Windows Update über GPO per AD

V

VirtuaLia

Gast
Hallo,

kann mir jemand eventuell verraten wie man Windows Update über GPO konfigurieren kann?

Ich hab hier ein AD mit einer OU und dort sind mehrere User drin. Alles Vista PCs. Dieser OU möchte ich jetzt ein GPO zuteilen.

Im GPO hab ich unter Computer Settings die Windows Update Einstellung festgelegt.

Die Richtlinie sind auch der OU zugeteilt, also das GPO.


Jedoch kann jeder User dennoch selbst einstellen wann z.B. Updates gedownloadet werden usw. D.h. die Richtlinie wird nicht anerkannt.

Hoffe jemand hat einen Rat.

MFG,
VirtuaLia
 

nubi80

Lieutenant
Dabei seit
Apr. 2008
Beiträge
609
Computer Settings ziehen auf nur auf Computer nicht auf User

du musst die Richtlinie an eine OU Binden in der Computerkonten liegen und schon geht das ganze

grüße
nubi
 
V

VirtuaLia

Gast
Ich hab den PC jetzt von Computers mit in die OU gezogen und die Richtlinie nochmal neu angelegt, allerdings kann der User dennoch die Update Einstellungen ändern.
 

nubi80

Lieutenant
Dabei seit
Apr. 2008
Beiträge
609
werden die von dir gemachten einstellungen auf den PC übertragen?
welche rechte haben die user?
 
V

VirtuaLia

Gast
Also ich hab was das Rechtemanagement angeht noch nichts zugeteilt.

Bis jetzt ist eine OU angelegt wo der PC halt drin ist und wo ich einen User angelegt habe. Ich gehe davon aus das der User dann die Standardrechte hat. Ich hab beim connecten des Clients bei Vista auch ausgewählt Standarduser und nicht Administrator.

Vielleicht liegt es daran, dass der User keiner Gruppe zugeteilt ist. Muss ich denn eine globale Gruppe anlegen, welche selber dann z.B. Member von Users ist und dieser den Client User hinzufügen?

Wie kann ich prüfen ob die Einstellungen übertragen wurden? Das einzige was ich bis jetzt geprüft habe ist, wenn ich mit dem Client verbinde, dass er unter Netzwerkumgebung im sysvol diese *.pol Datei hat welche die RegistrySchlüssel, bei der auch die Update Regeln drin sind.
 
Zuletzt von einem Moderator bearbeitet:
V

VirtuaLia

Gast
Ja das ist klar. Ich geh ja bei Vista über die Systemsettings auf Netz ID und verbinde mich zu einem business netzwerk mit Domain. Da habe ich ja auch die Zugangsdaten des Users den ich aufm AD Server angelegt habe eingegeben. Es wird dennoch am Ende bevor ich auf Fertigstellen klicke gefragt ob der User ein Standarduser, Administrator oder sonswas (Backup User o.ä.) sein soll. Da hab ich schon Standard und Admin probiert.

Ich kann mich ja problemlos mit den Daten nach nem neustart einloggen usw.


Ich bezweifle allerdings das der AD Server die Richtlinien richtig verteilt. Wenn ich mit GPResult prüfe:

GPRESULT /S adservername /USER derbenutzer /SCOPE COMPUTER /V (anstatt den server hab ich auch den client pc namen getestet nur kommt dann RPC server not avaiable)

kommt die Meldung: User derbenutzer does not have RSOP data.

Ich weiß allerdings nicht ob ich den Befehl richtig verwendet habe um das Resultat zu prüfen.
 

nubi80

Lieutenant
Dabei seit
Apr. 2008
Beiträge
609
nutz mal die GPMC und den Richtlinienergebnissatz um die angewendeten Richtlinien zu prüfen.

Desweiteren prüfe die Gruppenmitgliedschaft in der Domäne und in den lokalen Gruppen am PC.

Sehr dubioses vorgehen um einen PC in die Domäne aufzunehmen.
 
V

VirtuaLia

Gast
Wie gehst du denn vor wenn du einen PC in die Domäne aufnimmst?

Ich habe hier mal einen Screenshot vom GPMC gemacht wo ich die Richtlinien teste. Ich hoffe das ist das was du meinst.

Anscheinen gibts da aber ein Problem... (RPC und WMI ist aufm Client aber gestartet!)

MMO ist die OU wo die PCs drin sind und MMOUsers enthält die Benutzer.
 

Anhänge

V

VirtuaLia

Gast
Ahh nachdem ich als lokaler Admin am PC die Windows Firewall ausgeschaltet habe erhalte ich folgenden Report für den entsprechenden User für WIndows Update:


Group Policy Infrastructure: Failed

Access Denied.

Note: Due to GPC Core failure, none of the other Group Policy components processed their policy.
 

nubi80

Lieutenant
Dabei seit
Apr. 2008
Beiträge
609
Puh so langsam wirds komisch.

funktioniert denn dein AD sauber? läuft DNS sauber?
was sagt dcdiag /v ?

Ist das denn ne Testumgebung die du da hast oder was produktives?
 
V

VirtuaLia

Gast
dcdiag /v spuckt so einiges aus. Was mit GPO zu tun hat ist aber immer wieder das selber: Access Denied.

Ich hab jetzt noch etwas herausgefunden: Im Server Manager in den Windows Log und dann unter System hab ich andauern eine Meldung der Art:

The session setup from the computer ANPC failed to authenticate. The following error occured: Access Denied.

Also irgendwas stimmt doch wohl mit den Rechten nicht o.ä. ?

Und ja es ist ein produktives System. Wenn ich das letztendlich nicht hinbekomme muss wohl demnächst ein absoluter Fachmann kommen.


EDIT:
Noch als Info. Bei den Results die bei den Tests rauskommen, ist der Fehler auch nur bei der Computer Configuration Summery gelistet. Bei der User... steht bei Component Status->Group Policy Infrastructure: Success


EDIT 2:

Ich hab den PC jetzt mal aus der Domain entfernt und den Computer Namen selbst in der Domain nochmals hinzugefügt. Wenn ich jetzt über Vista versuche wieder zu joinen, sagt er der PC existiert schon und ob ich den Namen nutzen will. Nehme ich ja, kommt wieder Access Denied. Vielleicht ist ja auch was vom Server her falsch, Stichwort Firewall ???
 
Zuletzt von einem Moderator bearbeitet:
V

VirtuaLia

Gast
Ok, ich hab einen Fehler in der GPO gefunden. Dort kann man ja noch zusätzlich einstellen, welche PCs usw. die GPO erhalten sollen bzw. autorisiert sind zu nutzen. Da hab ich jetzt den PC hinzugefügt und nun klappte alles 1a. Jetzt hab ich den PC wieder entfernt und nun klappt es auch wieder ganz normal.

Komisch komisch. Aber ich kann jetzt endlich Schluss machen und ausschlafen für den heiligen Abend morgen, oder ähhh heute. Hoffentlich gibts dann mal nen Dankeschön vom cheffe wenn ich demnächst wieder anfange. URLAUB!!!
 
Top