Workshop: Patch-Management

WSUS vereinfacht Update-Services

30.11.2012
Von 
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.

Mit Gruppen arbeiten

Separieren: In der WSUS-Verwaltung können Sie neben den Standardgruppen beliebig zusätzliche Gruppen anlegen.
Separieren: In der WSUS-Verwaltung können Sie neben den Standardgruppen beliebig zusätzliche Gruppen anlegen.

In der Systemsteuerung auf den Clients und Servern erhalten Sie Hinweise, wenn Einstellungen zentral durch Gruppenrichtlinien vorgegeben sind. Durch die Einstellung Clientseitige Zielzuordnung in den Richtlinieneinstellungen geben Sie die WSUS-Gruppe ein, in der sich der Client am WSUS anmelden soll.

Dazu müssen Sie in der Verwaltung auf dem WSUS entsprechende Gruppen anlegen. Da ein Computer Mitglied mehrerer Gruppen in WSUS 3.0 sein darf, können Sie in der Gruppenrichtlinie auch mehrere Gruppen angeben. Trennen Sie die Bezeichnung durch ein Semikolon (;). Basierend auf diesen Gruppen können Sie in der WSUS-Verwaltung konfigurieren, welche Patches auf den einzelnen Computern der Gruppe installiert werden.

Es gibt zwei Standardcomputergruppen: Alle Computer und Nicht zugeordnete Computer. Das Erstellen von Computergruppen bietet den Vorteil, dass Sie Updates vor der Bereitstellung testen können. Neben der Möglichkeit der Konfiguration per Gruppenrichtlinie können Sie Clients auch manuell in der Verwaltungskonsole der Windows Server Update Services in die Gruppen aufnehmen. Generell ist eine Automatisierung aber immer am besten, da Sie so bereits durch die Zuordnung eines Clients zu seiner OU festlegen, welche Patches er erhält.