Updates automatisieren ohne Server

[annasta]

Hallo liebe FIS, 

Bin auf der Suche nach einer Lösung um bei einer geringen Anzahl an Clients (ca. 6) die Windows Updates zu automatisieren. Es haldelt sich um ein kleines Unternehmen mit einem Büro in dem diese Clients stehen. Um nicht immer manuell die Updates anstoßen zu müssen oder sie eben nicht zuzulassen soll von einem Rechner aus quasi bestimmt werden, dass JETZT oder eben am Samstag um 15 Uhr alle Rechner Updates machen sollen. Perfekt wäre es wenn so auch andere Software geupdated werden könnte. Es ist nicht erwünscht einen extra Server für dieses Vorhaben anzulegen... Geht das eventuell über Gruppenrichtlinien oder habt ihr sonst noch Ideen. Ich soll daraus eventuell meine Projektarbeit machen, muss aber erstmal den Einstieg finden. 

Danke für die Hilfe 

[Maniska]

Naja, es geht schon über GPO, aber die Clients suchen nur dann, wenn sie auch an sind, also "Samstag Mittag 15 Uhr" geht nur dann, wenn um die Zeit das Gerät auch an ist. Nachteil, alle Clients ziehen im blödesten Fall gleichzeitig ihre Updates von MS. Daher wäre das ein klassisches WSUS Projekt (einmal herunterladen von MS und zentrale Bereitstellung genehmigter Updates).

Die WSUS Rolle lässt sich quasi auf jedem Server mit installieren, wobei ich dafür immer eine eigene Maschine bereitstellen würde. Wegschmeißen und neu machen geht bei WSUS eigentlich immer schneller wie Reparieren.

Via GPO lassen sich auch msi Pakete verteilen, .exe muss ggf. als .msi geschnürt werden, dann geht das auch.

Ansonsten bist du bei einer richtigen Softwareverteilung, die kostet dann auch richtig Geld.

 

 

[annasta]

Das Problem ist, das in der Umgebung in der das geplant ist, keiner er zur Verfügung steht... Weder einer wo WSUS zusätzlich installiert werden kann, noch einer der nur als WSUS läuft. Bedeutend ich brauche etwas zentrales, das keine weitere Hardware benötigt..

Trotzdem erstmal danke, vielleicht ist es so wie ich es mir vorstelle auch einfach nicht möglich

 

[allesweg]

Wieso wehrt man sich so vehement? Kosten?

TCO eines WSUS über 3 Jahre <--> Wochenendzuschläge für 6x dummes Updates durchklicken. Einmal vorrechnen, vielleicht darf dann doch ein WSUS kommen.

[Eye-Q]

Öhm, ein WSUS ist nicht einfach "Fire and forget", sondern der muss auch gepflegt werden, damit die WSUS-Datenpartition nicht einfach komplett vollgeschrieben wird, es muss entschieden werden, welche Updates genehmigt werden sollen etc. Außerdem ist der WSUS ja eigentlich nur dazu da, um die Updates zentral bereitzustellen anstatt dass sich jeder Server und Client einzeln die Updates aus dem Internet herunterlädt.

Die Entscheidung, wann die Updates installiert werden, ist vom WSUS unabhängig und kann einfach per Gruppenrichtlinien eingestellt werden. Die Einstellung per Gruppenrichtlinien hat natürlich den Nachteil, dass man nicht einfach zentral sagen kann "mach' mal jetzt Updates", sondern es eben einen festen Zeitraum gibt, in dem die Updates installiert werden, der nur durch Änderung der Gruppenrichtlinie geändert werden kann.

 

A propos Gruppenrichtlinien: anhand dieses Stichworts gehe ich davon aus, dass es eine Windows-Domäne gibt, richtig? Ohne Windows-Domäne sind natürlich Gruppenrichtlinien auch hinfällig...

[annasta]

Achso nein, dann hab ich mich wohl falsch ausgedrückt. Es gibt keine Windows-Domäne... Auch dafür wäre ja ein Server nötig, den es ja nicht gibt. 

Ich weiß ehrlich gesagt nicht, warum sich der Kunde so gegen einen Server an sich wehrt, bin quasi nur ausführende Kraft und muss mir den Sachen arbeiten die mir gesagt werden.. 

[Gast Exception]

Hallo,

als Alternative zur GPO oder zum WSUS wäre die Automatisierung mit Ansible. Allerdings müsste dann dennoch mindestens ein Client laufen, wo das Ansible Playbook gestartet wird. Das könnte aber zum Beispiel ein Raspberry Pi sein. Auf allen Windows Rechner müsste dann WinRM aktiviert und konfiguriert werden.

Edit:

Zitat

Nachteil, alle Clients ziehen im blödesten Fall gleichzeitig ihre Updates von MS

Bin kein Windows Experte aber wenn sich an dieser Heise Nachricht nichts mehr geändert hat, dann verteilt ein Windows 10 Client die heruntergeladenen Updates an andere W10 Clients im Netzwerk weiter. Somit ist ein WSUS nicht mehr zwingen notwendig. Zumindest nicht, wenn man die Updates nicht vorher separat genehmigen möchte. 

https://www.heise.de/newsticker/meldung/Windows-10-verteilt-Updates-via-P2P-Filesharing-weiter-2771316.html

VG

Bearbeitet 23. Juli 2019 von Exception

[Enno]

Ansonsten wäre die Idee von mir:

 

- Einstellen per GPO das die Rechner "Sa. Mittag" die Updates machen

- mit nem RasPi die Rechner kurz vor dem Updaten per WOL aufwecken

- nach einer definierten Zeit die Rechner auch vom RasPi wieder runterfahren lassen

 

Aber auch dazu brauchst du etwas Hardware. Sollte aber abgesehen von deinen Arbeitszeiten die geringsten Kosten haben.

[allesweg]

Wenn man sowieso einen RPi hin stellt, warum dann nicht gleich WSUS offline darauf installieren?

Und dass ein WSUS kein fire&forget ist, ist mir schon klar. Die Updates müssen mit und ohne Server getestet sein, damit sie aktiviert werden können und und und...