Windows Server Update Einstellungen

Hallo,

ich habe schon aller duchgesucht wo die Einstellungen drin sind die es verhindert das ich die Einstellungen für Windows Update anpassen kann. Ich bin als Domänen-Administrator angemeldet aber kann die Werte dort nicht ändern...

Infos zum System:
Windows Server 2011 SBS (Domänencontroller)

Gruppenrichtlinien, WSUS Rolle... kann einiges sein.
Ein bisschen mehr Infos dürften es schon sein!

Stichwort WSUS, GPO, ...?

schaut nach WSUS aus

die sind wahrscheinlich via GPO (für WSUS?) gesteuert

Der SBS 2011 bringt einen WSUS mit der alle Geräte der Domäne mit Updates versorgt. Es gibt zwei Gruppenrichtlinienobjekte in denen die Einstellungen für den WSUS definiert sind:

1. Update Services Common Settings Policy

Hier sind die allgemeinen Einstellungen für alle Rechner und Server der Domäne. Also zum Beispiel wo der WSUS zu finden ist. Du findest die Einstellungen unter "Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows Komponenten\Windows Update"

2. Update Services Server Computers Policy

Dort sind die Server-spezifischen Einstellungen definiert, ebenfalls im o. g. Pfad. In diesem Fall vermutlich nur was mit den Updates geschehen soll, dass sie also erstmal nur heruntergeladen werden die Installation aber manuell gestartet werden muss damt die Server nicht einfach so einen Neustart hinlegen.

Beide Objekte gelten per WMI-Filter für alle Server einer SBS 2011 Domäne, also auch für den DC.

Es gibt noch ein drittes Objekt das per WMI nur für die Clients gilt. Darüber könntest du zum Beispiel konfigurieren dass Updates bei einem Client automatisch installiert werden ohne dass der User was dagegen tun kann.

In jedem Fall aber sorgt die Konfiguration der Updates per GPO dafür dass du in der Oberfläche selbst nichts mehr umstellen kannst (auf Server und Client) und dort nur den Hinweis findest "Vom Systemadministrator verwaltet".

danke für die Infos, aber ich habe bereits alle richtilinien durchgesucht...
Dort steht aber auch nirgendwo ein eintrag der den Zugriff verhindert.

qlubtempo schrieb:

danke für die Infos, aber ich habe bereits alle richtilinien durchgesucht...
Dort steht aber auch nirgendwo ein eintrag der den Zugriff verhindert.

Anhang anzeigen 488004

Zum Vergrößern anklicken....

Allein die Tatsache DASS sie via GPO definiert werden, verhindert die manuelle Konfiguration der Einstellungen in der Oberfläche. Erst wenn eine Einstellung auf "Nicht konfiguriert" steht, kann man sie wieder in der Oberfläche selbst konfigurieren.

Auf den Clients soll das aber von WSUS gesteuert werden. Auf dem Server selbst aber nicht vom WSUS.

qlubtempo schrieb:

Auf den Clients soll das aber von WSUS gesteuert werden. Auf dem Server selbst aber nicht vom WSUS.

Zum Vergrößern anklicken....

Warum nicht? Ob WSUS oder nicht definiert doch nur erstmal nur den Ort WOHER die Updates kommen. Da spielt es keine Rolle ob die Updates vom WSUS oder von MS kommen.

Dann bleibt nur noch die Einstellung WANN und WIE die Updates installiert werden sollen. Die kannst du in der GPO "Update Services Server Computers Policy" steuern.

Und wenn dir das nicht reicht, dann musst du eben neue GPOs erstellen und mit den Servern verknüpfen die alles genau so steuern wie du es willst. Ist doch ganz einfach.

Und wenn du die Server ganz raus haben willst, dann passe doch einfach die WMI-Filter der jetzigen GPO-Objekte an damit die Einstellungen nicht mehr für die Server greifen.

ich glaube das beste, bevor du da irgendwas machst, ist, das du dich mal ganz tief in die Materie WSUS & GPO einzulesen, du scheinst da noch nicht wirklich Ahnung von zu haben - und als Admin kann man auch unter Windows Server viel kaputt machen

In der Regel muss da auch nichts geändert werden, aber der Kunde wollte das so haben... habe es jetzt aber hinbekommen. Es gibt noch in der SBS Console einen Punkt wo man den Server davon ausschließen kann.

GPO ist in der Regel auch nicht schwer nur diverse Einträge machen es unübersichtlich.