Hallo Zusammen,

ich habe das Problem das ich manuell nicht Patche defniert einer OU zuweisen kann, in der ich nur Win 2008 oder nur Win7 habe. Sobald ich nur einen Patch zuweise, werden alle anderen die anstehen mit installiert. Liegt es an den "Patch Management Execution Packes" das diese falsch definiert sind


Wie würdet ihr sowas generell hierzu angehen?

Würde mich über eure Antworten sehr freuen!

Gruss Timi

Hi Timi,

das hört sich schwer danach an, als hätte der Client schon Policyinstanzen zu Patchen.
Das PM Execution Package führt die Patchinstallationen nur dann aus, wenn auch Patch Instanzen vorhanden sind.
D.H. wenn Du einen Patch manuell zuweist, darf es nicht passieren, dass auch andere Patche installiert werden.
Hast Du im PM Config Wizard gesagt, dass Patche automatisch zugewiesen werden sollen?
Wie sehen die Instanzen auf dem Client aus?

Gruß,
Michi

Hi Michi,

ich habe nur für eine Pilot Gruppe im Wizard definiert das auf dieser alle Updates automatisch zugeweiesen und Installiert werden.
Jetzt ist es so, das ich eine zweite Gruppe habe in der ich nur bestimmte Updates installiert haben möchte und nicht alles, diese Gruppe habe ich in Wizard natürlich nicht definiert. Dieser Zweiten Gruppe habe ich nur das PMEP ScanOnly zugewiesen, es tut sich aber nicht wirklich was!?

Habe ich etwas vergessen?reicht nur das eine pmep Scanonly dafür?

Gruss und danke für deine Antwort

Hallo Timi,

das Scan Only alleine reicht nicht.
Das sorgt nur dafür, das sich der Client mit dem Windows Update Katalog synchronisiert.
Das sollte einmal pro Woche laufen.
Zusätzlich brauchst Du noch den Flag "ScanAndInstallIfNeeded".
Das kannst Du täglich laufen lassen.
Damit werden dann tatsächlich Patche installiert, falls welche benötigt werden, und der Client auch eine Instanz dafür hat.

Du kannst Dir auch da die Patche schon zuweisen lassen, aber nur auf inaktiv.
Dann kannst Du auf der Gruppe über den Reiter Patch Policies den Rollout für die Patche starten, die Du installieren willst.
Geht vielleicht etwas schneller, als jeden Patch manuell zuzuweisen ;-)

Gruß,
Michi

Hallo Michi,

hat super funkitoniert. Habe folgendes gesetzt

scanonly=Stündlich
scanandinstall=stündlich
installandscanifneeded=stündlich

Wollte ein bestimmtes patch installieren, das hat es auch getan, nur leider noch einige Patche hinterher, die auf sicherheitslücken entdeckt waren aber ich nicht zugewiesen habe. Hat er die mitgezogen da es benötigt worden sind?

Hallo Timi,

bitte änder das.
Das was du jetzt gemacht hast, geht übelst auf die Performance am Client.
Es reicht locker wenn Du ScanOnly einmal pro Woche ausführst.
Ein Update Katalog kommt ja eh nur 1mal pro Monat.
Auch ScanAndInstall würd ich nur 1mal pro Tag laufen lassen.
Alles andere wäre der total Overkill ;-)

Und mit dem nachziehen kann eigentlich nicht sein.
Da muss bereits eine Policy bestehen.
Erklär doch mal bitte Deine genaue Konfig.

Gruß,
Michi

Hi Michi,

so habs geändert.
Naja, wie gesagt, es gibt eine Statische Gruppe mit ausgewählten Clients, die Automatisch alles zugewiesen bekommen.
Es gibt noch eine Zweite Gruppe, auch hier habe ich ausgewählte Clients, doch hier ist es so, das nichts Automatisch zugewiesen werden soll, sondern einzeln, die jenigen Patches die auf Sicherheitslücken erkannt wurden. Jetzt habe ich ein SQL Update zugewiesen, das wurde installiert und zu gleich wurden von 20 offenen Patches, 10 zusätzlich mit installiert