WSUS-Konfiguration über Gruppenrichtlinien

Die Konfiguration über Gruppenrichtlinien eignet sich sowohl für Standalone-Systeme (Lokales GPO) als auch für eine Windows-Domäne (Active-Directory). Wirklich sinnvoll ist es allerdings nur in einer Domäne, da die Einstellungen manuell vorgenommen werden müssen - der Gewinn entsteht erst dadurch, dass in einer Domäne die Gruppenrichtlinien automatisch an alle Clients verteilt werden können (je nach Platzierung der GPO im Active-Directory). In einer Domäne mit Samba3 als DC oder ohne Domäne ist eine Einstellung der Clients über Registry-Einträge oder den Installer leichter.

Starten Sie den Gruppenrichtlinieneditor (im lokalen System z.B. per Start/Ausführen/gpedit.msc). In einer Domäne sollte man ein eigenen Gruppenrichtlinien-Objekt für die Update-Richtlinie erstellen, wobei die Stelle so gewählt werden muss, dass die Zielsysteme die Einstellungen erben.

Die zu bearbeitenden Richtlinien finden Sie unter:
Computerkonfiguration -> Administrative-Vorlagen -> Windows-Komponenten -> Windows-Update

Unter Windows-Update finden Sie je nach Systemversion zehn oder zwölf Richtlinien, die aber nicht alle gesetzt oder geändert werden müssen:

Die im Folgenden dargestellten Richtlinien-Einstellungen entsprechen den Einstellungen in den anderen von uns beschriebenen Installationsvarianten per Installer (Vorgabewerte) und per Registry-Import.

Einige Richtlinien müssen aktiviert und weitere Daten eingestellt oder eingegeben werden, andere müssen nur aktiviert werden.

Nur zu aktivieren (sowieso keine zusätzliche Dateneingabe möglich) sind weitere Richtlinien:

• "Keinen automatischen Neustart für geplante Installation durchführen"
  verhindert, falls anders als hier vorgeschlagen die automatische Installation, d.h. Option 4 in "Automatische Updates konfigurieren", gewählt wurde, einen automatischen Neustart, während das System benutzt wird
• "Automatische Updates sofort installieren"
  bezieht sich auf kleinere Updates, die keinen Neustart erfordern und keine laufenden Dienste betreffen
• "Nicht-Administratoren gestatten, Updatebenachrichtigungen zu erhalten"
  ermöglicht die Updateinstallation für normale Nutzer

Insgesamt ergibt sich im Gruppenrichtlinieneditor dann folgendes Bild:

Weitere Informationen zur WSUS-Konfiguration über Gruppenrichtlinien finden Sie bei Microsoft.

Ab Windows-8 muss man noch über eine weitere Richtlinie einstellen, dass nachzuinstallierende Komponenten und Features nicht vom WSUS-Server sondern direkt von Microsoft gezogen werden. Ohne diese Richtlinie ist eine Nachinstallation nicht möglich, in der Praxis betrifft dieses meist benötigte ältere DotNet-Versionen.

Einzustellen ist die Richtlinie unter Computerkonfiguration -> Administrative-Vorlagen -> System, dort die Richtlinie "Einstellungen für die Installation optionaler Komponenten und die Reparatur von Komponenten": es ist auszuwählen, dass Inhalte direkt von Windows-Update (also Microsoft) und nicht vom WSUS-Server heruntergeladen werden sollen.

Ab Windows-8 wird beim Ausschalten des Rechners das Windows-Betriebssystem standardmäßig gar nicht jedesmal heruntergefahren. Stattdessen wird das laufende System auf die Festplatte in einen Ruhezustand gebracht, was ein schnelles Einschalten ermöglicht. Zwar soll bei Software-Installationen Windows automatisch richtig herunterfahren, dieses kann man vorsorglich aber erzwingen. Das geht auf jedenfall über einen Registry-Eintrag (wird bei der WSUS-Installation über die Registry gesetzt). Es gibt auch eine Gruppenrichtlinie, die Dokumentation ist da aber nicht eindeutig (Microsoft-Webseite beschreibt Richtlinie als geeignet, im Gruppenrichtlinien-Editor bedeutet die Hilfe aber etwas anderes) - auf jeden Fall darf die Richtlinie nicht aktiviert sein, damit der Registry-Eintrag greift.