Windows Small Business Server 2011 - Gruppenrichtlinien - WSUS

[Dr.Tad 0]

Hallo ihr Lieben

Ich habe mal eine Frage bezüglich Gruppenrichtlinien.
Ich bin gerade erst frisch aus der Ausbildung, daher verzeiht mir meine Unwissenheit.

Folgendes Problem:

Ich habe eine Domäne xxxx.local und darunter laufen all die Gruppenrichtlinien.
z.B.:

-Default Domain Policy
-Update Services Client Computers Policy
-Update Services Common Settings Policy
-Update Services Server Computers Policy

Die drei rotmarkierten GPOs sind wahrscheinlich für den WSUS zuständig richtig

Meine Frage ist, wir haben Mitarbeiter die sind nicht immer bei uns im Netz und ich möchte das bei diesen Mitarbeitern die GPO so eingestellt ist, dass sie sich nicht über den WSUS updaten sondern es unabhängig vom WSUS automatisch ziehen (sowie ein Standard home PC zu Hause), wie mach ich das ?

Zur Zeit ziehen sich ja alle Clients diese GPO und dementsprechen ziehen sich die Clients die ausserhalb unserer Domäne arbeiten keine Updates, da sie ja keine Verbindung zu unserem Server haben.

Ich wäre euch sehr dankbar, wenn ihr mir da weiterhelfen könntet!

Gruß Tad

[Sunny61 773]

-Default Domain Policy

-Update Services Client Computers Policy

-Update Services Common Settings Policy

-Update Services Server Computers Policy

 

Die drei rotmarkierten GPOs sind wahrscheinlich für den WSUS zuständig richtig

Das wissen wir doch nicht. Schau in die GPOs rein, dann weißt Du mehr.

Meine Frage ist, wir haben Mitarbeiter die sind nicht immer bei uns im Netz und ich möchte das bei diesen Mitarbeitern die GPO so eingestellt ist, dass sie sich nicht über den WSUS updaten sondern es unabhängig vom WSUS automatisch ziehen (sowie ein Standard home PC zu Hause), wie mach ich das ?

Wenn Du weiterhin kontrollieren möchtest, 'welche' Updates die Clients installieren dürfen, dann installiere einen weiteren WSUS. Das kann auch ein Replikat sein, wichtig ist nur der richtige Haken in den Optionen > Dateien und Sprachen aktualisieren > [X] Updatedateien nicht lokal speichern, Computer installieren von Microsoft Update.

 

Diesen WSUS packst Du in ein eigenes GPO, in den Sicherheitsfilter kommen die Clients rein, die dauernd außerhalb sind. Hier noch ein Artikel zum Thema Sicherheitsfilter: http://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien-anhand-von-benutzergruppen-wmi-und-zielgruppenadressierung/

[Dr.Tad 0]

Also viele Dank für den Link, da bin ich etwas schlauer geworden.

 

Mir sind jetzt 2 Fragen auf gekommen.

 

1. Warum muss ich einen 2. WSUS installieren ? Kann ich net einfach eine GPO erstellen und da definieren kein WSUS Update durchführen, so dass er aber trotzdem ein automatisches Update macht über den Client selber ?

Ich hab es jetzt so verstanden das die Clients nur anhand des WSUS entscheiden können ob sie selber updaten sollen oder ob sie das Update vom WSUS bekommen. Wenn das richtig ist...wieso ist das so ? Mein Home PC macht doch auch ohne WSUS seine Updates.

 

2. Die Clients (Außendienstmitarbeiter) besitzen i.d.R. alle ein VPN Client...wenn sie sich einwählen per VPN...ziehen Sie sich dann die neuen Updates vom WSUS ? Oder muss da was zusätzlich konfiguriert werden ? Wenn das klappt dann wäre das einfacher als ein 2. WSUS aufsetzen ?

 

Danke :)

[Sunny61 773]

 

1. Warum muss ich einen 2. WSUS installieren ? Kann ich net einfach eine GPO erstellen und da definieren kein WSUS Update durchführen, so dass er aber trotzdem ein automatisches Update macht über den Client selber ?

Du kannst die Clients natürlich auch aus den schon gen. GPOs mit Hilfe von Sicherheitsfilterung ausnehmen. Aber willst Du wirklich dass deine Benutzer selber entscheiden was sie installieren wollen und was nicht?

Ich hab es jetzt so verstanden das die Clients nur anhand des WSUS entscheiden können ob sie selber updaten sollen oder ob sie das Update vom WSUS bekommen. Wenn das richtig ist...wieso ist das so ? Mein Home PC macht doch auch ohne WSUS seine Updates.

 

Du mußt zuerst zwischen WSUS und Microsoft Update unterscheiden. Dein PC zu Hause holt sich bei WU/MU seine Updates, die PCs in der Firma eben beim WSUS. Sie entscheiden nicht selbst, sondern Du entscheidest für sie per GPO.

 

 2. Die Clients (Außendienstmitarbeiter) besitzen i.d.R. alle ein VPN Client...wenn sie sich einwählen per VPN...ziehen Sie sich dann die neuen Updates vom WSUS ? Oder muss da was zusätzlich konfiguriert werden ? Wenn das klappt dann wäre das einfacher als ein 2. WSUS aufsetzen ?

 

Bisher holen sie sich die Updates vom WSUS. Wenn Du einen zweiten WSUS installierst, holen sie sich nur die Genehmigungen vom WSUS. Die Dateien selbst downloaden sie von WU/MU.

Aber eigentlich ist das ein Thema für deinen Ausbilder, der wird dafür bezahlt und sollte sich auch deshalb um dich kümmern.

 

 

BTW: Du plenkst. http://einklich.net/usenet/begriffe.htm#p

[Dr.Tad 0]

Nur im nochmal alles klar zu stellen, nicht dass ich dich jetzt falsch verstanden habe.

Alle Clients in meinem Netz holen sich die Genehmigung von meinem WSUS, welche Update sie installieren dürfen und welche nicht.

 

Der 2. WSUS dient also quasi einfach nur, damit ich weiterhin entscheiden kann welche Updates relevant für die Außendienstmitarbeiter sind. Aber dennoch müssen sie sich doch regelmäßig bei diesem WSUS sich melden oder nicht? Damit sie eben wissen, was sie dürfen und was eben nicht für sie freigeschaltet wurde.

 

Das war doch das Problem, ich möchte ja das die Clients die nicht regelmäßig in der Domäne sind...trotzdem immer aktuell bleiben. Aber sowie ich dich verstanden habe hilft ja kein weg drum herum, die Clients aktuell zu halten, gleichzeitig bestimmen zu können was sie für Updates ziehen oder nicht.

 

Wenn ich dem Anwender per Sicherheitsfilter sage, zieh die Updates selber, du wirst nicht von unserem WSUS verwaltet, dann würde das nach meinen Vorstellung klappen, aber die Anwender hätten zu viel "Rechte".

 

Schwere Geburt ich weiss :)

Ja ich bin ja frisch fertig mit der Ausbildung und bin noch nicht so gewandert in Sachen GPO und WSUS etc.

 

Vielen dank mit dem Hinweis mit dem Plenken, ist mir nie aufgefallen.

[Sunny61 773]

Nur im nochmal alles klar zu stellen, nicht dass ich dich jetzt falsch verstanden habe.

Alle Clients in meinem Netz holen sich die Genehmigung von meinem WSUS, welche Update sie installieren dürfen und welche nicht.

Richtig.

 

Der 2. WSUS dient also quasi einfach nur, damit ich weiterhin entscheiden kann welche Updates relevant für die Außendienstmitarbeiter sind. Aber dennoch müssen sie sich doch regelmäßig bei diesem WSUS sich melden oder nicht? Damit sie eben wissen, was sie dürfen und was eben nicht für sie freigeschaltet wurde.

Definiere Regelmässig? Einmal im Monat sollte ausreichen. Die Informationen sind nicht besonders bandbreitenhungrig, das geht also recht schnell durch. Welche VPN-Software wird denn benutzt? Evtl. kannst Du ja bei der Einwahl ein Script anhängen und somit das etwas forcieren.

 

Und falls Du DirectAccess von MSFT umsetzen kannst, sind sie dauernd per VPN mit der Firma verbunden.

 

 

Das war doch das Problem, ich möchte ja das die Clients die nicht regelmäßig in der Domäne sind...trotzdem immer aktuell bleiben. Aber sowie ich dich verstanden habe hilft ja kein weg drum herum, die Clients aktuell zu halten, gleichzeitig bestimmen zu können was sie für Updates ziehen oder nicht.

 

Wenn ich dem Anwender per Sicherheitsfilter sage, zieh die Updates selber, du wirst nicht von unserem WSUS verwaltet, dann würde das nach meinen Vorstellung klappen, aber die Anwender hätten zu viel "Rechte".

Rechte haben sie nicht mehr als jetzt, aber Du hast kein Reporting darüber was sie installiert haben und was nicht. Mit dem zweiten WSUS kriegst Du zumindest ordentliche Rückmeldungen.

Ja ich bin ja frisch fertig mit der Ausbildung und bin noch nicht so gewandert in Sachen GPO und WSUS etc.

Sorry, das mit 'fertig' hatte ich überlesen. In Sachen GPO ist das hier eine sehr gute Anlaufstelle: http://gruppenrichtlinien.de/ Beüglich WSUS gibt es hier ein paar HowTos: http://www.wsus.de/howto http://www.wsus.de/lup

[Dr.Tad 0]

Vielen Dank, jetzt hab ich im Großen und Ganzen verstanden wie der WSUS funktioniert und wozu er letzendlich dient.

 

Wir benutzen Bintec als VPN-Lösung.

 

Kann ich auf jedem Server quasi den 2. WSUS installieren?

Wichtig war dann nur der Haken.

 

Ich hab irgendwie noch nen "Gedankenfurz".

 

Ich hab in meiner GPO-Verwaltung meine Domäne und darunter sind die ganzen GPOs. Für den 2. WSUS müsste ich ja einen neuen GPO anlegen, aber woher weisst er denn jetzt welche GPO jetzt ausschlaggebend für den Client ist ?

 

Bsp.:

 

xxx.lokal (Domäne)

- 1. WSUS GPO (mit allen Clients)

- 2. WSUS GPO (mit den auserwählten Clients als Sicherheitsfilter)

 

i.d.R. sollte ja die erste Richtlinie in Kraft setzen und dann die 2. damit alles reibungslos funktioniert richtig?

[NorbertFe 1.835]

Das Problem beim SBS ist, dass die sehr viel mit Domänenebene und SIcherheitsfilterung arbeiten. Also mußt du das entweder aufdröseln, oder deine eigene Struktur "basteln". Die von Sunny gegebenen Links, solltest du dir mal anschauen, da steht viel Grundlagen-Know-How zu Gruppenrichtlinien.

 

Bye

Norbert

[Sunny61 773]

Wir benutzen Bintec als VPN-Lösung.

OK, dann schau dort nach ob Du evtl. bei der Einwahl ein Script gleich mit ausführen lassen kannst. Wenn ja, dann würde z.B. ein Batch mit diesem Inhalt helfen:

wuauclt /detectnow
wuauclt /reportnow

Das bewirkt dass der Client den WSUS kontaktiert und neue Anweisungen abholt. Der /reportnow gibt beim WSUS einen Statusbericht dieses Client ab.

 

 

Kann ich auf jedem Server quasi den 2. WSUS installieren?

Wichtig war dann nur der Haken.

Fast, auf dem SBS natürlich nicht. Denke auch an den Port bei der Installation. Ist das eine Live-Umgebung? Wenn ja, dann pass sehr gut auf, kaputt ist schnell etwas. Welche Server mit welchen Diensten hast Du denn zur Verfügung?

 

 

Ich hab in meiner GPO-Verwaltung meine Domäne und darunter sind die ganzen GPOs. Für den 2. WSUS müsste ich ja einen neuen GPO anlegen, aber woher weisst er denn jetzt welche GPO jetzt ausschlaggebend für den Client ist ?

 

Bsp.:

 

xxx.lokal (Domäne)

- 1. WSUS GPO (mit allen Clients)

- 2. WSUS GPO (mit den auserwählten Clients als Sicherheitsfilter)

 

i.d.R. sollte ja die erste Richtlinie in Kraft setzen und dann die 2. damit alles reibungslos funktioniert richtig?

In dem ersten GPO kannst Du natürlich auch eine 'Gruppe' mit Clients einfügen. Die bekommen die Updates von deinem WSUS. In dem zweiten GPO fügst Du als Sicherheitsfilter ebenfalls eine 'Gruppe' mit Clients hinzu, die den zweiten WSUS bekommen soll. Schon hast Du das gut getrennt. Gib den Gruppen auch unbedingt sprechende Namen, hilft gewaltig. ;)

[Dr.Tad 0]

Das mit dem VPN muss ich mal schauen, aber danke, wenn es geht werde ich das script einbauen lassen.

 

Ja es handelt sich um eine Live-Umgebung.

Wir benutzen hauptsächlich VMs:

1. Fileserver mit dem 2. DC, DHCP, DNS

2. Backupserver

3. SBS mit DC,DNS, DHCP, Exchange, WSUS

4. Terminalserver

5. Managementserver

6. Datenbankserver

 

Achso, dann trage ich ich in den ersten GPO wirklich nur die Clients ein, die auch die Updates vom WSUS ziehen sollen?

Dachte ich müsste die doppelt eintragen, und durch die 2. GPO wieder ausser Kraft setzen lassen.

[Sunny61 773]

Ja es handelt sich um eine Live-Umgebung.

Wir benutzen hauptsächlich VMs:

1. Fileserver mit dem 2. DC, DHCP, DNS

2. Backupserver

3. SBS mit DC,DNS, DHCP, Exchange, WSUS

4. Terminalserver

5. Managementserver

6. Datenbankserver

 

 

Da bietet sich IMHO der Management Server an. Achte aber unbedingt drauf ob es schon SW gibt die den IIS benötigen. Wenn ja, dann installiere den WSUS auf Port 8530.

Achso, dann trage ich ich in den ersten GPO wirklich nur die Clients ein, die auch die Updates vom WSUS ziehen sollen?

Dachte ich müsste die doppelt eintragen, und durch die 2. GPO wieder ausser Kraft setzen lassen.

Aber bitte nicht einzeln eintragen, sondern eine Gruppe hinzufügen. In der Gruppe sind die Clients. Und natürlich mußt Du die Authentifizierten Benutzer in der Sicherheitsfilterung dann entfernen.

 

Und in der zweiten Gruppe trägst Du die Clients ein, die die Updates von MU/WU beziehen sollen.

[Dr.Tad 0]

Vielen Dank nochmals, ich werde das mal die nächsten Tage mal anpacken und Feedback hier nochmal geben.

Also bitte Thread noch net closen, da ich sicherlich nochmal Fragen haben werde :)

 

Gruß

 

Tad

[Sunny61 773]

Langsam machen und alles dokumentieren, das hilft. ;)