Zugriff auf "Online nach Microsoft Updates suchen" verbieten

Discussion:

(zu alt für eine Antwort)

Patrick

vor 17 Jahren

Hallo,

wir verwenden einen WSUS-Server der Version 3.0 mit SP1, worüber sämtliche
bei Microsoft verfügbare Updates verteilt werden.
Sobald diese von unserer Abteilung als fehlerfrei klassifiziert werden,
werden diese Updates auch bei anderen Abteilungen installiert, um zu
vermeiden, dass sämtliche Clients durch Updates mit Problemen behaftet sind.
Das hat bisher auch immer wunderbar geklappt (Windows XP).
Jedoch gibt es mit Windows Vista die Funktion "Online nach Microsoft Updates
suchen", wodurch ein User selbständig noch nicht freigegebene Updates
installieren kann.
Lässt sich dies über Gruppenrichtlinien verhindern?
Ich hoffe Ihr könnt mir bei meinem Problem weiterhelfen.

Gruß
Patrick

Mark Heitbrink [MVP]

vor 17 Jahren

Permalink

Hi,

Post by Patrick
Jedoch gibt es mit Windows Vista die Funktion "Online nach Microsoft Updates
suchen", wodurch ein User selbständig noch nicht freigegebene Updates
installieren kann.
Lässt sich dies über Gruppenrichtlinien verhindern?

Schau in die Windows Update Category der Benutzerkonfig.

Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Winfried Sonntag [MVP]

vor 17 Jahren

Permalink

Benutzerkonfiguration:
*Zugriff auf alle Windows Update Funktionen entfernen.*
Damit werden die systemweiten Einträge auf Windows Update entfernt, z.B.
im IE ist via das Menü Extras kein Eintrag zu Windows Update mehr
vorhanden. Ebenfalls gibt es keine Benachrichtigung, also kein Symbol im
Systray, für angemeldete Administratoren. Dies gilt natürlich nur für
User, die auch im Verwaltungsbereich der Richtlinie liegen. Obwohl im
Explain nicht explizit genannt, kann diese Richtlinie auch unter W2K
erfolgreich eingesetzt werden.

Servus
Winfried

--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

Thomas Hartung

vor 17 Jahren

Permalink

Hallo WInfried,

Post by Winfried Sonntag [MVP]
*Zugriff auf alle Windows Update Funktionen entfernen.*

Klingt eigentlich nach Admin-Traum, die Einstellung. Aber der Teil hier:

"Die automatische Aktualisierung von Windows wird ebenfalls deaktiviert;
Sie werden weder über wichtige Aktualisierungen unterrichtet, noch
erhalten Sie sie von Windows Update. "

lässt darauf schließen, dass dann auch automatisch vie WSUS nichts mehr
geht, oder liege ich falsch?

Mit freundlichen Grüßen

--
MAGNET-SCHULTZ GmbH & Co.
Fabrikations- und Vertriebs-KG
Tel.: +49 (8331) 104-352 Fax: +49 (8331) 104-7352
E-mail: Thomas.Hartung_[REMOVE_THIS!]@magnet-schultz.de

Thomas Hartung
Systemadministration
Datenverarbeitung

Winfried Sonntag [MVP]

vor 17 Jahren

Permalink

Post by Thomas Hartung

Post by Winfried Sonntag [MVP]
*Zugriff auf alle Windows Update Funktionen entfernen.*

Ist der Admintraum, glaubs mir. ;)

Post by Thomas Hartung
"Die automatische Aktualisierung von Windows wird ebenfalls deaktiviert;
Sie werden weder über wichtige Aktualisierungen unterrichtet, noch
erhalten Sie sie von Windows Update. "
lässt darauf schließen, dass dann auch automatisch vie WSUS nichts mehr
geht, oder liege ich falsch?

Nix da, ganz im Gegenteil, besser gehts nicht. Du mußt nur aufpassen,
daß Du mit der Benutzereinstellung auch nur die User erwischt, die es
auch wirklich treffen soll. Nicht das Du den Domainadmin aussperrst.
;) Die User kriegen keine Mitteilungen über Neustarts mehr, es wird
zur eingestellten Zeit installiert und Ruhe ist.

Servus
Winfried

--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

Patrick

vor 17 Jahren

Permalink

Hallo,

ich war der auch der Meinung, dass mit dem Setzen dieser GPO-Einstellung
auch keine Updates via WSUS verteilt werden,
weshalb diese Einstellung bisher noch nicht eingerichtet wurde.
Zum Verständnis fasse ich nochmals kurz zusammen, bitte korrigiert mich,
wenn ich in irgendeinem Punkt falsch liege.

- User wird nicht benachrichtigt wenn Updates zur Verfügung stehen (Sowohl
bei WSUS als auch MUS Updates).
- Links zum Aufrufen der Microsoft/Windows Update Webseite werden entfernt
(Lässt sich die URL weiterhin aufrufen?)
- Über WSUS verteilte Updates werden zum per GPO vorgegebenen Zeitpunkt ohne
Benachrichtung des Users installiert.
- Benutzer wird nicht über einen erforderlichen Neustart informiert (Was
passiert wenn via GPO der automatische Neustart deaktiviert ist?).

Was passiert mit dem Eintrag Windows Updates in der Systemsteuerung?

Was ich leider noch nicht verstanden habe ist, weshalb für den Domäneadmin
die Richtlinie nicht greifen darf, die einzigste Folge wäre doch dass er
keine Benachrichtungen über verfügbare bzw. installierte Updates/Neustarts
informiert wird?
Oder hat dies noch andere Gründe, weil von "Aussperren" gesprochen wird?

Vielen Dank für eure Mühe,
Patrick

...

Winfried Sonntag [MVP]

vor 17 Jahren

Permalink

Post by Patrick
ich war der auch der Meinung, dass mit dem Setzen dieser GPO-Einstellung
auch keine Updates via WSUS verteilt werden,
weshalb diese Einstellung bisher noch nicht eingerichtet wurde.

Das Lesen der Explains hilft oft, so auch in diesem Fall. Und einfach
mal testen ist noch besser. ;)

Post by Patrick
- User wird nicht benachrichtigt wenn Updates zur Verfügung stehen (Sowohl
bei WSUS als auch MUS Updates).

Korrekt.

Post by Patrick
- Links zum Aufrufen der Microsoft/Windows Update Webseite werden entfernt

Ja.

Post by Patrick
(Lässt sich die URL weiterhin aufrufen?)

Ja, aber der User kriegt eine Fehlermeldung: [Fehlernummer: 0x8DDD0003]
Netzwerkrichtlinien verhindern die Verwendung dieser Website zum
Downloaden von Updates auf den Computer.

Wenden Sie sich an den Systemadministrator, wenn Sie der Meinung sind,
dass diese Meldung fälschlicherweise angezeigt wird.

Post by Patrick
- Über WSUS verteilte Updates werden zum per GPO vorgegebenen Zeitpunkt ohne
Benachrichtung des Users installiert.

Ja, wobei das ja schon bei der Option 4 ohne diese Benutzereinstellung
funktioniert.

Post by Patrick
- Benutzer wird nicht über einen erforderlichen Neustart informiert (Was
passiert wenn via GPO der automatische Neustart deaktiviert ist?).

Hast Du schon mal das Explain dazu gelesen? Nein, dann aber los. ;)

Post by Patrick
Was passiert mit dem Eintrag Windows Updates in der Systemsteuerung?

Welchen genau meinst Du? Automatische Updates? Ruf das mal auf, nach
setzen der Einstellung.

Post by Patrick
Was ich leider noch nicht verstanden habe ist, weshalb für den Domäneadmin
die Richtlinie nicht greifen darf, die einzigste Folge wäre doch dass er
keine Benachrichtungen über verfügbare bzw. installierte Updates/Neustarts
informiert wird?

Weil der Domain Admin dann wie ein User behandelt wird, kein Windows
Update manuell aufrufen, keine Benachrichtigung etc., das kann schon
sehr lästig und vor allem gefährlich sein.

Post by Patrick
Oder hat dies noch andere Gründe, weil von "Aussperren" gesprochen wird?

Als Admin möchte ich schon noch Kontrolle über das System haben.

Post by Patrick
[Fullquote entsorgt von 40tude-Dialog > http://www.40tude.com/dialog/]

Bitte lies doch mal http://einklich.net/usenet/zitier.htm zum Thema
TOFU. Danke.

Servus
Winfried

Norbert Fehlauer [MVP]

vor 17 Jahren

Permalink

"Winfried Sonntag [MVP]" <***@gmx.de> schrieb
Hi,

Post by Winfried Sonntag [MVP]

Weil der Domain Admin dann wie ein User behandelt wird, kein Windows
Update manuell aufrufen, keine Benachrichtigung etc., das kann schon
sehr lästig und vor allem gefährlich sein.

Da ich meine Server bspw. /nicht/ automatisch updaten lasse, sondern
immer selber auch "Jetzt installieren" klicke, würde ich nie eine
Benachrichtigung erhalten, dass neue Updates zur Verfügung stehen. Ist
doch ganz einfach, oder? ;)

Bye
Norbert

Winfried Sonntag [MVP]

vor 17 Jahren

Permalink

Post by Norbert Fehlauer [MVP]
Da ich meine Server bspw. /nicht/ automatisch updaten lasse, sondern
immer selber auch "Jetzt installieren" klicke, würde ich nie eine
Benachrichtigung erhalten, dass neue Updates zur Verfügung stehen. Ist
doch ganz einfach, oder? ;)

Ich weiß das, deshalb ja auch mein Hinweis. ;)

Servus
Winfried

--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

Patrick

vor 17 Jahren

Permalink

Hallo,

vielen Dank für eure Unterstützung und die Geduld beim Beantworten meiner
Fragen.
Hatte bisher immer bei der Computerkonfiguration nach einer Möglichkeit
gesucht,
diese jedoch nicht gefunden.
Auf die Idee, dass ich das sinnvollerweise unter der Benutzerkonfiguration
finden könnte,
bin ich gar nicht erst gekommen.
Werde diese Lösung nun intern besprechen und gegebenfalls die GPO anpassen.

Viele Grüße
Patrick

Post by Winfried Sonntag [MVP]

Ich weiß das, deshalb ja auch mein Hinweis. ;)
Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
http://frickelsoft.net/cms/index.php?page=mailingliste

Lesen Sie weiter auf narkive:

Suchergebnisse für 'Zugriff auf "Online nach Microsoft Updates suchen" verbieten' (Fragen und Antworten)

Antworten

WinXP/1.5Ghz: Back to the roots, back to 80286...?

gestartet vor 18 Jahren

computer & internet

Antworten

Windows XP Aktivierung?

gestartet vor 18 Jahren

software

Antworten

Nochmal ich: :o)....Was braucht man eigentlich alles für Sicherheit am Computer?

gestartet vor 17 Jahren

sicherheit