[Jadekiss]

Hallo ihr Lieben

Ich habe mal eine Frage bezüglich Gruppenrichtlinien.
Ich bin gerade erst frisch aus der Ausbildung, daher verzeiht mir meine Unwissenheit.

Folgendes Problem:

Ich habe eine Domäne xxxx.local und darunter laufen all die Gruppenrichtlinien.
z.B.:

-Default Domain Policy
-Update Services Client Computers Policy
-Update Services Common Settings Policy
-Update Services Server Computers Policy

Die drei rotmarkierten GPOs sind wahrscheinlich für den WSUS zuständig richtig

Meine Frage ist, wir haben Mitarbeiter die sind nicht immer bei uns im Netz und ich möchte das bei diesen Mitarbeitern die GPO so eingestellt ist, dass sie sich nicht über den WSUS updaten sondern es unabhängig vom WSUS automatisch ziehen (sowie ein Standard home PC zu Hause), wie mach ich das ?

Zur Zeit ziehen sich ja alle Clients diese GPO und dementsprechen ziehen sich die Clients die ausserhalb unserer Domäne arbeiten keine Updates, da sie ja keine Verbindung zu unserem Server haben.

Ich wäre euch sehr dankbar, wenn ihr mir da weiterhelfen könntet!

Gruß Tad

[RalphS]

Naja, WSUS bringt nicht viel, wenn man es umgehen kann. Die Idee ist ja, überall denselben Stand zu haben. Wenn das nicht wichtig ist, braucht man den WSUS auch nicht so wirklich.

Wenn doch, würde ich dazu eine VPN-Verbindung einrichten und/oder, falls möglich, das über NPAS erledigen. Das hieße dann, daß der Client dann aktualisiert wird, wenn er sich wieder ins Firmennetz einbucht - entweder per VPN oder halt direkt. NB: das erfordert dann wegen der Sicherheit einen dedizierten WSUS (in Replica-Konfiguration) und, soweit möglich, ein abgetrenntes (isoliertes) Netzwerksegment als Wartungsnetz.

Dieser Beitrag wurde von RalphS bearbeitet: 03. Februar 2014 - 09:54

[Jadekiss]

Also der WSUS ist schon gewollt, und die Außendienstmitarbeiter haben alle einen VPN Client.

D.h. sobald die sich mit VPN einwählen zieht er sich über WSUS automatisch die neuen Updates oder wie darf ich das verstehen ?

Klingt alles sehr....kompliziert

[Mondragor]

Ich hoffe ich verstehe das nicht falsch.
WSUS ist doch ein Updateserver, der vom Admin definierte / ausgewählte Softwareupdates von Microsoft speichert und nach Richtlinien an die im der Domäne befindlichen Clientrechner und Server verteilt, oder?
Ich kenne das so, dass dieser Server explizit mittels CMD: "gpedit.msc" → Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Windows-Update→ und dort "interner Pfad für Microsoft Updatedienst" angegeben wird. Wenn da keiner eingetragen ist oder dies deaktiviert wird, kann doch nur von extern installiert werden, oder?

Dieser Beitrag wurde von Mondragor bearbeitet: 07. Februar 2014 - 11:15

[RalphS]

Wenn er nicht in der Domain verwaltet wird, ja. Dort läßt man stattdessen von den DCs die GPO(s) ausrollen (via gpmc.msc).

Da kann man aber auch einstellen, daß sich der WSUS nach per GPO konfigurierten Klassen orientiert. Oder man steckt den bzw. die Clients so in die Domainstruktur, daß die WSUS-GPO schlicht nicht angewendet wird (sagen wir Du hast eine OU=Extern und eine OU=Intern, beide stehen direkt unterhalb von OU=Rechner und die WSUS-GPO hängt halt an der OU=Intern).

Entsprechend kann man dann auch ein Wartungsnetz aufmachen (so man das will), das läuft dann über NPAS: Gerät kommt, wird auf bestimmte Kriterien überprüft (hier: sind vorgeschriebene Windows-Updates installiert) und je nachdem ob Ja oder Nein wird der Cient dann von NPAS entweder ins interne Netz gelassen oder aber in das Wartungsnetz gesteckt... wo sich noch der fragliche zusätzliche WSUS drin befindet. Der Client kann dann direkt auf den WSUS zugreifen (und NUR darauf) und sich seine Updates holen, und wenn er die alle hat, dann darf er auch ins interne Netz rein.

Das ist insbesondere für Remote Logins gedacht (VPN, DirectAccess). Für "normale", vor Ort stehende Clients bringt das ja nix, die werden ja sowieso rund um die Uhr durch die Domain überwacht (im Ggs zu den 'externen' Clients).

Haken daran ist natürlich, daß das nur funktioniert, wenn sich der Rechner ins Firmennetz einbucht... und daß die GPO-Parameter im System erhalten bleiben, wenn der Rechner nicht mehr im Wirkungsbereich der Domain ist (sprich, wenn man den Laptop vom Firmen-LAN trennt).

Was ich persönlich aber für die bessere Alternative halte. Denn wenn die User anfangen, selber ihre Geräte zu aktualisieren und dann funktioniert irgendwas nicht mehr, dann sucht man sich als Admin den Wolf... denn KB87654321 hatte man ja gar nicht freigegeben, und würde auch gar nicht auf die Idee kommen, weil man als Admin ja WEIß daß das Probleme macht.


NB. Dafür reicht ein Server dann aber nicht (mehr) aus. Ist schon schlimm genug, daß der SBS alles selber machen muß (okay, daran ist Microsoft schuld). Der wirklich einfachste Weg (aber auch potentiell gefährlichste, aus genannten Gründen) ist der, die Clients so in OUs einzusortieren, daß die einen den internen WSUS abkriegen und die anderen aber nicht. Dann werden die ersteren halt automatisch verwaltet... und die letzteren müssen von den Benutzern aktuell gehalten werden,das Adminteam müßte sich halt dran gewöhnen, daß es verwaltete UND nicht-verwaltete Clients gibt und die (externen) User müßten sich dran gewöhnen, daß ihr System halt potentiell die Hufe hochreißt, weil irgendein Update nicht mit dem Rest zusammenarbeiten will.

Dieser Beitrag wurde von RalphS bearbeitet: 07. Februar 2014 - 13:24