letzten Gruppenrichtlinienanwendung: 19.04.2012 at 17:44:35
Gruppenrichtlinie wurde angewendet von: sup-dc01.Augsburg.sup

Angewendete Gruppenrichtlinienobjekte
   --------------------------------------
GPO-WSUS-Clients
Domain Computers
XP Systemwiederherstellung deaktivieren
GPO-Remotezugriff
GPO-Modemoptionen setzen
GPO-Windows-Search-4.0
GPO-Servergespeicherte-Profile
GPO-IE8
GPO-Office2010
GPO-Windows-MediaPlayer
GPO-Bildschirmsperrung
GPO-Domain-User
Windows Update Deaktivieren
GPO-Standardlaufwerke-verbinden
Default Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
   -----------------------------------------------------------------------GPO-Datevlaufwerk
           Filterung:  Nicht angewendet (Leer)

Richtlinien der lokalen Gruppe
           Filterung:  Nicht angewendet (Leer)

Der Computer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
       Administratoren
       Jeder
       SophosAdministrator
       SophosUser
       Benutzer
       NETZWERK
       Authentifizierte Benutzer
       NB002$
       X_Intranet
       Dom„nencomputer

BENUTZEREINSTELLUNGEN
----------------------
CN=test_user_2,OU=Intranet,OU=Domain Benutzer,DC=Augsburg,DC=sup
Zeit der letzten Gruppenrichtlinienanwendung: 19.04.2012 at 17:44:35
Gruppenrichtlinie wurde angewendet von: sup-dc01.Augsburg.sup

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
GPO-WSUS-Clients
Domain Computers
GPO-IE8
GPO-Office2010
GPO-Bildschirmsperrung
GPO-Domain-User
GPO-Standardlaufwerke-verbinden
GPO-Datevlaufwerk
Default Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
-----------------------------------------------------------------------Richtlinien der lokalen Gruppe
           Filterung:  Nicht angewendet (Leer)

Windows Update Deaktivieren
           Filterung:  Nicht angewendet (Leer)

GPO-Modemoptionen setzen
           Filterung:  Nicht angewendet (Leer)

GPO-Windows-Search-4.0
           Filterung:  Nicht angewendet (Leer)

XP Systemwiederherstellung deaktivieren
           Filterung:  Nicht angewendet (Leer)

GPO-Servergespeicherte-Profile
           Filterung:  Nicht angewendet (Leer)

GPO-Windows-MediaPlayer
           Filterung:  Nicht angewendet (Leer)

GPO-Remotezugriff
           Filterung:  Nicht angewendet (Leer)

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
       Dom„nen-Benutzer
       Jeder
       SophosAdministrator
       SophosUser
       Benutzer
       Hauptbenutzer
       INTERAKTIV
       Authentifizierte Benutzer
       LOKAL
       SuP_WTS01
       SuP_WP-Bereich
       RDS-Datev-Update
       RDS_SuP-WTS05
       RDS_SuP-WTS10
       RDS_Datev-Partner
       X_Intranet
       SuP_Adobe_Acrobat
       WTS_Pluto
       SuP SP-WP
       RDS_Datev-Intern
       RDS_WP-Auáendienst
       RDS_Non-Datev-WTS-Server
       X_Datev
       SuP_Alle Mitarbeiter
       WTS_Metis
       RDS_SuP-WTS09
       GRP-RDS-User
       SophosUser

 

Rechner und User (test_user_2) sind in den entsprechenden OUs. Die Richtlinie für die Benutzer heißt "GPO-WSUS-Info". Diese taucht aber nicht auf. In der Richtlinie ist der Loopback-Modus nicht gesetzt.

Link zu diesem Kommentar

Was passiert in der GPO Windows Update Deaktivieren? Wenn die GPO leer ist, kannst Du sie auch gleich löschen.

 

Die GPO ist auch auf die OU verlinkt, in der sich das Benutzerobjekt befindet? Wenn ja, habt ihr mehrere DCs? Wenn ja, funktioniert die Replikation zwischen den DCs einwandfrei? Eventlog dazu überprüfen.

 

In der GPMC kannst Du dich zu anderen DCs verbinden. Prüf auf dem Client nach, welchen %LOGONSERVER% der Client verwendet hat. Siehst Du mit SET auf der Commandline. Zu diesem DC verbindest Du dich in der GPMC, ist dort die GPO auf die OU verlinkt? Das gleiche machst Du auch mit der DSA.MSC, auch hier prüfen ob die Objekte in der richtigen OU sind.

Link zu diesem Kommentar
  • 3 Wochen später...

Hallo,

 

sorry für die späte Rückmeldung. Allerdings musste ich das Thema etwas auf Eis legen.

 

@sunny

es treten keine Fehler auf. Habe es wie du geschrieben hast getestet.

 

Habe die Einstellungen nun auch mal testhalber in eine andere GPO eingefügt, die auf der selben Hierarchie liegt. Sobald ich die Einstellungen dort einpflege werden sie übernommen (und angezeigt in rsop.msc). In der GPO werden die Laufwerke verbunden (über die neuen Funktionen des Server 2008)

Ich habe dann auf die WSUS-Info GPO gelöscht und neu angelegt, erfolglos. Auch als "Erzwungen" markieren oder die Reihenfolge verändern bringt nichts.

 

Woran könnte es denn liegen dass die Einstellungen als separate GPO nicht übernommen werden (nicht mal angezeigt), aber wenn in anderer GPO konfiguriert, diese übernommen werden?

Link zu diesem Kommentar

Erstell eine neue leere OU direkt auf der Root. Testrechner und Testuser rein. Neue GPO für Windows Update erstellen und darauf verlinken. Keine andere GPO darauf verlinken. Replikation zwischen den DCs kontrollieren. Client neu starten und mit dem Testuser anmelden. Was passiert? Welche Fehlermeldungen findest Du im Eventlog auf dem Client?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...