(Windows) Updates/ Software bei hochfahren installieren

#1 Hi,

ich suche eine Möglichkeit um z.B. Windowsupdates beim Hochfahren installieren zu können. Ich höre oft von Bekannten, daß sowas bei deren ehem. Arbeitgeber ging. Ich will das auch

Momentan nutze ich den WSUS, welcher ansich gut funktioniert.
Leider lassen sich dort die Updates nur während des Betriebes installieren.
Bei kritischen Updates möchte das System neustarten. Da hauptsächlich Hauptbenutzer am Rechner sind können die das Popup "Das System will neustarten" nicht wegdrücken.

Optimal wäre mE, daß die Updates schon beim Ziehen der Gruppenrichtlinien, bzw. Sicherheitsrichtlinien installiert werden. Evtl. mit einem schönem Hinweis, damit der User nicht nachfragen muß, warum das Hochfahren so lange dauert. Und das der Rechner evtl. VOR der Anmeldung angibt, daß er noch einmla neustarten möchte.

Das Ganze wäre natürlich nicht nur für Windows updates interessant.

Kennt ihr eine Lösung für sowas?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#2 Ich hätte einen andren Lösungsansatz. Laß die Updates wie gehabt installieren. Um das Popup wegdrücken zu können laß im Hintergrund ein kleines Script laufen, das bei Erscheinen des Popups selbiges mit Adminrechten wegklickt. Ich kann mir vorstellen, dass sich das mit Autoit verwirklichen läßt.
__________
Gruß BugFix

#3 Ich dachte immer, WSUS kann sowohl silent als auch ohne erzwungenen Neustart an die Clients verteilen...So
kann man sich irren. Zumal iirc jeder Patch/Bugfix manuell die Option anbietet, auf einen Warmstart zu ver-
zichten.

Zitat

Da hauptsächlich Hauptbenutzer am Rechner sind können die das Popup "Das System will neustarten" nicht wegdrücken.

Bei den administrativen Richtlinien für "Windows Update" solltest du "Nicht-Administratoren gestatten, Updatebenachrichtigungen
zu erhalten" aktivieren und im AD veröffentlichen. Damit sollten auch Hauptbenutzer in der Lage sein, die Aufforderung
nach einem Warmstart zu verneinen.

Alternativen:
GFI Languard NSS. Du kannst definitiv Updates & Co. silent und ohne Neustart auf die Clients (Server) aufspielen.
Dabei kann es sich um einen einzelnen Host handeln, einer Gruppe von Computern oder gar einer Domäne.
Languard NSS bringt auch eine Patch-Verwaltung mit und kann angeschlossene Clients auf fehlende
Updates überprüfen.

Microsoft SMS. Scheint der große (und kostenpflichtige) Bruder des WSUS zu sein. Ich habe keine praktischen Er-
fahrungen damit. Den Beschreibungen zufolge stellt er jedoch die Funktionen bereit, die dem WSUS fehlen.

Ich habe mir übrigens vorhin mal den WSUS von MS geholt und auf einem 2000'er DC installiert. Nur zu Testzwecken.
Momentan lädt er noch ca. 520 MB an Updates & Patches. Sollte ich noch eine Möglichkeit finden, den Warmstart
bei den Clients zu verhindern, poste ich das.

Links:
http://www.gfi.com/lannetscan
http://www.microsoft.com/germany/smserver/default.mspx

Gruß,

Sepia

#4 Vielen Dank für deine Mühe.

__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5 Also: Er verteilt perfekt an verschiedene Clients mit verschiedenen Patch- und OS Konfigurationen. Mir ist es jedoch
nicht gelungen ihm beizubringen, dass er bei in Frage kommenden Patches keine Aufforderung zum Warmstart
bringen soll. Lediglich durch Anwenden diverser GPOs sieht die Lage nun wie folgt aus:

- Benutzer & Hauptbenutzer müssen die erscheinende Anfrage zum Reboot verneinen.
- Benutzer & Hauptbenutzer dürfen/können nicht o.g. Anfrage bejahen
- Benutzer & Hauptbenutzer bekommen trotzdem einen Hinweis, dass der Client für das Abschliessen des Vorgangs neu gestartet werden muss.
Auch diesen können sie nur mit "Jetzt nicht neustarten" (oder ähnlich) bestätigen.
- O.g. Hinweis erscheint dann (durch GPO) nochmals 8 Stunden später.

Ich kann über die GPOs also einen generellen Reboot verhindern und verzögern. Der angemeldete User wird zweimalig mit einer Message-Box konfrontiert. Danach sollte sich in der Praxis seine Arbeitszeit für den Tag dem Ende geneigt haben und er fährt den Kasten
i.d.R. herunter (besagte letzte GPO mit den 8 Stunden Verzögerung griff). Beim nächsten Kaltstart (neuer Arbeitstag) werden
die relevanten Updates dann beim Booten finalisiert.
Man kann statt der "8 Stunden" natürlich auch eine andere Zeitspanne bei der besagten Richtlinie angeben.

Gruß,

Sepia

Sepia

#6 Vielen Dank fürs Austesten. Bei mir kann der Hauptnutzer seltsamerweise nicht sagen "Später herunterfahren" Ich habe aber eine Vermutung, dass es da noch eine Einstellung in den GPO gibt.

Falls du noch die Möglichkeit hast: Ich hatte noch einen Tipp bekommen. In den GPO nicht unter Computer sondern unter Anwender kann man noch eine Einstellung verändern, die den User da komplett draußen lassen soll.
Ich werde es auch mal testen,a ber vielleicht paßt es in deiner Testumgebung noch
Vielen Dank jedenfalls noch einmal für die Mühe
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#7

Zitat

Bei mir kann der Hauptnutzer seltsamerweise nicht sagen "Später herunterfahren" Ich habe aber eine Vermutung, dass es da noch eine Einstellung in den GPO gibt.

Ist m.E. die einzig sinnige Erklärung bzw. Möglichkeit.

Zitat

Ich hatte noch einen Tipp bekommen. In den GPO nicht unter Computer sondern unter Anwender kann man noch eine Einstellung verändern, die den User da komplett draußen lassen soll.

Ja, habe ich gesehen, jedoch noch nicht getestet/aktiviert. Vielleicht checke ich das mal. Da aber alle Clients
derzeit auf dem neuesten Patch-Level sind, müsste ich erst einmal auf irgendeiner Maschine ein Paar Updates
deinstallieren. Wenn die o.g. GPO aktiv und etabliert wäre, sollten die besagten Updates bei Anmeldung des betreffenden
Users nicht nochmals installiert werden.

[OT]Was übrigens tadellos funktioniert, ist folgendes Szenario:
- Client Patch-Level ist aktuell & komplett gepatcht.
- Admin oder Dom-Admin meldet sich lokal am Client an
- Admin oder Dom-Admin deinstalliert ein/einige/alle Patch(e) und meldet sich ab.
- Benutzer meldet sich danach bei diesem Client an der Domäne an
- WSUS erkennt daraufhin, dass Patche fehlen und installiert sie nach.
[/OT]

Gruß,

Sepia

#8 Hi,
egal was ich mache, irgendwie macht er es nicht so, wie ich es möchte
Wenn ich es einstelle, daß er die Updates automatisch installiert, dann bekommt der User (bei kritischen Updates) die Meldung, daß er neu starten soll. Das Fenster kann er nicht schließen.

"Der User" ist Domänenbenutzer und Hauptbenutzer auf dem Rechner.
Das er das Popup "Neustarten" nicht wegklicken kann mag daran liegen, daß in der GPO folgendes nicht konfiguriert ist:
"Nicht- Administratoren gestatten, Updatebenachrichtigungen zu erhalten".
Mag sein, aber er soll eigentlich keine Benachrichtigungen bekommen. Der User soll eigentlich gar nicht merken, daß sein System gepatcht wird.
Er soll nicht merken, daß neue Updates da sind (die noch nicht installiert wurden) und auch nicht, daß sein Rechner gerade Updates installiert hat.

Das scheint aber nicht ohne weteres möglich zu sein.
Auch die Option in der Benutzerkonfiguration in der GPO "Zugriff auf alle Windows Updates Funktionenentfernen" hatte nicht den gewünschten Zweck erfüllt, daß er nicht genervt wird, wenn ein kritisches Updates installiert wird.

Gibt es da noch eine Möglichkeit?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#9

Zitat

Das er das Popup "Neustarten" nicht wegklicken kann mag daran liegen, daß in der GPO folgendes nicht konfiguriert ist:
"Nicht- Administratoren gestatten, Updatebenachrichtigungen zu erhalten".

Ja, daran liegt's.

Zitat

aber er soll eigentlich keine Benachrichtigungen bekommen. Der User soll eigentlich gar nicht merken, daß sein System gepatcht wird.
Er soll nicht merken, daß neue Updates da sind (die noch nicht installiert wurden) und auch nicht, daß sein Rechner gerade Updates installiert hat.

No way. Imho kann man die GPOs für den WSUS drehen und wenden wie man will: Irgendeine Benachrichtigung bekommt
der angemeldete User immer.

Zitat

Gibt es da noch eine Möglichkeit?

3'rd Party Software oder aber der SMS-Server. Andererseits müsste die Verteilung von Updates, SPs und Bugfixes
auch über die im Server implementierte Software-Verteilung funktionieren. Sofern 'MSI' oder kompatible Pakete
vorliegen, sollten sich diese wie 'normale' Software an die Clients der Domäne verteilen lassen (zwangsweise Zuweisung
an Computer). Das ist aber nicht ganz so bequem und erfordert mehr Handarbeit. Und unabhängig davon, weiß ich
nicht, wie und wann bei dieser Variante die Aufforderung zum Neustart erscheint, sofern Updates diesen nach der
Installation benötigen.

Gruß,

Sepia

#10 Vielen Dank für die Mühe

Jetzt bin ich jedenfalls drin im Thema WSUS, auch wenn es nicht ganz so läuft, wie ich es mir erhofft hatte. In einem anderen Forum hatte ich noch den Tipp bekommen, daß der User auch kein Hauptbenutzer auf dem Rechner sein sollte, um die Benachrichtigungen unterdrücken zu können, das kommt aber bei der von mir eingesetzten Software nicht in Frage.

Vielen Dank
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!