Windows Update über GPO per AD

[VirtuaLia]

Hallo,

kann mir jemand eventuell verraten wie man Windows Update über GPO konfigurieren kann?

Ich hab hier ein AD mit einer OU und dort sind mehrere User drin. Alles Vista PCs. Dieser OU möchte ich jetzt ein GPO zuteilen.

Im GPO hab ich unter Computer Settings die Windows Update Einstellung festgelegt.

Die Richtlinie sind auch der OU zugeteilt, also das GPO.


Jedoch kann jeder User dennoch selbst einstellen wann z.B. Updates gedownloadet werden usw. D.h. die Richtlinie wird nicht anerkannt.

Hoffe jemand hat einen Rat.

MFG,
VirtuaLia

 

[nubi80]

Computer Settings ziehen auf nur auf Computer nicht auf User

du musst die Richtlinie an eine OU Binden in der Computerkonten liegen und schon geht das ganze

grüße
nubi

 

[VirtuaLia]

Ich hab den PC jetzt von Computers mit in die OU gezogen und die Richtlinie nochmal neu angelegt, allerdings kann der User dennoch die Update Einstellungen ändern.

 

[nubi80]

werden die von dir gemachten einstellungen auf den PC übertragen?
welche rechte haben die user?

 

[VirtuaLia]

Also ich hab was das Rechtemanagement angeht noch nichts zugeteilt.

Bis jetzt ist eine OU angelegt wo der PC halt drin ist und wo ich einen User angelegt habe. Ich gehe davon aus das der User dann die Standardrechte hat. Ich hab beim connecten des Clients bei Vista auch ausgewählt Standarduser und nicht Administrator.

Vielleicht liegt es daran, dass der User keiner Gruppe zugeteilt ist. Muss ich denn eine globale Gruppe anlegen, welche selber dann z.B. Member von Users ist und dieser den Client User hinzufügen?

Wie kann ich prüfen ob die Einstellungen übertragen wurden? Das einzige was ich bis jetzt geprüft habe ist, wenn ich mit dem Client verbinde, dass er unter Netzwerkumgebung im sysvol diese *.pol Datei hat welche die RegistrySchlüssel, bei der auch die Update Regeln drin sind.

 

[nubi80]

Ich hab beim connecten des Clients bei Vista auch ausgewählt Standarduser und nicht Administrator

hä?

du bist dir aber schon sicher, dass du dich an deiner domäne mit dem domänenbenutzer anmeldest?
irgendwie zweifel ich daran.

 

[VirtuaLia]

Ja das ist klar. Ich geh ja bei Vista über die Systemsettings auf Netz ID und verbinde mich zu einem business netzwerk mit Domain. Da habe ich ja auch die Zugangsdaten des Users den ich aufm AD Server angelegt habe eingegeben. Es wird dennoch am Ende bevor ich auf Fertigstellen klicke gefragt ob der User ein Standarduser, Administrator oder sonswas (Backup User o.ä.) sein soll. Da hab ich schon Standard und Admin probiert.

Ich kann mich ja problemlos mit den Daten nach nem neustart einloggen usw.


Ich bezweifle allerdings das der AD Server die Richtlinien richtig verteilt. Wenn ich mit GPResult prüfe:

GPRESULT /S adservername /USER derbenutzer /SCOPE COMPUTER /V (anstatt den server hab ich auch den client pc namen getestet nur kommt dann RPC server not avaiable)

kommt die Meldung: User derbenutzer does not have RSOP data.

Ich weiß allerdings nicht ob ich den Befehl richtig verwendet habe um das Resultat zu prüfen.

 

[nubi80]

nutz mal die GPMC und den Richtlinienergebnissatz um die angewendeten Richtlinien zu prüfen.

Desweiteren prüfe die Gruppenmitgliedschaft in der Domäne und in den lokalen Gruppen am PC.

Sehr dubioses vorgehen um einen PC in die Domäne aufzunehmen.

 

[VirtuaLia]

Wie gehst du denn vor wenn du einen PC in die Domäne aufnimmst?

Ich habe hier mal einen Screenshot vom GPMC gemacht wo ich die Richtlinien teste. Ich hoffe das ist das was du meinst.

Anscheinen gibts da aber ein Problem... (RPC und WMI ist aufm Client aber gestartet!)

MMO ist die OU wo die PCs drin sind und MMOUsers enthält die Benutzer.

 

[VirtuaLia]

Ahh nachdem ich als lokaler Admin am PC die Windows Firewall ausgeschaltet habe erhalte ich folgenden Report für den entsprechenden User für WIndows Update:


Group Policy Infrastructure: Failed

Access Denied.

Note: Due to GPC Core failure, none of the other Group Policy components processed their policy.

 

[nubi80]

Puh so langsam wirds komisch.

funktioniert denn dein AD sauber? läuft DNS sauber?
was sagt dcdiag /v ?

Ist das denn ne Testumgebung die du da hast oder was produktives?

 

[VirtuaLia]

dcdiag /v spuckt so einiges aus. Was mit GPO zu tun hat ist aber immer wieder das selber: Access Denied.

Ich hab jetzt noch etwas herausgefunden: Im Server Manager in den Windows Log und dann unter System hab ich andauern eine Meldung der Art:

The session setup from the computer ANPC failed to authenticate. The following error occured: Access Denied.

Also irgendwas stimmt doch wohl mit den Rechten nicht o.ä. ?

Und ja es ist ein produktives System. Wenn ich das letztendlich nicht hinbekomme muss wohl demnächst ein absoluter Fachmann kommen.


EDIT:
Noch als Info. Bei den Results die bei den Tests rauskommen, ist der Fehler auch nur bei der Computer Configuration Summery gelistet. Bei der User... steht bei Component Status->Group Policy Infrastructure: Success


EDIT 2:

Ich hab den PC jetzt mal aus der Domain entfernt und den Computer Namen selbst in der Domain nochmals hinzugefügt. Wenn ich jetzt über Vista versuche wieder zu joinen, sagt er der PC existiert schon und ob ich den Namen nutzen will. Nehme ich ja, kommt wieder Access Denied. Vielleicht ist ja auch was vom Server her falsch, Stichwort Firewall ???

 

[VirtuaLia]

Ok, ich hab einen Fehler in der GPO gefunden. Dort kann man ja noch zusätzlich einstellen, welche PCs usw. die GPO erhalten sollen bzw. autorisiert sind zu nutzen. Da hab ich jetzt den PC hinzugefügt und nun klappte alles 1a. Jetzt hab ich den PC wieder entfernt und nun klappt es auch wieder ganz normal.

Komisch komisch. Aber ich kann jetzt endlich Schluss machen und ausschlafen für den heiligen Abend morgen, oder ähhh heute. Hoffentlich gibts dann mal nen Dankeschön vom cheffe wenn ich demnächst wieder anfange. URLAUB!!!