In einer Active-Directory-Domäne kann WSUS die Clients mithilfe der Windows-Gruppenrichtlinien verwalten. Das Tool lässt sich auch ohne Active Directory einsetzen. In diesem Fall muss auf den Clients lediglich ein Registry-Key geändert werden, damit die Windows-Update-Funktion nicht mehr auf die Microsoft-Webseite zugreift, sondern auf einen der WSUS-Server.
Der Server, auf dem WSUS installiert wird, benötigt Internet Information Server 5.0 (IIS), Background Intelligent Transfer Service 2.0 (BITS) sowie das .NET Framework 1.1 SP1. Zudem müssen mindestens sechs GByte Plattenplatz zum Speichern der Updates verfügbar sein. Als Datenbank für die Hotfix- und Update-Informationen verwendet WSUS "SQL 2000 WMSDE". Alternativ lässt sich auch ein "SQL Server 2000" oder die "MSDE" nutzen.
Nachdem die Installation abgeschlossen ist, öffnet sich automatisch die lokale Webseite mit der WSUS-Management-Konsole. Als erstes muss der Administrator den Server mit der Microsoft-Webseite synchronisieren, damit er alle verfügbaren Updates anzeigen kann. Diese Aktualisierung dauerte im Test etwa ein Stunde.
Der Administrator legt fest, wie oft und zu welcher Uhrzeit sich der WSUS-Server mit der Microsoft-Webseite abgleicht. Für den Test wurde ein tägliches Update morgens um 7 Uhr gewählt. Zudem gibt der Systemverwalter an, ob die Hotfixes, Treiber, Service Packs und sonstigen Updates für alle von WSUS unterstützten Microsoft-Produkte heruntergeladen werden sollen oder nur für bestimmte. Er kann die Aktualisierung zum Beispiel nur auf Sicherheits-Updates beschränken. Einstellen lässt sich, dass alle Updates automatisch installiert werden, die keinen Reboot erfordern. Sobald der erste WSUS-Server alle erforderlichen Update-Informationen heruntergeladen hat, lässt er sich für weitere WSUS-Server anstelle der Microsoft-Webseite als Download-Quelle konfigurieren.
Scan-Funktionen von WSUS
Über die Funktion "Nur ermitteln" fragt WSUS den Patch-Status eines Client-Rechners ab. Damit stellt das Tool lediglich fest, welche Updates auf welchen Computern fehlen. Der Administrator kann mit Hilfe dieser Informationen ungefähr abschätzen, wie groß die Netzwerkbelastung durch den Roll-out sein wird. Zudem überprüft WSUS, ob sich die zu installierende Software mit dem jeweiligen Client verträgt. Ausgeführt werden diese Aktionen, wenn der Client den WSUS-Server das nächste Mal abfragt. Wann dies geschieht, legt der Administrator über die WSUS-Einstellungen in den Gruppenrichtlinien des Active Directory fest. Hier gibt er auch an, welchen WSUS-Server die Clients für ihre Update-Anfrage verwenden sollen. Alternativ lassen sich diese Einstellungen auch in der Registry der Client-Rechner festlegen.