Windows Server 2008 R2 Gruppenrichtlinie wird nicht überschrieben

[FF-Jan]

Hallo,

Ich habe ein Problem mit Gruppenrichtlinien.
Bei uns ist es wie folgt aufgebaut:



Nun zu meinem Problem:
In der GPO_Schwarzer Balken die für alle Anwender greift, haben wir definiert, das die Windows Update Funktionen deaktiviert sind.

In der Organisationseinheit SERVER sind wie der Name schon sagt alle Server.

Diese Server sollen die Updates nicht installieren, so das wir Administratoren das machen müssen.
In der GPO_Schwarzer Balken haben wir definiert das die Windows Update Funktionen Deaktiviert sind, diese haben wir in der GPO_WSUS_SERVER wieder aktiviert. Auch ein erzwingen der GPO_WSUS_SERVER brachte kein Erfolg.
Die Reihenfolge in der Organisationseinheit ist so, das zu erst die GPO_WSUS_SERVER verwendet wird, anschließend folgen die Vererbungen.

Nun woran könnte das liegen?

Mit freundlichen Grüßen,
Jan

 

[Frightener]

Verstehe ich nicht. So wie Du das schreibst ist es genau falschrum: In GPO_WSUS_SERVER muß WindowsUpdate deaktiviert werden.

GPOs werden hierarchisch angewendet:
lokale GPO -> Domain -> NWO -> Server

 

[GreyhoundHH]

Ich habe leider so adhoc keine Lösung für Dich, aber einen anderen Hinweis.

Mit dem Posten von unternehmensinternen Informationen über den Aufbau Eurer IT wäre ich lieber vorsichtig. Du hast hier schließlich einen Screenshot Eurer AD-Struktur veröffentlicht aus dem klar das Unternehmen abzuleiten ist...

 

[Sk8OrCrunk]

Ähm...?
Warum lässt du nicht das Update über die WSUS Gruppen laufen? Für alle Computer/Server eine Richtlinie und gut ist.. solange du im WSUS nichts frei gibst, wird auch nichts geupdatet.
Finde deinen Ansatz ziemlich kompliziert..

EDIT: Schließ ich meinem Vorredner an... Solltest wirklich aufpassen mit sowas.

 

[Frightener]

Vom Ansatz ist das genau richtig. Über GPOs ist das viel flexibler.

 

[FF-Jan]

Also die Daten habe ich entfernt, Danke für den Hinweis

Zurück zum Thema:
@Frightener
Also in der GPO_Schwarzer Balken haben wir die Funktion "Zugriff auf alle Windows Update-Funktionen entfernen" aktiviert, in der WSUS Server ist diese Funktion deaktiviert.

 

[Frightener]

Du solltest schreiben, welche Einstellung Du konfiguriert hast. Du hast offensichtlich nur den Zugriff auf die Systemsteuerung konfiguriert, nicht aber, wie die Computer/Server sich updaten (automatisch, manuell...).

Die von Dir beschriebene Einstellung ist eine USER-Einstellung, die nicht auf Computer angewendet wird.

 

[FF-Jan]

Also in der GPO_Schwarzer Balken also die Für die Clients ist die automatische Installation ohne Benachrichtigung konfiguriert.
In der WSUS ist die manuelle Installation konfiguriert, das greift soweit auch, nur die oben genannte Funktion ist nicht verfügbar.
Diese wirs ja benötigt um die Updates manuell zu installieren.

 

[Frightener]

Welche 'oben genannte' meinst Du, die User-Einstellung?

Ergänzung (19. November 2013)

Führe doch mal 'GPRESULT /H C:\temp\result.html' auf einem Server aus und prüfe, welche Polies angewendet werden.

 

[FF-Jan]

Jop die User meine ich.
Das werde ich gleich mal testen.

 

[Frightener]

Die Usereinstellung muß auf User angewendet werden. Sind die Admins in der Server-OU?

 

[FF-Jan]

Also die Admins sind dort nicht drinne, da diese schon in einer anderen OU verlinkt sind.
Gibt es da nicht die Möglichkeit eine Funktionale Gruppe zu erstellen und die User diese zuordnen?

 

[Frightener]

Dazu müßte man wissen, wie die User OU-technisch sortiert sind. Du könntest die Einstellung "Zugriff auf alle Windows Update-Funktionen entfernen" z.B. nur auf die User-OU anwenden - sofern die Admins dort nicht drinne sind. Bei uns sind die Admins, Serviceaccounts... z.B. in einer OU ".Common" (mit Punkt) und sind so vom Rest der Struktur abgetrennt.

Kannst natürlich auch per Security Filtering die eine GPO für die Admins blockieren. Alles eine Sache der Organisation.