[ChildofBodom666]

Hi,

ich hab gerade ein kleines Problem mit meinem neu aufgesetzten WSUS 3.0
Ich will damit neu installierte PCs, die ich aber nicht in die Domäne aufnehmen will, mit dem WSUS verbinden. (Sind PCs die dann zum Kunden gehen). Man kann das ganze ja über die lokalen Richtlinien bzw. über Registry-Einträge machen. Jetzt ist es natürlich etwas mühsam das bei zig Rechnern am Tag zu machen.
Deswegen frage ich euch jetzt, ob jemand eine Batch-Datei für solche fälle parat hat oder mir evtl. Unterstützung bei der Erstellung einer solchen geben könnte.
Wenn jemand das Programm Connect2WSUS empfiehlt, bitte mit Erklärung... Habe das nämlich schon vergeblich versucht. Bin auch nach Doku vorgegangen, hat aber leider nicht funktioniert.

Also nochmal zusammenfassend: Ich brauch (am besten eine Batch-Datei), die Clients die nicht in der Domäne sind zum WSUS connecten lässt, die Updates zeitnah installieren lässt und die Richtlinien bzw. Registry-Einträge danach wieder so herstellt, wie sie vorher waren. (Da der PC beim Kunden dann ja natürlich nicht mehr auf den WSUS sonder auf die Microsoft Update-Site verbinden soll...)

Bin für alle Vorschläge offen und würde mich riiiiieeesig über Hilfe freuen, da ich schon lange an dem Thema sitz.

Gruß
ChildofBodom666

-edit: bräuchte das ganze für XP-Rechner. (Später auch evtl. für Vista aber das is mir im Moment noch egal )

[vmk]

Könntest du nicht einfach ein aktuelles Windows per Image auf die Rechner bringen?

Ansonsten sind die WSUS-Einstellungen ja nur ein paar Registry-Einträge. Welche siehst du genau in den adm-Dateien der Domäne.

[ChildofBodom666]

Hmmm ja, das mit den Images machen wir auch, aber es soll ja nicht nur für ein oder wenige PC-Systeme gehen. Es soll ja sozusagen eine Universallösung für alle PCs mit unterschiedlichster Hardware sein und da kommt man mit Images nicht so weit.

Außerdem ist das mein Projekt für meine Abschlussprüfung
Da kann ich jetzt leider nicht noch was anderes drauß machen...

Es wären ja auch andere Ansatze möglich. Z.B. das ganze über aktuelle Update CDs einfach aufzuspielen, aber wie gesagt: Ist für mein Projekt und das muss ich jetzt so machen. Deswegen weill ich das auch nicht über manuelle Einträge in der Registry machen. Sollte schon ein Script sein, was ich dann auch vorstellen kann.

[vmk]

Ich versorge mit einem Image hier PCs zwischen P3 und QuadCore-CPU. Imagen ist die Universallösung wenn du ein Windows auf verschiedene Hardware drauf haben willst.

sysprep&co sind dir aber schon bekannt, oder?

[ChildofBodom666]

Sysprep sagt mir nix, aber ich vermute mal das es sowas wie Backup Exec Systemrecovery is, oder? Also Images auf PCs mit anderer Hardware bringen... Naja, aber wie gesagt. Ich muss das ganze mit WSUS machen. Hab das so beim Projektausschuss eingereicht. Wenn ich da mit was anderem ankomm als ich angekündigt hab, kann ich gleich wieder gehen.

Trotzdem danke für deine Bemühungen. Wenn du ne Idee hast, wie ich das ganze mit WSUS mach wäre das echt klasse.

[vmk]

Sysprep ist auf der Windows-CD inklusive Anleitung mitgeliefert. Mit Sysprep kannst du beim nächsten Booten von Windows eine Mini-Installation zur Anpassung an geänderte Hardware erzwingen.

Wie gesagt, guck dir einfach an was per Gruppenrichtlinien gesetzt werden würde und setze die Werte per Hand mit einem Reg-File. Das zu machen sollte eine Aufgabe von ein paar Minuten sein.

Ich weiß nicht ob der WSUS eine Domänen-Anmeldung braucht, aber ich denke das Teil läuft eigentlich anonym.

Ich verstehe die Problematik eh nicht, da man eigentlich immer Automatische Updates (sowie eventuelle Installation) aktivieren sollte. Und neustarten musst die Rechner eh x-mal, wenn du die nicht gerade schon mit den aktuellsten Updates installierst.

[ChildofBodom666]

Um das ganze von vorne aufzurollen: Meine Firma verkauft unter anderem neue PCs. Diese sollen komplett Up-to-Date sein, wenn sie zum Kunden gehen. Da die Firma aber in einem kleinen Kaff ist und es dort kein DSL gibt (ja, sowas gibt es noch in Deutschland^^), haben wir eine teure Standleitung - diese aber mit Downloadbegrenzung, weil sonst unbezahlbar...
Wenn die Updates die für die neuinstallierten Rechner nur einmal heruntergeladen werden und dann vom WSUS verteilt werden ist das natürlich eine imense Ersparniss an Downloadvolumen...

Die Clients müssen sich nicht an der Domäne anmelden um upgedatet zu werden. Aber das ist ja gerade das was ich herausfinden will, wie ich das mache... Die PCs die in der Firma stehen (und natürlich in der Domäne sind) habe ich ja über die GPOs zum WSUS verbunden. Das war kein Problem.
Und wegen automatischen Updates: Klar, die sollte man an haben. Aber standartmäßig ist da natürlich die Microsoft Update-Site eingetragen und nicht der WSUS.

Durch deinen Tip habe ich jetzt einfach mal die lokalen Richtlinien so gesetzt, dass der PC zum WSUS connectet. Kann ich jetzt einfach an andere PCs gehen und das reg-file dort ausführen um dort die selben Einträge zu habe? (Natürlich vorher die alten reg-Einträge speichern und danach wieder einfügen...)
Und wenn ja, welche Keys muss ich hier ändern?
Ist das nur "HK_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" und "HK_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpda te"
??

Muss ich das 2te überhaupt bearbeiten bzw. löschen oder sonst irgendwas damit machen?

Ich weiß viele Fragen, aber wenn wir uns mal treffen geb ich dir n Kasten Bier aus :-D

[vmk]

Frag mich nicht wegen den Keys, ich habe im Moment weder WSUS noch Windows hier.

Ich hätte das Problem anders gelöst. Ich hätte bei so einem Fall einfach einen Proxy vor das gesamte Netzwerk gehängt, dann würdet ihr nicht nur den Traffik für die Windowsupdates sparen.

[ClemensBW]

Hm, klingt nach der Wunderwaffe squid, dass bei den Rechnern als transparenten Proxy laufen lassen, dann hast du den Traffic nur einmal. Heise hat auch noch so ein tolles Offline Update Ding, einmal runterladen, auf CD (oder USB Stick/Server) packen, dann geht das auch recht gut.

Oder ganz anders. Je nachdem, wie unterschiedlich die PCs bestückt sind bau doch ein "fertiges" ISO, dann nurnoch auf die neuen PCs aufspielen, Key und SID ändern und gut ist.
WSUS funktioniert aber auch ohne Domäne (klicks).

Ich würde an deiner Stelle den (transp.) Squid aber eh aufsetzten, wenn du schon beschnittenes Internet hast. (Wahlweise auch direkt mit ipcop, da hast du gleich eine Firewall (und andere tolle Sachen) mit dabei.

[ChildofBodom666]

Ja, da hast du allerdings recht...
Hab mir einfach das Thema WSUS rausgesucht. Da hab ich noch garnicht daran gewusst, dass man PCs die nicht in der Domäne sind über diesen Updaten kann. Is mir erst während den "Recherchen" aufgefallen. Und da das Thema eigentlich an sich nicht sooo sehr spannend ist, hab ich gedacht, dass ich dann wenigstens das noch mit reinbring.

Seh schon, bist ein Linux-Freak.^^
Wollte mir auch mal demnächst Linux aneignen, aber da muss man als Anfänger ja schon etwas Zeit investieren und die hab ich im Moment leider nicht.
Naja, aber vielen Dank für deine Bemühungen.

Wenn jemand anderes noch helfen kann - bin immernoch interessiert

[ChildofBodom666]

@ ClemensBW

Auch nochmal an dich: Muss leider jetzt das ganze mit WSUS machen, da das mein Abschlussprojekt ist.
Im nachhinein hätte ich das ganze auch anders gemacht...

MSFAQ.de hab ich mir auch schon zu genüge reingezogen.^^

Und zu IPCop: da hab ich mir letztens auch mal ne virtuelle Machine gebastelt um den zu testen. Aber ich denke mein Chef wäre nicht so begeistern von einer Linux-Firewall-Lösung...
Wenn man sich genug mit dem IPCop beschäftigt kann man da sicherlich tolle Sachen mit machen. (nur das mit dem VPN hab ich noch nicht hinbekommen ).

So, wer hat noch eine Lösung für mich die etwas mit WSUS zu tun hat?

[ChildofBodom666]

Schaut mal bitte in folgenden Thread:

http://board.gulli.com/thread/1084748-batch-datei-zum-einfgen-von-registry-eintrgen/

Hab mir einfach mal die registry einträge angeguckt und wollte mir daraus ne batch basteln... vielleicht wisst ihr ja, wo der fehler ist...

[vmk]

Wieso ein neuer Thread? Und was versuchst du da überhaupt?

Schreib doch mal genau auf was du mit der Reg-Datei machst...

[ChildofBodom666]

Hab gedacht, dass das Forum zur Programmierung besser wäre für die frage wegen batch...

Ich habe meine lokalen Richtlinien so eingerichtet, dass der PC zum WSUS connectet. Hab dann den entsprechenden Pfad in der Registry rausgesucht und exportiert. Die Daten die darin enthalten sind, will ich jetzt per batch zur registry von anderen PCs hinzufügen.

[jarod76]

Das hier sind die Reg. Keys die Du suchst:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://WSUS-Server-Name oder IP-Adresse:Port"
"WUStatusServer"="http://WSUS-Server-Name oder IP-Adresse:Port"
"ElevateNonAdmins"=dword:00000000
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Testgruppe"
"AcceptTrustedPublisherCerts"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAUShutdownOption"=dword:00000001
"NoAUAsDefaultShutdownOption"=dword:00000001
"AUPowerManagement"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"UseWUServer"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
"IncludeRecommendedUpdates"=dword:00000000
"AutoInstallMinorUpdates"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:000005a0
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:0000001e

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Window sUpdate]
"DisableWindowsUpdateAccess"=dword:00000001

[ChildofBodom666]

Die hab ich ja schon. Ich hab das ganze mit dem Batch eh aufgegeben. Hab mir einfach die Reg-Datein genommen und mach das damit. Fertig! Klappt wunderbar und ich muss mir net so n Aufwand machen.

Aber HKEY_CURRENT_USER??
Den brauch ich doch garnet. Wenn ich das bei LOCAL_MACHINE mach gilt das doch für die Kiste, egal wer angemeldet ist...

Trotzdem danke für deine Antwort

-edit: Achso, damit wird die das laden von der Windows Update Seite verhindert oder was? Naja, muss ich net unbedingt rein machen