8
Client aus WSUS ordentlich austragen
Hallo,
ich stelle gerade unsere Clients für die Updatesuche um. Bisher haben sie über WSUS ihre Updates erhalten, da wir aber eine neue Software gekauft haben, die unter anderem den WSUS ersetzen soll, will bzw. muss ich die Clients logischerweise aus dem WSUS entfernen, da sie sonst aus zwei Quellen Updates beziehen würden. Da ich diese Umstellung schrittweise vornehme, teste ich das zunächst bei einigen Clients. Dazu entferne ich auf diesen Clients den kompletten Registryzweig unter [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] und setze dann AUOptions auf 1, damit der PC von sich aus nie nach Updates sucht (das ist nötig, damit die neue Software die Updates bereitstellen und verteilen kann). Jetzt habe ich das Problem, dass nach einiger Zeit die Einstellungen von Windows Update wieder ausgegraut werden, ganz so als wären sie wieder im WSUS drin. Jedoch wird der WSUS nicht in der Registry gelistet bzw. finden sich unter [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] nur AUOptions mit Wert 1 sowie NoAUAsDefaultShutdownOption mit Wert 0. Kann es sein, dass der WSUS eine Prüfung der Clients durchführt und versucht "fehlerhafte" Clients automatisch wieder aufzunehmen? Oder sollte es i.d.R. ausreichen, die entsprechenden Registrywerte zu löschen und WSUS hat dann nur noch Datensatzleichen? Aus Windowssicht her will ich lediglich Windows Update auf den Clients in den Urzustand bringen, also mit Microsoft als Quelle und dann die Updatesuche komplett deaktivieren.
Im nächsten Schritt will ich dann noch die Update Einstellungen für die lokale Gruppe Hauptbenutzer sperren, dazu wäre mein Ansatz, die Berechtigungen für den Registrypfad für die Hauptbenutzer auf read-only zu setzen. Kann ich das so machen, oder gibt es da elegantere Wege?
Beste Grüße
BleppSatter
ich stelle gerade unsere Clients für die Updatesuche um. Bisher haben sie über WSUS ihre Updates erhalten, da wir aber eine neue Software gekauft haben, die unter anderem den WSUS ersetzen soll, will bzw. muss ich die Clients logischerweise aus dem WSUS entfernen, da sie sonst aus zwei Quellen Updates beziehen würden. Da ich diese Umstellung schrittweise vornehme, teste ich das zunächst bei einigen Clients. Dazu entferne ich auf diesen Clients den kompletten Registryzweig unter [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] und setze dann AUOptions auf 1, damit der PC von sich aus nie nach Updates sucht (das ist nötig, damit die neue Software die Updates bereitstellen und verteilen kann). Jetzt habe ich das Problem, dass nach einiger Zeit die Einstellungen von Windows Update wieder ausgegraut werden, ganz so als wären sie wieder im WSUS drin. Jedoch wird der WSUS nicht in der Registry gelistet bzw. finden sich unter [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] nur AUOptions mit Wert 1 sowie NoAUAsDefaultShutdownOption mit Wert 0. Kann es sein, dass der WSUS eine Prüfung der Clients durchführt und versucht "fehlerhafte" Clients automatisch wieder aufzunehmen? Oder sollte es i.d.R. ausreichen, die entsprechenden Registrywerte zu löschen und WSUS hat dann nur noch Datensatzleichen? Aus Windowssicht her will ich lediglich Windows Update auf den Clients in den Urzustand bringen, also mit Microsoft als Quelle und dann die Updatesuche komplett deaktivieren.
Im nächsten Schritt will ich dann noch die Update Einstellungen für die lokale Gruppe Hauptbenutzer sperren, dazu wäre mein Ansatz, die Berechtigungen für den Registrypfad für die Hauptbenutzer auf read-only zu setzen. Kann ich das so machen, oder gibt es da elegantere Wege?
Beste Grüße
BleppSatter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 326980
Url: https://administrator.de/contentid/326980
Printed on: April 19, 2024 at 15:04 o'clock
8 Comments
Latest comment
Hallo,
ich denke das deine WSUS Einstellungen über die GPO verteilt werden?
Aus meinem Verständnis, solltest du die Rechner in eine Gruppe verschieben, wo keine WSUS Einstellungen hinterlegt sind.
Ansonsten kannst du in der Reg ändern was du willst. Nach Zeitraum X oder Neustart, trägt die GPO wieder den WSUS bei den Clients ein bzw. versucht es.
ich denke das deine WSUS Einstellungen über die GPO verteilt werden?
Aus meinem Verständnis, solltest du die Rechner in eine Gruppe verschieben, wo keine WSUS Einstellungen hinterlegt sind.
Ansonsten kannst du in der Reg ändern was du willst. Nach Zeitraum X oder Neustart, trägt die GPO wieder den WSUS bei den Clients ein bzw. versucht es.
Nach einiger Zeit - das klingt so al würdem Policeis wieder drüberbügeln.
Kann das sein?
Unabhängig davon:
Lösch einfach die entsprechenden Computerkonten ausm WU Server.
Kann das sein?
Unabhängig davon:
Lösch einfach die entsprechenden Computerkonten ausm WU Server.
Wir haben die Clients direkt am WSUS angebunden und verwalten das über keine GPO, zumindest haben wir keine dafür eingerichtet.
Dann trage ich die Clients am WSUS direkt aus. Danke
Dann trage ich die Clients am WSUS direkt aus. Danke
Hi,
und woher wissen die Clients, das die Ihre Updates nicht von MS sondern vom WSUS beziehen sollen??
Schau dir mal die GPO`s noch mal an ...
greetz
ravers
und woher wissen die Clients, das die Ihre Updates nicht von MS sondern vom WSUS beziehen sollen??
Schau dir mal die GPO`s noch mal an ...
greetz
ravers
Das wissen die, da wir bisher bei jedem PC den WSUS manuell in die Registry (der oben erwähnte Zweig) eingetragen haben. Deshalb bin ich auch auf die Idee gekommen die Registry wieder zu säubern, also die Einträge rückgängig zu machen.
GPO habe ich eben geprüft, da ist keine Richtlinie für Updates oder WSUS.
GPO habe ich eben geprüft, da ist keine Richtlinie für Updates oder WSUS.
GPO habe ich eben geprüft, da ist keine Richtlinie für Updates oder WSUS.
Mag sein.
Fakt ist aber auch, dass ein WSUS selbst nichts aktiv tut. Weder prüft er aktiv ob es Clients gibt die keine Updates holen noch trägt er sich selbst irgendwie bei den Client als zuständiger WSUS ein. Und schon gar nicht pusht er irgendwelche Updates auf den Client.
Alles was der WSUS weiß, weiß er rein passiv anhand von Daten aus seiner Datenbank. Und diese Daten kommen aktiv von den Clients. Meldet sich ein Client nicht, dann ist das für den WSUS einfach so.
Lange Rede kurzer Sinn:
Es muss bei dir irgendeinen Mechanismus geben, der die Clients auf "automatische Updates" und "Vom Administrator verwaltet" umstellt.
Manuel
Hi,
hast du den Windows Update Dienst vorher auch beendet? Durchaus denkbar, dass der das nicht so schön findet und unvorhersehbar reagiert, wenn man ihm die Keys unterm Arsch wegzieht...und sie dadurch ausm Cache wieder schreibt.
hast du den Windows Update Dienst vorher auch beendet? Durchaus denkbar, dass der das nicht so schön findet und unvorhersehbar reagiert, wenn man ihm die Keys unterm Arsch wegzieht...und sie dadurch ausm Cache wieder schreibt.
Ich danke allen für ihre Beiträge, ihr habt mir sehr geholfen. Mein Weg war, die Registry zu säubern also den WindowsUpdate Hive zu löschen und dann den Client neuzustarten. So legt er den Hive neu an mit "Werkseinstellungen" und hat die Microsoftserver als Downloadquelle. Mit dem pausieren des WU-Dienstes wäre es sicherlich nochmal eine Nummer sicherer, das werde ich bei den verbliebenden Clients auch so machen. Damit schließe ich diesen Thread und danke nochmals allen Beteiligten.
