Remotedesktop Server \ 2016 \ User können Server updates machen

[Timons]

Hallo meine lieben-IT Freunde

Ich habe das Problem das sich die standart User an unserem RDP Server 2016 zu schaffen machen können.
Sie können einfach in den Updates auf Installieren und neu starten klicken. -Was Sie natürlich nicht sollen aber trotzdem öfter machen

Das führt zu langen Server ausfällen

Ich habe nun also versucht die Updatefunktionen per GPO zu verbieten.
hab diese GPO gefunden und per DC verteilt.
https://support.microsoft.com/en-us...cess-to-windows-update-on-windows-server-2016
Habe eine neue Gruppe ohne den Admin erstellt und den Server den es betrifft hinzugefügt

Allerdings kann der User immer noch Updates installieren (und somit den Server neu starten)

Hab die Regel dann mal testweise lokal aktiviert ( müsste also auch für den Admin gelten )
und es hat sich nichts geändert

Gibt es noch einen Weg den Usern die Updatefunktion zu blocken ?
Kann ich sehen welcher User die Updates installiert hat ?

Updates stehen auf Download only und so soll es eigentlich auch bleiben

 

[Ic3HanDs]

Das klingt danach das du die generell in einer Gruppe mit zu hohen Rechten drin hast ^^

Generell muss die Richtlinie auch auf den Server angewendet werden, nicht auf die Clients. Zumindest verstehe ich es so das du es auf die Clients angewendet hast.

 

[Timons]

das mit der Gruppe ist doch egal wenn dort die Richtlinie gilt oder ?
Naja ich bin nicht so fit mit GPOs: ich habe als Ziel die Gruppe und den Server definiert - das sollte doch reichen oder ?

Vor allem als ich es lokal am Server nochmal eingestellt habe also ohne gruppen oder sonstwas hat die GPO auch nicht gegriffen

 

[Ic3HanDs]

Hast auch schon ein "gpupdate /force" gemacht? Dann sollte er die neuen GPOs direkt anwenden auf dem Server.
Und wenn die User Adminrechte haben können die ja immer alles überschreiben. Die dürfen auf dem Server selbst eben quasi keine Rechte haben. Software etc verwaltest ja alles du, Daten kommen auf ein Netzlaufwerk. Reicht wenn die die Programme starten können.

 

[Timons]

Danke Das mit den Berechtingen überprüfe ich gleich mal

ja hab ich gemacht, wie gesagt die GPO hatte ja auch schon gezogen und wurde mir auch angezeigt

 

[Ic3HanDs]

Ansonsten bin ich da aber auch seit Jahren nicht mehr so tief im Thema. Mache eigentlich nur noch Netzwerke ^^
Und zuhause brauche ich einfach keinen Terminalserver

 

[rony12]

Schreib hier doch mal, in welchen Gruppen die User sind.

Aber ja, es dürfte ziemlich sicher so sein, dass der User Teil einer Gruppe ist, welche von haus aus, zu viele Rechte hat.

 

[Timons]

Sonst stecken sie nur in der Standartdgruppe Domänen-Benutzer

 

[Timons]

Also kleines Update: ich versteh jetzt nichts mehr (in der Gruppe ist kein Admin)

Jetzt kann keiner mehr Updates machen / dummerweise auch nicht ich

 

[Ic3HanDs]

Positiv denken, dein Ziel ist erreicht, wenn auch über das Ziel hinaus Dann musst ja quasi nur noch das wieder ändern das der Admin wieder kann

 

[Tom_123]

Hi,

du darfst die Richtlinie nicht auf Computerebene anwenden, sondern musst dies auf Benutzerebene tun. Die Richtlinie soll dann nur für die Standardanwender gelten, nicht für die Administratoren.

 

[Timons]

Naja auf Benutzerebene passiert leider nichts
hab das gleiche Problem wie die Herren hier

https://community.spiceworks.com/topic/1993519-server-2016-rds-users-able-to-restart-for-updates

 

[Ic3HanDs]

Also wenn ich das so lese scheint das ja wirklich ein MS Problem zu sein.. Wie gesagt, habe schon seit ein paar Jahren nicht mehr wirklich etwas mit sowas am Hut aber das dass so nicht funktioniert ist echt nen Witz oO

Ich habe es damals immer per GPO unterbunden und hat auch wunderbar funktioniert.