Jump to content
goat82

Problem mit GPOs

Recommended Posts

  • GPO neu erstellt. (ADMX Files nicht neu kopiert, da Dateistempel identisch von MS)
  • 5 Clients in einer Testgruppe gepackt, GPOs gemäß Anhang neu erstellt
  • Nutzungszeitraum auf 6-18 Uhr eingestellt (Wird am Client in der Gui und in der Registry auch so angezeigt
  • Installationszeitraum auf 15:00 Uhr geändert.

Clients beobachtet: Alle Clients installieren selbstständig beliebig nicht erst nach 15:00 Uhr und starten  ohne Info sofort neu.

 

KATASTROPHENALARM. Habe diesmal Anhänge des GPOs und der Clientregistry angehängt in der Hoffnung dass hier ein Experte wie Sunny oder jemand anderes den Fehler findet.

 

PS: gpedit.msc auf den lokalen Client zeigt alle Wsus Einstellungen/für Unternehmen als "Nicht konfiguriert" an !

PS2: Ändere ich eine Einstellungen der GPO auf dem DC,z.B: Nutzungszeit und führe GPupdate am Client aus wird die Wsus Gui am Client sofort aktualisiert. Scheinbar funktioniert hier alles, bis auf die Einstellung: Nutzungszeit und kein Neustart ausführen wenn Benutzer angemeldet sind.

 

Deinstalliere ich Updates am Client werden diese beim Neustart automatisch sofort wieder installiert.

Findet einer den Fehler so erhält dieser von mir 1000 Likes?

 

Bitte,bitte Hilfe :-)

CC_WSUS XXXXX TEST-NEU.pdf Client Export.pdf

Edited by goat82

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb goat82:

PS: gpedit.msc auf den lokalen Client zeigt alle Wsus Einstellungen/für Unternehmen als "Nicht konfiguriert" an !

Ja logisch. Der Editor zeigt ja auch die lokalen policies an und nicht das was per gpo konfiguriert wurde.

Share this post


Link to post
Share on other sites

Alles etwas unübersichtlich. Nimm doch so viel wie möglich raus aus dem GPO und taste dich langsam voran. Du hast von 6-18 Uhr als Nutzungszeit definiert, aber 18 Stunden als Nutzungsbereich definiert. Das passt nicht zusammen. Auch sehe ich nicht die Computer Option: Zugriff auf WU entfernen.

 

Du hast einen Central Store konfiguriert, d.h. die ADMX-Templates liegen innerhalb des Sysvol. Lies doch dazu diesen Artikel: https://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrative-vorlagen/

 

Ansonsten solltest Du wirklich nur das konfigurieren, das auch für W10 defeniert ist. Die meisten XP-Einstellungen wertet kein W10 Client mehr aus.

Share this post


Link to post
Share on other sites

Hallo Sunny,

vielen Dank erstmal für deinen Ratschlag welchen ich Umsetzen werde.

Um mir temporär zu helfen werde ich den Installationszeitpunkt auf 17:00 Uhr anstatt auf 12:00 Uhr legen und den automatischen Neustart auf maximal 2h nach Installation auswählen. Das ist zwar immer noch nicht perfekt, wird aber die meisten User nicht tangieren.

 

Wo finde ich heraus welche Einstellungen bei 1909 greifen und welche zu älteren OS gehören?

 

Wenn der Installationszeitpunkt auf 17:00 liegt, der PC aber aus ist und der User am nächsten Tag um 7 den PC einschaltet, was passiert in diesem Fall?

 

Wenn ich Updates auf dem Client entferne, werden diese direkt bei Reboot automatisch direkt wieder neu installiert (auch ohne Verbindung zu Wsus). Wie kann ich das ganze also genau testen wenn ich nicht auf neue Updates warten will und diese freigebe. Ich möchte ja den offiziellen Weg testen wie er später auch abläuft. Mein Problem hierbei: Installationszeitpunkt ist zwar auf XX:XX eingestellt. Die Testclients haben aber beliebig und nicht zur geplanten Uhzeit installiert. Vermutlich lag es daran dass die Updates zuvor deinstalliert wurden.

Welche Funktion hat die Option in Wsus: Zur Entfernung genehmigen ? Auch dies habe ich ausprobiert das Update wurde aber immer wieder nach dem Neustart gezogen.

 

 

Share this post


Link to post
Share on other sites
vor 43 Minuten schrieb goat82:

Um mir temporär zu helfen werde ich den Installationszeitpunkt auf 17:00 Uhr anstatt auf 12:00 Uhr legen und den automatischen Neustart auf maximal 2h nach Installation auswählen. Das ist zwar immer noch nicht perfekt, wird aber die meisten User nicht tangieren.

Auch wenn es die User immer gerne anders sehen, Sicherheit geht vor Bequemlichkeit.

vor 43 Minuten schrieb goat82:

Wo finde ich heraus welche Einstellungen bei 1909 greifen und welche zu älteren OS gehören?

In der Beschreibung der Einstellungen findet sich meistens ein passender Hinweis. Z.B. unterstützt auf oder unterstützt auf mindestens. Und natürlich die ADMX-Templates von W1909 verwenden. Dazu entweder die Templates im Central Store aktualisieren oder die GPMC auf einem 1909 installieren und starten. Nur dort dann die GPOs für 1909 bearbeiten.

 

vor 46 Minuten schrieb goat82:

Wenn ich Updates auf dem Client entferne, werden diese direkt bei Reboot automatisch direkt wieder neu installiert (auch ohne Verbindung zu Wsus). Wie kann ich das ganze also genau testen wenn ich nicht auf neue Updates warten will und diese freigebe.

Zum Entfernen genehmigen, dann funktioniert die Deinstallation ohne Reinstallation.

 

vor 47 Minuten schrieb goat82:

Mein Problem hierbei: Installationszeitpunkt ist zwar auf XX:XX eingestellt. Die Testclients haben aber beliebig und nicht zur geplanten Uhzeit installiert. Vermutlich lag es daran dass die Updates zuvor deinstalliert wurden.

Nein, die Updates werden installiert wenn es möglich ist. Die Genauigkeit ist IMO verloren gegangen. Das wichtige ist der Reboot.

 

vor 49 Minuten schrieb goat82:

Welche Funktion hat die Option in Wsus: Zur Entfernung genehmigen ? Auch dies habe ich ausprobiert das Update wurde aber immer wieder nach dem Neustart gezogen.

Grundsätzlich funktioniert das schon sauber. Zur Entfernung genehmigen, dann wird es entfernt, aber auch nicht wieder neu installiert.

Share this post


Link to post
Share on other sites
vor 5 Stunden schrieb Sunny61:

Zum Entfernen genehmigen, dann funktioniert die Deinstallation ohne Reinstallation. 

 

Nein, die Updates werden installiert wenn es möglich ist. Die Genauigkeit ist IMO verloren gegangen. Das wichtige ist der Reboot.

 

Grundsätzlich funktioniert das schon sauber. Zur Entfernung genehmigen, dann wird es entfernt, aber auch nicht wieder neu installiert.

Wird das Update dann automatisch am Client entfernt oder sagt die Option nur aus, dass es nicht direkt wieder installiert wird wenn ich es manuelle deinstalliere?

KAnn ich es so also erneut freigeben, damit ich das ganze testen kann?

 

Warum kann ich den Installationszeitraum einstellen, wenn dieser nicht beachtet wird? Was hat sich MS da ausgedacht? So stelle ich den ganzen Wsus in Frage. Es kann nicht sein, dass ein User in die Pause oder zu einem Meeting geht und dann sein PC automatisch neu startet obwohl der PC gesperrt (nicht abgemeldet) ist.

Wie kann ich den Installationszeitpunkt fix einstellen ?

 

 

@Sunny: in einem anderen Blog schreibst du das der PC nicht neu startet wenn ich Benutzerkonfigurationen eingegeben habe. Ist da was dran? Ich habe zum Wsus ja nur 3 Benutzerkonfigurationen.

 

Ich kann mir beim besten Willen nciht vorstellen, dass Firmen Ihre User zwingen den PC wegen Updates innerhalb der Nutzungszeit spätestens 60 Minuten nach Einspielen der Updates zum Neustart zwingen.

 

 

Share this post


Link to post
Share on other sites

Du hast mal geschaut, von wann der obige Thread ist? Ich bezweifle, dass das noch auf Windows 10 in der Form zutrifft.

Share this post


Link to post
Share on other sites
vor 4 Stunden schrieb goat82:

Wird das Update dann automatisch am Client entfernt oder sagt die Option nur aus, dass es nicht direkt wieder installiert wird wenn ich es manuelle deinstalliere?

KAnn ich es so also erneut freigeben, damit ich das ganze testen kann?

Das Update wird deinstalliert und später kannst Du es wieder zur Installation genehmigen.

 

vor 4 Stunden schrieb goat82:

Warum kann ich den Installationszeitraum einstellen, wenn dieser nicht beachtet wird? Was hat sich MS da ausgedacht? So stelle ich den ganzen Wsus in Frage. Es kann nicht sein, dass ein User in die Pause oder zu einem Meeting geht und dann sein PC automatisch neu startet obwohl der PC gesperrt (nicht abgemeldet) ist.

Wie kann ich den Installationszeitpunkt fix einstellen ?

Der WSUS kann nichts dafür, der hat auch damit nichts, überhaupt nichts zu tun. Der lokale Windows Update Agent ist dafür verantwortlich. Der WSUS stellt nur die Daten zur Verfügung, sonst nichts.

Frag das am besten alles direkt MSFT, die haben das so programmiert. ;)

vor 5 Stunden schrieb goat82:

@Sunny: in einem anderen Blog schreibst du das der PC nicht neu startet wenn ich Benutzerkonfigurationen eingegeben habe. Ist da was dran? Ich habe zum Wsus ja nur 3 Benutzerkonfigurationen.

Die Benutzereinstellungen greifen nur noch bis incl. W8.1, ab 10 ist das alles gekippt worden.

 

Schau dir die Möglichkeit an, den Wartungsmodus zu nutzen. Und es gibt auch noch die Möglichkeit, nachts die Clients zu wecken, Updates zu installieren und wieder herunterzufahren.

 

Wie weit bist Du mit dem Test gekommen? Gibt es überhaupt schon eine Testumgebung?

Share this post


Link to post
Share on other sites

Entschuldigung wenn ich euch alle total nerve aber ich bin mit meinem Latein an Ende und könnte MS in den Ar..... schießen.

Ich will die Aussage mit der nicht funktionierenden aber vorhandenen Win 10 GPO "Installationszeit festlegen" nicht akzeptieren. Warum deaktiviert MS nicht diese Einstellung wenn Sie angeblich nicht funktioniert? Soweit ich mich erinnern kann hat dies unter 1809 bisher meistens (nicht bei allen) funktioniert. (Plus minus 1h)

 

Testumgebung klappt nicht. Ich habe mehrere PCs in eine neue Zielgruppe gepackt und mehrere Updates in Wsus zum Entfernen markiert.

Wenn ich am Client nun "usoclient startscan" ausführe, dann installiert der Client die zu entfernenden Updates sofort erneut anstatt sie zu entfernen!

Einzige Änderung: Die Updates tauchen unter Updates normale auf und ich kann sie nicht mehr mit der rechten Maus manuell deinstallieren. Bei installierten Updates die nicht zur Entfernung markiert sind kann ich manuell deinstallieren, aber auch da erkennt das Wsus direkt und installiert diese neu.

 

Kann ich den lokalen Windows Update Agenten über die Registry manipulieren damit meine Vorgaben (Zeitpunkt der Installation = 12:00, Kein automatischer Neustart wenn Benutzer angemeldet sind) erfüllt werden können?

Wartungsmodus über nacht will die GL nicht. Kenne mich auch nur mit WOL aus. Hab da Bedenken das manche Pcs am Morgen an , anstatt aus sind, dann gibts erneut Ärger.

 

Na toll!

 

Aber ein kleiner Funken Hoffnung der TEstumgebung. Immerhin steht nun das da:

 

 

 

2020-03-04 09_51_35-Einstellungen.png

Share this post


Link to post
Share on other sites

Bei uns sieht das so aus:

 

 

Bei dir fehlt noch etwas wichtiges, aber du willst das ja nicht einstellen.

 

grafik.png

Edited by Sunny61

Share this post


Link to post
Share on other sites

Ich denke du sagtest der Installationszeitpunkt und das Starten außerhalb der Nutzungszeit funktioniert generell nicht mehr?

Was denn nun?

Kannst du mir bitte ein registry Screenshot des PCs wo du diese Meldung her hast schicken? Ist totaler Murks aber ich weiß nicht weiter und würde die lokalen Policyeinstellungen (von dir) auf den Clients einstellen, sodass die Einstellungen von der GPO überschrieben werden und das ich so hoffentlich an das schöne Bildchen "PC wird außerhalb der Nutzungszeit automatisch neu gestartet" komme.

Wenn es dann funktioniert dann drucke ich den Screenshot aus und lösche alle lokalen Wsus Registry einstellungen und stelle in der WSUS GPO alle Richtlinien auf nicht konfiguriert und aktiviere  eine nach deranderen und vergleiche die Registry genau ob sich was tut und wenn ja welcher Eintrag nicht funktioniert.

Vielleicht finde ich so den Fehler?

Bis auf die Einstellungen"Kein Neustart ausführen wenn Benutzer angemeldet sind" funktionieren meine GPO Einstellungen ja ganz normal.

Stelle ich z.B. DIe Nutzungszeit um oder deaktiviere Updates aussetzen wird das beim Client nach "gpupdate" auch sofort und erfolgreich umgesetzt.

 

sfc / scannow habe ich auch gestern gemacht, du siehst ich greife nach jedem Strohhalm und stochere im Ungewissen!

Es wurden hier auch beschädigte Dateien gefunden und repariert, wobei ich denke das der Fehler wo anderst liegt (cbs.log zeigte keinen Fehler bezüglich wsus)

 

 

Ein kleiner Erfolg habe ich nun, das gewünschte Bild ist zumindest optisch da:

Nutzungszeit auf 6-12 Uhr eingestellt

Installationszeitpunkt auf 11 Uhr

Updates neu freigebenen. Leider wurden diese nach dem Freigeben auf Wsus am CLient sofort heruntergeladen und installiert und nicht erst um 11 Uhr wie angegeben.

Nun warte ich ab ob er um 12:00 Uhr neu startet.

Eigendlich dürfte er das ja nicht, da die Option "Kein Neustart durchführen wenn Benutzer angemeldet sind" aktiv ist. Solange er aber nicht während der Nutzungszeit automatisch neu startet, kann ich gut damit leben. Dann wäre es mir auch egal wenn Benutzer angemeldet sind.

 

Leider ist das Verhalten an den restlichen Testpcs schlecht.

 

Es steht zwar das Gerät wird außerhalb der Nutzungszeit neu gestartet aber direkt nach der Installation kommt das Infofenster wo ich Jetz neustarten klicken muss oder nicht jetzt. Mache ich nichts dann wird nach 60 Minuten automatisch neu gestartet, egal wer angemeldet ist.

Habe nun mal das Fenster auf Nicht konfiguriert gesetzt und muss nun testen ob er trotzdem nach einer Stunde automatisch neu startet oder nicht.

 

grafik.png.ceb9377bd521212f4a1244828ca67f01.png

Edited by goat82

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb Sunny61:

Bei uns sieht das so aus:

 

 

Bei dir fehlt noch etwas wichtiges, aber du willst das ja nicht einstellen.

 

grafik.png

Ihr nehmt mich alle auf den Arm. Ich will das doch einstellen aber es funktioniert bisher nicht!

Die obere Meldung kommt zwar aber das Zwangsfester mit den Optionen jetzt nicht oder jetzt neu starten ebenfalls. Reagiere ich hier nicht wird der PC automatisch in 60 Minuten neu gestartet.

Leider ist 60 Minuten das Maximale an Zeit wo man eingeben kann, sonst würde ich das einfach auf 5h stellen und somit könnte mir der Rest egals sein.

 

An alle Guros.

Es funktioniert NICHT.

Nach der Updateinstallation kommt immer das Zwangsfenster. (Jetzt nicht oder jetzt neustarten oder warten bis der counter 15-60min) abläuft dann erfolgt der automatische Neustart.

MS gehört verklagt aber sowas von!!!

Ich weiß nicht mehr weiter.

 

Edited by goat82

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb goat82:

Ich will das doch einstellen aber es funktioniert bisher nicht!

Was funktioniert nicht? Kannst Du es nicht einstellen oder hast Du es eingestellt und es macht nicht das was es soll?

 

Anbei die Einstellungen, die bei uns im Einsatz sind.

 

 

 

WSUSPDF.pdf

vor 1 Stunde schrieb goat82:

MS gehört verklagt aber sowas von!!!

Ich weiß nicht mehr weiter.

Wenn es gar nicht funktioniert, dann eröffne bei MS ein Support Ticket.

Edited by Sunny61

Share this post


Link to post
Share on other sites

Es funktioniert leider nicht. Immerhin wird der Neustart nach manueller Installation nun nicht mehr durchgeführt aber auch das ist ein Bug da ich die Nutzungszeit auserhalb der Installation konfiguriert habe und die Regel kein Neustart bei angemeldeten Benutzer nicht aktiviert habe.

Was ich bisher nicht testen konnte war die automatische Installation.....Hier ist die Installation leider immer direkt angelaufen wenn ich Updates freigegeben habe.

 

Naja ich werde deine Einstellungen testen. Wie macht ihr das in der Firma? Laufen eure PCs ab 3:00 Uhr nachts?

Was passiert wenn ich den Installationszeitpunkt auf 3:00 Uhr einstelle die Clients aber erst um 9:00 Uhr online gehen?

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...