Jump to content
goat82

Problem mit GPOs

Recommended Posts

Hallo Zusammen,

ich habe eine Problem mit GPOs für das neue Windows 10 1909.

AD DC sind 2019 und 1x 2016. ADMX Templates sind neu, zentraler ADMX Speicher ist eingerichtet.

 

Problem: Clients starten nach Updates automatisch neu.

gpresult /r zeigt an das die GPO angewendet wird. Unter Updates sehe ich auch das der Administrator Konfigurationen eingestellt hat.

GPO erzwingen bringt leider auch nichts. Irgendwo muss ein (Denk-) Fehler sein.

 

Folgende Fragen:

LSDOU Regel sagt doch aus, dass die lokale Sicherheitsrichtlienie zuerst angewendet wird und von der verknüpften Gruppenrichtlinie überschrieben wird. Der wo zuletzt schreibt, gewinnt, also in dem Fall die verknüpfte GPO auf die OU und nicht die lokale GPO.

Wie kann ich sehen welche Policys in der lokalen Richtlienie am Client aktiv sind? unter gpedit.msc sind alle Policys auf nicht konfiguriert. Egal welche GPo übder die Domaine angewendet wird. Ist das normal?

Da GPOs über den Domainecontroller am Client  angewendet werden, muss ich das doch irgendwie sehen können?

(ich meine nicht die GPO, diese bekomme ich ja durch gpresult/r sondern die einzelnen Einstellungen wie ich Sie im GPO Editor auf dem Domaincontroller sehe)

 

 

Vielen Dank erstmal.

 

Lg Goat

 

 

 

 

grafik.thumb.png.6c75b7d259f2645ce1dc96c0017bb752.png

grafik.thumb.png.5efab6ee724cc69f691e67d06bffe085.png

 

Share this post


Link to post
Share on other sites

In der Regsitry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate findest Du die Einstellungen, die dafür verantwortlich sein können. Es gibt auch noch in HKCU Einstellungen, die machen aber IMO nichts in Sachen Reboot. Es kann natürlich auch noch jemand mit einem Script oder per GPP eine Regdatei importieren.

 

Du hast im GPO keine Nutzungszeiten definiert. Und wenn Du Nutzungszeiten defeiniert hast, kannst Du Zeiten für den Reboot einstellen.  Wenn die im ADMX Template nicht vorhanden sind, dann sind die Templates nicht aktuell. Oder du nimmst dir einen W10 1909 Client, installierst die RSAT-Tools und bearbeitest von dort aus das GPO für die 1909 Clients. Grundsätzlich musst Du dich von den Einstellungsmöglichkeiten wie bei W7 verabschieden, diese Möglichkeiten gibt es nicht mehr in der Art.

Share this post


Link to post
Share on other sites

Hi Sunny61,

vielen Dank für deine Hilfe. Also Kontrolle läuft über die Registry, auch gut.

Nutzungszeiten habe ich absichtlich nicht angegeben, denn dann gilt die Maximale Nutzungszeit. Glaubst du dadurch ist mein Problem behoben ?

Ich will einen automatischen Neustart ja verhindern, sondern nicht einstellen.

Nach wichtigen Updates erscheint: Neustart erforderlich. Wenn ich Hier auf später Neustarten oder Abbrechen klicke, dann erscheint ein Counter" PC wird nach xx Minuten" automatisch neu gestartet. Der Hinweis kann kommen, aber der automatische Neustart darf niemals durchgeführt werden, egal wie wichtig das Update oder egal wie lange der Client nicht neu gestartet wird.

grafik.thumb.png.eb892790efbc532355f9816b9fef1813.png

 

 

 

 

grafik.png

Share this post


Link to post
Share on other sites
vor 41 Minuten schrieb goat82:

Nutzungszeiten habe ich absichtlich nicht angegeben, denn dann gilt die Maximale Nutzungszeit. Glaubst du dadurch ist mein Problem behoben ?

Das steht in den GPO-Beschreibungen exakt so drin? Kann ich mir beim besten Willen nicht vorstellen. Nutzungszeit angeben und die Zeit angeben, in der der Client neu gestartet werden darf.

 

Share this post


Link to post
Share on other sites
vor 44 Minuten schrieb goat82:

Der Hinweis kann kommen, aber der automatische Neustart darf niemals durchgeführt werden, egal wie wichtig das Update oder egal wie lange der Client nicht neu gestartet wird. 

Dann darfst Du das nicht versuchen mit GPOs zu regeln. Weshalb installierst Du Updates, wenn der Client nicht gestartet werden darf? Wasch mich, aber mach mich nicht nass. So liest sicht das für mich.

 

Gib den Cliens einfach einen Fake-WSUS an den es nicht gibt, dann ziehen sie keine Updates und können auch nicht versehentlich neu starten.

 

BTW: 2 Tage nach der Installation der Updates wird neu gestartet, ob Du willst oder nicht. MSFT ist es egal was du willst, sie wollen einen Reboot nach der Installation. Und nur das zählt für MSFT.

vor 2 Minuten schrieb goat82:

grafik.png.658a083cfd999d533bea40187408c7c7.png

Da Du keine Nutzungszeit angegeben hast, in der anderen Einstellung, zieht diese Einstellung natürlich nicht.

Share this post


Link to post
Share on other sites

Das wäre ja alles in Ordnung. Der Client kann ja neu gestartet werden, aber halt nicht wenige Minuten nach dem Einspielen der Updates!

Wenige User lassen halt ihr PC mehrere Tage an (inklusive nicht gespeichertem Inhalt).

Welche Einstellung regelt also nun dass der PC von 6.00 Uhr bis 21 Uhr nicht neu gestartet wird, egal wie wichtig das installierte Update auch ist. Updates werden immer um 12:00 Uhr installiert.

Solange der PC nach dem Einspielen von 6:00 -21:00 Uhr nicht automatisch neu startet, kann ich gut damit leben.

An WSUS komme ich nicht vorbei, sonst muss ich 80 Pcs manuell pflegen, dazu habe ich keine Zeit.

 

Share this post


Link to post
Share on other sites
vor 39 Minuten schrieb goat82:

Welche Einstellung regelt also nun dass der PC von 6.00 Uhr bis 21 Uhr nicht neu gestartet wird, egal wie wichtig das installierte Update auch ist.

Nutzungszeit nennt sich die Einstellung. Das hast Du jetzt schon zum dritten Mal gehört. Stell eine Nutzungszeit ein.

 

vor 40 Minuten schrieb goat82:

Der Client kann ja neu gestartet werden, aber halt nicht wenige Minuten nach dem Einspielen der Updates!

Wie viele Stunden soll der PC denn in einem undefinierten Zustand verharren? Und wenn User nicht gespeicherten Inhalt auf dem PC haben, ist das nicht dein bzw. des Admins Problem. Jeder User ist verantwortlich für sein Tun.

 

Man kann auch per GPO einen Fake-WSUS angeben, da muss man nicht hinlaufen und das manuell einstellen.

vor 43 Minuten schrieb goat82:

Solange der PC nach dem Einspielen von 6:00 -21:00 Uhr nicht automatisch neu startet, kann ich gut damit leben.

Du kannst mit jedem Zustand leben, deine User machen dir das Leben schwer. :) Und ja, es kann natürlich auch passieren, dass so ein Client, warum auch immer, plötzlich mal neu startet. Pech gehabt. Und MSFT ändert sehr gerne mit jeder Build die Art und Weise wie mit Updates umgegangen wird.

 

Aus Sicht der IT-Sicherheit ist das, was Du machst, hochgradig fahrlässig. Solange kein Reboot nach dem Update stattfindet, ist es genauso als wäre das Update nicht installiert.

Share this post


Link to post
Share on other sites

Es funktioniert immer noch nicht nicht, leider.

Mit dem Fenster kann ich gut Leben, wenn die User auf jetzt nicht klicken aber nicht dass er nach 10 Minuten automatisch, WÄHREND der Nutzungszeit neu startet.

Die wenigsten User sind kontinuierlich am Platz und kommen verägert wieder, wenn die ganze Arbeit futsch ist.

 

Was ist nenn nun falsch?

Anbei dei Registryeinstellungen die er von der GPO gezogen hat.

grafik.png.2818903ddc3125de1ef57c2ec81af00d.png

grafik.thumb.png.f568643ed0192dc2ba4fcfda47a3da03.png

grafik.thumb.png.f4f472497cf7ebd1684ccbb7ef7b00ff.png

Neustart.jpg

2020-02-26 15_36_04-w99 - Remotedesktopverbindung.png

2020-02-26 15_36_24-w99 - Remotedesktopverbindung.png

Share this post


Link to post
Share on other sites
vor 1 Minute schrieb goat82:

kommen verägert wieder, wenn die ganze Arbeit futsch ist.

Normalerweise wird doch inzwischen alles gespeichert und sogar wieder nach einem Reboot geöffnet, oder?

Share this post


Link to post
Share on other sites

Problem: Updates werden installiert. Klickt der User nicht innerhalb von 5 Minuten auf nicht jetzt, startet der PC neu.

 

Gerade eben schrieb NorbertFe:

Normalerweise wird doch inzwischen alles gespeichert und sogar wieder nach einem Reboot geöffnet, oder?

schön wärs, Ms doof killt alles und speichert nix.

Share this post


Link to post
Share on other sites

Weshalb nehmen Firmenrechner am Windows Insider Programm teil? Das ist IMO sehr kontraproduktiv.

 

Es gibt auch noch die Möglichkeit, den Zugriff auf WU komplett auszublenden. Ist eine Computer Einstellung innerhalb von WU. In einem deiner zahllosen Screenshots, die mich persönlich nerven, solltest Du didie dritte Option zum Neustart wegkriegen. Hast Du wirklich alle Einstellungen per GPMC.MSC konfiguriert oder arbeitest Du auch mit GPEDIT.MSC und in der WU-GUI? Hast Du angegeben, dass innerhalb der Nutzungszeit NICHT neu gestartet werden soll? Hast Du das GPO inzwischen komplett mit aktuellen Templates neu erstellt?

Share this post


Link to post
Share on other sites

Hallo Sunny,

ich werde verrückt. Klar habe ich mit der original Gruppenrichtlinienverwaltung auf dem Domainecontroller gearbeitet.

Deine angefragte Option ist im Bild markiert!

GPOS 1909 (https://www.microsoft.com/en-us/download/100591) befinden sich auf den DCs unter C:\Windows\SYSVOL\sysvol\meine Domain\Policies\PolicyDefinitions.

Aktuelles Datum der ADMX Files ist 18.03.2019, neue finde ich im Web nicht!

Unter Policies befindet sich noch ein alter Ordner "PolicyDefinitions-vor-1903".

Das WSUS GPO wurde nicht neu erstellt, eventuell zeigt es noch auf den 1903 Ordner? Wie könnte ich das überprüfen ?

Wenn ich die WSUS GPO editiere sehe ich ja "vom zentralen Computer abgerufen" also greift er direkt auf den Ordner PolicyDefinitions zu.

Wenn ich die Nutzungszeit in der GPO ändere und den Client neu starte, dann kommt die Änderung am Client auch direkt an. Also scheinen die GPOs ja ansich auch zu laufen.

 

Ich habe nun eine Test OU erstellt und werde die GPO neu machen und nur wenige PCs hinzufügen und warten bis neue Updates von MS kommen und diese in WSUS dann nur in der Testgruppe genehmigen, sonst reißen mir alle anderen den Kopf ab. Wenn die Clients nach 15 Minuten einfach so neu starten.

Es muss doch irgendwie gehen, dass die PCs während 6.00 - 18:00 Uhr nicht neu starten. Wenn ich es nicht hinbekomme lege ich den Installationszeitpunkt auf 15:00 Uhr.

 

Zwischenlösung (Test) 1: Richtlinie "Neustart immer zur geplanten Zeit aktivieren" und auf 180 setzen, dann startet der PC immerhin erst nach 3 Stunden also gegen 18 Uhr (vorausgesetzt die GPO greifft). Fahren die Clients vor 18 Uhr herunter ist somit alles ok, dann gehe ich davon aus, dass er die Updates beim herunterfahren oder Neustart am nächsten Morgen aktualisiert.

Diese Richtlinie "Neustart immer zur geplanten Zeit aktivieren" ist nicht konfiguriert, da ich die Richtlinie "Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind!" aktiviert habe.

 

Mein Problem: Diese Richtlinie "Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind!" greift nicht!

Installationen werden um 12 Uhr automatisch durchgeführt und wenn der Benutzer zum Neustart aufgefordert. Kommt er dem nicht nach und klickt nicht auf "Nicht jetzt" startet der Client nach exakt 15 Minuten automatisch neu und alle ungespeicherte Arbeit ist futsch.

 

@Sunny: Wenn ich die defekte Richtlinie editiere steht da bezüglich Unterstützung nichts von Windows 10. Ist das vielleicht das Problem? Bei anderen GPOs steht teilweise Windows 2016/2019 oder mindestens Windows xx oder explizit auch Windows 10 :

 

PS: Kein Client nimmt am Insider-Program teil. Der Screenshot zeigt immer Beispiele: Sie nehmen am Insider-Program teil. Ohne verknüpftes MS Konto ist das meines Wissens nicht möglich und wir haben kein Client der ein MS Konto nutzt.

 

grafik.png.69a077fe86236c6fb0a54e2890136703.png

 

 

grafik.png.c6c0658105243d6bbf85473a339d2c14.png

 

HIer meine aktuellen GPO Einstellungen

 

grafik.thumb.png.84f73c44f6a7bd1597dab3e23b175aa8.png

grafik.png.6f5f7f8866dd1ef7db2ade560c9e5b19.png

Share this post


Link to post
Share on other sites
Am 26.2.2020 um 16:48 schrieb Sunny61:

die mich persönlich nerven

Der Hinweis war zu dezent. ;) Ich bin ja auch gern für "ein Bild sagt mehr als 1000 Worte", aber hier im Thread wirds dadurch in Summe eher unübersichtlich. Offenbar gehts nicht nur mir so.

  • Like 1

Share this post


Link to post
Share on other sites

Es ist sinnvoll bei mehreren oder größeren Screenshots diese einfach als Dateianhänge hinzuzufügen und zwar ohne die Bilder in den Beitrag einzubetten.

 

Der Unterschied liegt darin, dass man als Leser der Beiträge selbst entscheiden kann, ob man den Anhang öffnen will oder nicht.

 

@goat82 Abgesehen davon ist es natürlich gut und sinnvoll Deine Konfiguration so ausführlich wie möglich darzustellen.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...