WSUS-Konfiguration über Gruppenrichtlinien

Die Konfiguration über Gruppenrichtlinien eignet sich sowohl für Standalone-Systeme (Lokales GPO) als auch für eine Windows-Domäne (Samba/NT4 oder Active-Directory). Wirklich sinnvoll ist es allerdings nur in einer Domäne, da die Einstellungen manuell vorgenommen werden müssen - der Gewinn entsteht erst dadurch, dass in einer Domäne die Gruppenrichtlinien automatisch an alle Clients verteilt werden können (je nach Platzierung der GPO im Active-Directory). In einer Domäne mit Samba als DC ist evt. eine Einstellung der Clients über Registry-Einträge oder den Installer leichter.

Administrative Vorlage

Vor der Definition der einzelnen Gruppenrichtlinien ist evt. zunächst eine administrative Vorlage den Gruppenrichtlinien zuzufügen. Auf neueren Systemen (Windows XP ab SP1, Server 2003) sollte sie schon auf dem System verfügbar sein: als Datei wuau.adm. Sollte die Datei auf dem System noch nicht installiert sein, so installieren Sie zunächst den neuen automatischen Installer von Microsoft (z.B. durch manuell veranlasstes Windows-Update).

Danach starten Sie den Gruppenrichtlinieneditor (im lokalen System z.B. per Start/Ausführen/gpedit.msc) und fügen die Vorlage wuau hinzu (im Gruppenrichtlinieneditor mit Rechtsklick auf "Administrative Vorlagen" usw.).

: Update in den Gruppenrichtlinien

Gruppenrichtlinien

Die zu bearbeitenden Richtlinien finden Sie unter:
Computerkonfiguration -> Administrative-Vorlagen -> Windows-Komponenten -> Windows-Update

(Sollte der Eintrag "Windows-Update" nicht vorhanden sein, so müssen Sie die Vorlage wuau zufügen, s.o.)

Unter Windows-Update finden Sie je nach Systemversion zehn oder zwölf Richtlinien, die aber nicht alle gesetzt oder geändert werden müssen:

: Windows-Update-Richtlinien bei Windows Server 2003 SP1

Details / Einstellungen für die UH

Die im Folgenden dargestellten Richtlinien-Einstellungen entsprechen den Einstellungen in den anderen von uns beschriebenen Installationsvarianten per Installer (Vorgabewerte) und per Registry-Import.

Einige Richtlinien müssen aktiviert und weitere Daten eingestellt oder eingegeben werden, andere müssen nur aktiviert werden.

Automatische Updates konfigurieren

Internen Pfad für den Microsoft Updatedienst

weitere

Nur zu aktivieren (sowieso keine zusätzliche Dateneingabe möglich) sind weitere Richtlinien:

"Keinen automatischen Neustart für geplante Installation durchführen"
verhindert, falls anders als hier vorgeschlagen die automatische Installation, d.h. Option 4 in "Automatische Updates konfigurieren", gewählt wurde, einen automatischen Neustart, während das System benutzt wird
"Automatische Updates sofort installieren"
bezieht sich auf kleinere Updates, die keinen Neustart erfordern und keine laufenden Dienste betreffen
"Nicht-Administratoren gestatten, Updatebenachrichtigungen zu erhalten"
ermöglicht die Updateinstallation für normale Nutzer

Insgesamt ergibt sich im Gruppenrichtlinieneditor dann folgendes Bild:

: gesetzte Richtlinien (ohne Details/Daten)

Weitere Informationen zur WSUS-Konfiguration über Gruppenrichtlinien finden Sie bei Microsoft.

	IT-Sicherheit > Risiken & Maßnahmen > Windows Update > WSUS per Richtlinien
RRZN Organisation IT-Support Forschung und Lehre E-Mail Internet Archivierung Backup & Restore IT-Sicherheit Ernstfall Antivirensoftware Firewall Risiken & Maßnahmen Browsersicherheit Windows XP Passwörter Sichere E-Mail Data-Leakage Windows Fernwartung Serversicherheit Softwareaktualität Windows Update Embedded Systems Zertifizierung (UH-CA) LUH-Regelungen Dokumente & Links Hochleistungsrechnen Clustersystem Software RRZN-Handbücher Kurse Leibniz Universität Hannover	WSUS-Konfiguration über Gruppenrichtlinien Die Konfiguration über Gruppenrichtlinien eignet sich sowohl für Standalone-Systeme (Lokales GPO) als auch für eine Windows-Domäne (Samba/NT4 oder Active-Directory). Wirklich sinnvoll ist es allerdings nur in einer Domäne, da die Einstellungen manuell vorgenommen werden müssen - der Gewinn entsteht erst dadurch, dass in einer Domäne die Gruppenrichtlinien automatisch an alle Clients verteilt werden können (je nach Platzierung der GPO im Active-Directory). In einer Domäne mit Samba als DC ist evt. eine Einstellung der Clients über Registry-Einträge oder den Installer leichter. Administrative Vorlage Vor der Definition der einzelnen Gruppenrichtlinien ist evt. zunächst eine administrative Vorlage den Gruppenrichtlinien zuzufügen. Auf neueren Systemen (Windows XP ab SP1, Server 2003) sollte sie schon auf dem System verfügbar sein: als Datei `wuau.adm`. Sollte die Datei auf dem System noch nicht installiert sein, so installieren Sie zunächst den neuen automatischen Installer von Microsoft (z.B. durch manuell veranlasstes Windows-Update). Danach starten Sie den Gruppenrichtlinieneditor (im lokalen System z.B. per Start/Ausführen/`gpedit.msc`) und fügen die Vorlage `wuau` hinzu (im Gruppenrichtlinieneditor mit Rechtsklick auf "Administrative Vorlagen" usw.). Update in den Gruppenrichtlinien Gruppenrichtlinien Die zu bearbeitenden Richtlinien finden Sie unter: Computerkonfiguration -> Administrative-Vorlagen -> Windows-Komponenten -> Windows-Update (Sollte der Eintrag "Windows-Update" nicht vorhanden sein, so müssen Sie die Vorlage wuau zufügen, s.o.) Unter Windows-Update finden Sie je nach Systemversion zehn oder zwölf Richtlinien, die aber nicht alle gesetzt oder geändert werden müssen: Windows-Update-Richtlinien bei Windows Server 2003 SP1 Details / Einstellungen für die UH Die im Folgenden dargestellten Richtlinien-Einstellungen entsprechen den Einstellungen in den anderen von uns beschriebenen Installationsvarianten per Installer (Vorgabewerte) und per Registry-Import. Einige Richtlinien müssen aktiviert und weitere Daten eingestellt oder eingegeben werden, andere müssen nur aktiviert werden. Automatische Updates konfigurieren Internen Pfad für den Microsoft Updatedienst weitere Nur zu aktivieren (sowieso keine zusätzliche Dateneingabe möglich) sind weitere Richtlinien: "Keinen automatischen Neustart für geplante Installation durchführen" verhindert, falls anders als hier vorgeschlagen die automatische Installation, d.h. Option 4 in "Automatische Updates konfigurieren", gewählt wurde, einen automatischen Neustart, während das System benutzt wird "Automatische Updates sofort installieren" bezieht sich auf kleinere Updates, die keinen Neustart erfordern und keine laufenden Dienste betreffen "Nicht-Administratoren gestatten, Updatebenachrichtigungen zu erhalten" ermöglicht die Updateinstallation für normale Nutzer Insgesamt ergibt sich im Gruppenrichtlinieneditor dann folgendes Bild: gesetzte Richtlinien (ohne Details/Daten) Weitere Informationen zur WSUS-Konfiguration über Gruppenrichtlinien finden Sie bei Microsoft.
	Top Druckversion Letzte Änderung: 20.01.2011 Hergen Harnisch

	© Leibniz Universität Hannover Impressum Verantwortlich RRZN