[GPO] Windows update settings werken niet

Ik heb een wsus server opgezet en daarom wil ik nu een aantal settings instellen m.b.t. Windows update. Ik heb hier een AD draaien dus dat moet vrij simpel via een gpo te regelen zijn. Ik heb dit alles met een virtuele machine getest (winxp sp3 zonder updates). Daarin werkte alles probleemloos. De instellingen werden opgepakt vanuit de gpo en wsus werkte ook prima.

Het probleem is dat dit als ik deze gpo implementeer in de productieomgeving geen enkele pc dit oppakt (op 1 na gek genoeg). Nu heb ik wat zitten troubleshooten (op verschillende pc's, allemaal dezelfde resultaten).
- group policy modelling geeft aan dat hij is toegepast maar de specifieke instellingen zijn niet te vinden
- gpresult -r geeft aan dat hij netjes is toegepast
- gpresult -h geeft ook aan dat hij is toegepast maar de specifieke instellingen zijn weer nergens terug te vinden in dit rapport.
- group policy logging op de client ziet er ook prima uit.
- event log is ook helemaal netjes

Het gaat hier om winxp en win7 client machines. En die ene machine die wel de group policy toegepast heeft kan ik ook geen afwijkende instelling aan vinden. Gewoon winxp sp3.

Kijk ik nou iets volledig over het hoofd?

- in welke OU je clients zitten
- We hebben een hoofd OU met daaronder afdelingen. In de afdelingen zitten de users + computers. De gpo in kwestie is toegepast op de hoofd OU
- hoe het zit met filters van de OU
- wmi filtersbedoel je? hebben we niet.
- hoe je GPO er precies uitzit (server settings met name, update settings enz)
- de inhoud van de gpo is niet echt relevant lijkt me? kan er niet echt makkelijk een overzichtelijke export van maken. Ik heb alle instellingen onder "computer configuration" - "policies" - "administrative templates" - Windows components/Windows update".
- wat er precies niet werkt. Wat betreft zie je in Win7 in 1 oogopslag of de updates via een GPO zijn geregeld
- alle instellingen van de gpo worden niet toegepast. Client blijft zich melden bij microsoft update servers en het installatiebeleid blijft op de default staan.

Poortnummer staat erbij. Maar dat is ook niet helemaal het probleem. Deze gpo heeft gewoon gewerkt in mijn testomgeving. Het probleem is dat die gpo niet word toegepast op 99% van de pc in de productieomgeving

Dat is een goede. Dat heb ik wel getest. Maar wat ik nog niet heb gedaan is overdracht op die specifieke OU uitschakelen. Die ga ik van de week nog ff uitproberen. Ik ben vrijdag pas weer op kantoor dus dat duurt wel ff.

Dat klopt precies inderdaad. Settings had ik al opgezocht in het register maar zijn niet te vinden op die locatie.

Target groups maak ik geen gebruik van. Het gaat hier overigens alleen om cliënts en dit zijn allemaal lose installs. Die /resetauthorization switch kende ik nog niet. Nog een puntje voor vrijdag.

Ik heb net de overdracht uigeschakeld en dat zorgde er in ieder geval voor dat de instellinge doorkwamen. Daarna wat lopen spelen met het uitschakelen van verschillende gpo's om te kijken welke nou in de weg zat. Het ging uiteindelijk om een gpo waarin ik bij verschillende applicaties automatic updates uit heb uitgezet (silverlight, flash en java). Waarom dit een probleem was weet ik nog ff niet. Het ging om een silverlight administrative template, bij flash een config bestand en bij java wat register instellingen... Ik zie de logica niet helemaal maar ok.

Nu eerst maar is wsus in productie brengen.

Daar was ik al een beetje bang voor ja. Maar als je dus met deze settings silverlight auto update uitzet dan sloop je direct ook je complete automatic updates voor windows?

Ik heb het nog is even getest. 1 pctje + 1 user in een ou met de wsus gpo gaat goed. Hang ik een gpo met alleen die silverlight admx erbij dan weigert hij instellingen aan te passen. en hij blijft toch echt op die admx van silverlight hangen.