WSUS und die PowerShell
Wer WSUS in der PowerShell verwalten will, kann sich mit dem Befehl
get-command -module updateservices
alle CMDlets anzeigen lassen, mit denen sich die Windows Server Update Services verwalten lassen.
Die Steuerung von WSUS nehmen Sie mit folgenden CMDlets vor:
• Add-WsusComputer - Fügt einen angebundenen PC einer bestimmte WSUS-Gruppe hinzu
• Approve-WsusUpdate - Gibt Updates frei
• Deny-WsusUpdate - Verweigert Updates
• Get-WsusClassification - Zeigt alle verfügbaren Klassifikationen an, die aktuell verfügbar sind
• Get-WsusComputer - Zeigt WSUS-Clients/ und -Computer an
• Get-WsusProduct - Zeigt eine Liste aller Produkte auf dem WSUS an, für die der Server Patches bereithält.
• Get-WsusServer - Zeigt alle WSUS-Server im Netzwerk an
• Get-WsusUpdate - Zeigt Informationen zu Updates an
• Invoke-WsusServerCleanup - Startet den Aufräumevorgang
• Set-WsusClassification - Fügt Klassifikationen zu WSUS hinzu
• Set-WsusProduct - Fügt Produkte zu WSUS hinzu
• Set-WsusServerSynchronization - Steuert die WSUS-Synchronisierung
- WSUS
WSUS können Sie auch über die PowerShell steuern. Auf diesem Weg lassen sich viele Einstellungen skripten. - Gruppenrichtlinien
Für die angebundenen Clients legen Sie per Gruppenrichtlinie fest, wie die Updates installiert werden sollen.
Client-Computer über Gruppenrichtlinien anbinden
Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Sie unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update vor. Die Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Auf diesem Weg aktualisieren Sie auch den Server.
Die erste Option ist Internen Pfad für den Microsoft Updatedienst angeben. Diese Option aktivieren Sie. Da WSUS eine Webapplikation ist, müssen Sie den Servernamen mit einer HTTP-Adresse angegeben: http://<Servername>:<Port>. Den Port finden Sie in der WSUS-Konsole im unteren Bereich.
Die zweite wichtige Option ist das Updateverhalten, das Sie über Automatische Updates konfigurieren festlegen. Dabei stehen hauptsächlich folgende Möglichkeiten zur Verfügung:
• Vor Herunterladen und Installation benachrichtigen - Mit dieser Option benachrichtigt Windows Administratoren vor dem Download und vor der Installation der Updates. Dazu blendet Windows ein Symbol in der Taskleiste ein.
• Autom. Herunterladen, aber vor Installation benachrichtigen - Mit dieser Option führt der Client automatisch den Download der Updates durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung ist optimal für Server.
• Autom. Herunterladen und laut Zeitplan installieren - Mit dieser Installation versorgt sich der Client vollkommen automatisch mit den notwendigen Updates. Wenn die Clients zum Zeitpunkt der Aktualisierung nicht eingeschaltet sind, startet Windows beim nächsten Start die Aktualisierung
• Lokalen Administrator ermöglichen, Einstellung auszuwählen - Mit dieser Option lassen Sie zu, dass lokale Administratoren mithilfe der Option Automatische Updates in der Systemsteuerung die Konfiguration selbst auswählen können.
Auf den einzelnen Rechnern können Sie in der Eingabeaufforderung durch Eingabe des Befehls
wuauclt /detectnow
eine sofortige Verbindung zum WSUS erzwingen. Ist der Client noch immer nicht angebunden, geben Sie in der Befehlszeile
gpupdate /force
und dann
Wuauclt.exe /reportnow /detectnow
ein. Sollten die Einstellungen in der Gruppenrichtlinie auf einem Computer noch nicht gespeichert sein, hat Windows unter Umständen die Gruppenrichtlinie noch nicht angewendet. In diesem Fall können Sie mit dem Befehl
gpupdate /force
das Aktualisieren der Gruppenrichtlinie auf dem Client erzwingen.