WSUS GPO automatische installation der Updates

[TheCracked 13]

Hallo Zusammen,

 

kurze Frage zum verhalten nachstehender GPO Konfiguration:

 

Benutzer:

1. - Configure Automatic Updates -> 3 - Auto download and notify for install

2. - Remove access to use all Windows Update features -> Enabled (1.Show restart required notifications)

 

Also ich bin mir nicht sicher ob das so funktioniert. In meinem Testclient habe ich im windowsupdate.log gesehen, dass Updates detected sind. 

Auch die wsus Konsole sagt mir, dass auf jeden fall noch offene Updates ausstehen zur installation.

Bis jetzt wurde jedoch nichts installiert..

 

Muss ich "automatische installation" konfigurieren, damit die Updates installiert werden können bzw. "auto download and schedule the install" ?

 

Viele Grüße

TC

[NorbertFe 1.799]

Du musst Option 4 aktivieren. Bei deiner obigen Konfiguration wird nie eine Installation erfolgen. Über welches os reden wir?

[TheCracked 13]

Das habe ich mir schon gedacht.

OS ist Windows Server 2012 R2 (WSUS) und Win 7 Prof. Clients..

 

Also gut ich nehme Option 4 und sage um 12 Uhr soll installiert werden.

Jetzt muss ich aber für die Server ne eigene GPO für WSUS bauen oder?

Weil sonnst würden die Updates ja auch auf den Servern automatisch installiert werden, was ich schon noch gern selber gesteuert hätte.

Wie ist  hier Best Practis?

 

 

 

[NorbertFe 1.799]

Ja wahrscheinlich wäre es sinnvoll, wenn man für Server und Clients getrennte Updatekonfigurationen einrichtet. ;) Wie kommt man auf die Idee, alles mit einem GPO abzufackeln? ;)

[Sunny61 772]

Man kann natürlich auch ein GPO anlegen, das nur den Namen des WSUS dreimal enthält. Wenn sich der WSUS ändert, einfach nur an einer Stelle den Namen ändern. Beim Rest kannst Du es dir ja auch einfach machen, WMI-Filter für Clients und/oder für Server anlegen und damit filtern. 

[TheCracked 13]

vor 21 Minuten schrieb NorbertFe:

Ja wahrscheinlich wäre es sinnvoll, wenn man für Server und Clients getrennte Updatekonfigurationen einrichtet. ;) Wie kommt man auf die Idee, alles mit einem GPO abzufackeln? ;)

Ach du des geht alles :)

 

Denke mit zwei WSUS GPOs für Clients und Server fährt man ganz gut..

 

[Dukel 436]

Ich erstelle immer eine weitere GPO. In einer allgemeinen GPO konfiguriere ich vorallem die WSUS Server Adresse und ggf. Allgemeine Einstellungen (z.B. Detection Frequency, ...) und dann pro Gruppe eine GPO mit den Einstellungen für das Automatisch Updaten und dem Gruppenname.

[TheCracked 13]

Auch keine schlechte Idee. 

 

Danke für euren Input..

[TheCracked 13]

Also Testclient installiert um 10 Uhr seine updates Automatisch wie von mir konfiguriert.

Es kommt eine Meldung, dass der PC neu gestartet werden muss.

Leider ist/war der Button für Später neustarten X Zeit ausgegraut.

 

In der GPO steht jedoch drin, dass man den Zeitpunkt des neustartes verschieben kann.. ?!

 "If a user is signed in to the computer when Windows is ready to restart, the user will be notified and given the option to delay the restart.)"

 

Kann das noch an Rechten des Users liegen?

Dieser Domänen Testuser ist in der Gruppe "Domänen-Benutzer".

 

Lokal hat er keine zusätzlichen Rechte auf der Maschine. 

 

 

[NorbertFe 1.799]

Blende doch einfach die Notifikation komplett aus. Dann merkt der Nutzer gar nichts und fährt zum Feierabend korrekt den PC runter und am nächsten Morgen ist der dann gepatcht. (Das gilt natürlich nur bis Windows 10, ab da darf man sich erneut Gedanken machen).

 

Bye

Norbert

[Sunny61 772]

In W10 kann man die Benachrichtigung für alle komplett ausblenden, also auf Computerebene. 

 

@TheCracked

Hast Du dich noch nie mit dem WSUS beschäftigt? Hilfreich ist es für die Helfer, wenn sie *alle* Details wissen/sehen was Du konfiguriert hast. Niemand von uns sitzt bei dir am Tisch und weiß somit nicht, was Du alles konfiguriert hast. Wenn die Konfig allerdings geheim ist, dann kann man dir nicht helfen.

[TheCracked 13]

vor 2 Stunden schrieb Sunny61:

@TheCracked

Hast Du dich noch nie mit dem WSUS beschäftigt? Hilfreich ist es für die Helfer, wenn sie *alle* Details wissen/sehen was Du konfiguriert hast. Niemand von uns sitzt bei dir am Tisch und weiß somit nicht, was Du alles konfiguriert hast. Wenn die Konfig allerdings geheim ist, dann kann man dir nicht helfen.

 

Doch schon. Ist nur schon eine weile her. Anbei mal die Config:

 

 

Computer:

Allow Automatic Updates immediate installation Enabled  
Allow non-administrators to receive update notifications Enabled  
Allow signed updates from an intranet Microsoft update service location  Enabled  
Automatic Updates detection frequency Enabled  
Check for updates at the following 
interval (hours):  1 
 
Policy Setting Comment 
Configure Automatic Updates Enabled  
Configure automatic updating: 4 - Auto download and schedule the install 
The following settings are only required and applicable if 4 is selected. 
Install during automatic maintenance Disabled 
Scheduled install day:  0 - Every day 
Scheduled install time: 14:00 
If you have selected “4 – Auto download and schedule the install” for your scheduled install day and specified a schedule, you also have the option to limit updating to a weekly, bi-weekly or monthly occurrence, using the options below: 
Every week Enabled 
First week of the month Disabled 
Second week of the month Disabled 
Third week of the month Disabled 
Fourth week of the month Disabled 
 
Install updates for other Microsoft products Enabled 
 
Policy Setting Comment 
No auto-restart with logged on users for scheduled automatic updates installations Enabled  
Specify intranet Microsoft update service location Enabled  
Set the intranet update service for detecting updates: http://xx.xx.xx.xx:8530 
Set the intranet statistics server: http://xx.xx.xx.xx:8530 
 
Benutzer:

Remove access to use all Windows Update features Enabled 

 

 

vor 2 Stunden schrieb NorbertFe:

Blende doch einfach die Notifikation komplett aus. Dann merkt der Nutzer gar nichts und fährt zum Feierabend korrekt den PC runter und am nächsten Morgen ist der dann gepatcht. (Das gilt natürlich nur bis Windows 10, ab da darf man sich erneut Gedanken machen).

 

Mein Problem ist ja, dass der PC automatisch nach 15 Minuten einen Neustart durchführt. Stelle ich die Notifikation ab, was passiert dann? Wird er nicht neugestartet wenn div. Updates einen neustart verlangen?  Das wäre optimal :)

 

Mit der Policy "No auto-restart with logged on users for scheduled automatic updates installations Enabled" hat es zumindest jetzt funktioniert, dass der user den Neustart auf später verschieben kann. 

 

 

Grüße und Danke

bearbeitet 25. April 2018 von TheCracked

[NorbertFe 1.799]

vor 10 Minuten schrieb TheCracked:

Mein Problem ist ja, dass der PC automatisch nach 15 Minuten einen Neustart durchführt.

Das passiert aber nur, wenn du für Updates eine Deadline konfiguriert hast im WSUS. Normalerweise bleibt ein PC im Status "pending reboot" stehen, bis jemand Rebootet.

 

Bye

Norbert

[TheCracked 13]

Hmm.. Also ich hab nur die oben genanten Konfigurationen vorgenommen.. 

 

 

 

 

 

 

 

bearbeitet 25. April 2018 von TheCracked

[NorbertFe 1.799]

OK, kann natürlich sein, dass das mit der im letzten Satz deinerseits erwähnten Richtlinie zusammenhängt. :)