Update auf Windows 11 verhindern, wenn es eigentlich schon zu spät ist...

Mr. Robot

Lieutenant
Registriert
Nov. 2015
Beiträge
940
Hallo!
(Ich hoffe, ich bin mit dem Thema im richtigen Subforum...)

Wir würden gerne über eine GPO im AD verhindern, dass unsere Mitarbeiter ein Update auf Windows 11 durchführen.
Das Thema ist ja nicht neu. Und so weit ich gelesen habe, sollte folgendes ausreichen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "TargetReleaseVersion"=dword:00000001 "ProductVersion"="Windows 10" "TargetReleaseVersionInfo"="21H2"

Das Problem an der Sache ist, dass ein Mitarbeiter das Windows 11 Update bereits aufgespielt hat.

Meine Befürchtung ist jetzt, dass dieser Mitarbeiter Probleme bekommen könnte, wenn wir diese GPO aktiv schalten. Sprich, was macht diese GPO mit einem aktiven Windows 11? Blockt das für ihn Sicherheits-/Featureupdates, da die ja "höher" sind als Windows 10?
Oder juckt das diesen Client nicht?
 
Testet es doch an der betroffenen Workstation aus? Zur Not spielt ein 10er Image dann wieder ein. Oder habt ihr keine Testworkstation?
 
Wenn Win 11 über die Updatefunktion aufgespielt wurde, und nicht irgend eine Bereinigung durchgeführt wurde, so sollte man wieder zu Win10 zurück können. Auf Einstellung - System - Wiederherstellung - zurück, dann den Anweisungen folgen.
 
Sollte ein MA nicht ohnehin mit eibgeschränkten rechten auf seinem Benutzerkonto arbeiten?
Wieso hat er überhaupt das "recht" so ein Update durchführen zu können?
 
  • Gefällt mir
Reaktionen: BFF
Vermutlich weil dieser Mitarbeiter keine Putzfrau ist und daher diese Rechte benötigt - wie zB. alle Techniker im Ausseneinsatz.

Was die GPO angeht, diese wird von dem betroffenen Rechner ignoriert (keine Auswirkung).
 
Tulol schrieb:
Sollte ein MA nicht ohnehin mit eibgeschränkten rechten auf seinem Benutzerkonto arbeiten?
Wieso hat er überhaupt das "recht" so ein Update durchführen zu können?
Unsere Mitarbeiter haben keine Adminrechte. Die braucht man für das Upgrade offenbar nicht (mit den Standardeinstellungen). Danke, Microsoft... :grummel:

Nickel schrieb:
Innerhalb 10 Tagen.
Als wir das gesehen haben, hatte er es wohl schon seit drei Wochen drauf.
Wenigstens hat er mit Windows 11 anscheinend keine Probleme. Alle seine Programme funktionieren zum Glück noch.

alphatau schrieb:
Testet es doch an der betroffenen Workstation aus? Zur Not spielt ein 10er Image dann wieder ein. Oder habt ihr keine Testworkstation?
Ich benutze den Rechner eines produktiven Mitarbeiters nicht für Experimente. Ich hänge an meinem Job... :D

Aber du hast mich trotzdem auf eine Idee gebracht.
Ich hab die GPO jetzt einfach mal in einer Win 11 VM auf meinem Privatrechner aktiviert. Er zieht sich im Moment trotzdem noch seine Updates. Es scheint, als wenn ihm diese GPO nichts ausmacht.
Ich vermute, dass sich der Windows 11 Rechner in unserer Domaine dann auch so verhält.
 
  • Gefällt mir
Reaktionen: Tulol
Robo32 schrieb:
Vermutlich weil dieser Mitarbeiter keine Putzfrau ist und daher diese Rechte benötigt - wie zB. alle Techniker im Ausseneinsatz.
Finde diese Aussage gleich Doppelt diskriminierend.
1. allen Reinigungskräften gegenüber
2. Dem "Techniker" der zu blöd ist seinen Vorgesetzten zu fragen ob das Update überhaupt vorgesehen ist.(oder hinreichend gebildet zu sein um es generell zu hinterfragen)
 
Mr. Robot schrieb:
Unsere Mitarbeiter haben keine Adminrechte. Die braucht man für das Upgrade offenbar nicht (mit den Standardeinstellungen). Danke, Microsoft... :grummel:

Sicher ist MS schuld. Ich würde eher sagen, die lokale IT ist der Schuldige. Wer so was nicht im Griff hat, da möchte ich nicht wissen, wie die IT Landschaft da vor Ort aussieht.
 
BlubbsDE schrieb:
Sicher ist MS schuld. Ich würde eher sagen, die lokale IT ist der Schuldige. Wer so was nicht im Griff hat, da möchte ich nicht wissen, wie die IT Landschaft da vor Ort aussieht.
Wir sind nur ein kleines IT-Team, und die Firma zu klein, um einen WSUS-Server zu betreiben, oder ähnliche Späße.
Aber ich finde es interessant, dass du von den Windows Updates auf den Zustand unserer IT-Landschaft schließen kannst.
Wir arbeiten aber natürlich weiterhin an Verbesserungen! Oder versuchen es zumindest... :)
 
  • Gefällt mir
Reaktionen: Smartbomb
Dazu braucht man keinen WSUS. Das kann man auch einfach per Policy regeln..
 
  • Gefällt mir
Reaktionen: BFF
Darum geht es in diesem Thread doch gerade, und dass wir damit spät dran sind.

Du bist vermutlich ein perfekter Admin?
 
Nein, ich bin kein Admin. In dieser Richtlinie konfigurierst Du das.

Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update/Windows Update für Unternehmen.

Ihr nutzt doch keine Home Versionen oder? Wohl eher nicht, wenn ihr eine Domäne nutzt.
 
Wieso wird hier eigentlich immer gleich so rumgetrollt? Wenn man die Antwort weiß, antwortet man. Wenn man nichts zum Thema beizutragen hat außer Häme und Kritik hält man einfach mal die Klappe.
 
  • Gefällt mir
Reaktionen: Tito_2000, BeBur, trabifant und 6 andere
BlubbsDE schrieb:
Nein, ich bin kein Admin. In dieser Richtlinie konfigurierst Du das.

Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update/Windows Update für Unternehmen.

Ihr nutzt doch keine Home Versionen oder? Wohl eher nicht, wenn ihr eine Domäne nutzt.
Lustigerweise existiert diese Richtlinie nicht in unserer Policy...
Daher bin ich auch gerade am WSUS frickeln.
 
Doch doch. Das exisitiert da. @Snakeeater
Exakt da wo @BlubbsDE beschrieben hat.

1653523255730.png
 
das hängt von den ADMX Templates des DC ab, und ist durchaus möglich dass die Einstellungen (noch) fehlen
Mit den aktuellen W10 Templates lassen sich diese aber einspielen.
 
Die ADMX/L lädt man sich von MS und kopiert die in den Zentralen Pfad. Da muß man nix von einem Computer holen. 😁
 
Zurück
Oben