Das Problem scheint bekannt zu sein...

Zitate aus  https://www.administrator.de/content/detail.php?id=311563

"Windows 10 (1607) Clients melden sich zwar auf dem WSUS Sever (läuft auf einem Server 2012 R2, Einstellungen werden per Gruppenrichtlinie verteilt an die Clients), holen sich die Updates aber trotzdem direkt aus dem Internet. Auch solche Upates, die ich per WSUS gar nicht freigegeben habe. Im Endeffekt verhalten sie sich also so, als wenn sie gar nicht am WSUS hängen würden. Sobald MS Patches bei Windows Update freigibt, holen sich die 1607er Clients die Sachen aus dem Internet."

...

"Habe einen entscheidenden Hinweis zu meinem Problem gefunden (Post vom 28.09.2016, Win10 1607er Clients holen Updates aus dem Internet statt vom WSUS). Das Problem hängt wohl mit dem Schalter "Featureupdates zurückstellen" unter Windows 10 zusammen. Ist dieser gesetzt, schaut Windows 10 Version 1607 bei MS im Internet nach Updates statt beim WSUS. Ist natürlich ein Bug, der angeblich bald behoben werden soll. Bei uns ist dieses Feld per GPO deaktiviert worden, was aber wohl den gleichen Effekt erzeugt."

...

"OMG, DANKE, ich suche schon seit Tagen nach der korrekten Lösung und war falsch gewickelt, da ich die Lösung in einer falschen GPO oder sonstigen Misskonfiguration meines WSUS vermutet hatte. Kaum hatte ich den Haken bei "Featureupdates zurückstellen" draußen, schon hat alles geklappt, danke dir "

heute reproduzierbar  getestet:

Zwei Geräte ohne Haken bei: Feature- Updates zurückstellen

Jetzt bei einem Gerät den Haken gesetzt, also nach DATEV- Empfehlung konfiguriert.

-> nach wenigen Minuten holt sich dieser PC das aktuelle Update aus dem Internet:

Frage:

Wie lautet die aktuelle Empfehlung von DATEV für die aktuellen Win- 10- Clients, die per WSUS mit Updates versorgt werden?

Eigentlich ein schönes Beispiel dafür, dass Windows 10 im Business-Einsatz schlicht unbrauchbar bis hin "gefährlich" ist.

Selbst wenn Sie jetzt die Firewall (Sophos, o.ä.) dazu bringen, dass die Clients keine Verbindung mehr mit MS aufnehmen können, es reicht ein Notebook mit Windows 10, welches sich dann im Heim-/Mandanten-/Mobil-Netz mit Updates versorgt.

Diese dort gezogenen Updates werden dann im Unternehmensnetz an die restlichen Windows-10-Rechner weiterverteilt.

Im Hinblick auf den Heise-Ticker letzte Woche (Windows-Update zerflasht UEFI-Bios), gehen die Kollegenmeinungen bis hin zur strafbaren Computersabotage...

Nun den, ab kommenden Jahr unterstützt Intel auch nur noch Windows 10... D.h. auch ein manuelles Downgrade auf Windows 7 funktioniert dann auch nicht mehr.

Schöne neue Welt...

Chr.Ockenfels

Windows 10 Professional und kleiner ist nichts für den Einsatz im Unternehmen. Hatte ich glaube ich schonmal erwähnt

Nach den letzten "Anpassungen" bzgl. Updates und GPOs bleibt nur noch ein Windows 10 Enterprise (ggfs. LTSB) fürs Unternehmen.

Und da bleibts für die meisten (Stb / Rae / etc) KMUs wohl auch nur ein Win 10 Prof mit PC zu erwerben und dann im CSP-Rahmen ein jährliches Win 10 Enterprise E3 Abo.

Kann man sich jetzt irgendwie halbwegs schönreden durch die Nutzungsmöglichkeit von DirectAccess / Applocker / UE-V und Credential und Device Guard. Nur muss sowas natürlich auch eingerichtet und betrieben werden.

Hallo zusammen,

also bei mir im Netz gibt es mittlerweile fast ausschließlich Windows 10 (Pro) TS-Clients die haben bis auf vereinzelte PCs keinen Internetzugang (kein Gateway).
Es fehlen noch 2 - 3 PCs die das Aniversary noch brauchen.

WSUS läuft auf 2012 R2

Installation der 1607 ging auf keinem der PCs automatisch, ich habe eine ISO gezogen und von der aus aktualisiert (vorübergehend auch mit Gateway, da sonst die Updates nicht sauber durchlaufen).
Um wieder Updates zu bekommen muss kb3194494 noch von Hand installiert werden.

Also Windows 10 auf den lokalen Maschinen verhält sich seit dem Aniversary Update bzgl. der Updates vom WSUS eigentlich nicht wirklich anders als vorher. Die manuellen Updates und Nacharbeiten nerven zwar etwas, aber dafür sind die Kisten mittlerweile ruck zuck gebootet (durch den standardmäßigen Hibernation von Windows 10 - die Kisten fahren ja nicht mehr komplett runter).

Wichtig ist, ich habe an allen Maschinen das mit der Updateverteilung (lokales Netz/Internet) deaktiviert wird - ob das per GPO geht hab ich aus Zeitgründen noch nicht geprüft.

Hallo zusammen,

Microsoft beschreibt das Verhalten zu „Featureupgrades zurückstellen" in Verbindung mit WSUS unter folgendem Link:

https://social.technet.microsoft.com/Forums/windowsserver/en-US/31acef98-0dee-40d2-b502-728e77279fef/feature-update-to-windows-10-version-1607?forum=winserverwsus

Dort ist auch zu lesen: "In short, this is a known issue, and we'll be shipping a patch to the client to correct it."

In dem DATEV Info-DB-Dokument „Feature Upgrades für Windows 10" http://www.datev.de/info-db/1080746 wurde zu dem Punkt 3 der Hinweis aufgenommen, dass Feature-Upgrades zurückzustellen für WSUS-Nutzer nicht relevant ist.

Mit freundlichen Grüßen,

Klaudia Eisenhut

DATEV eG