Januar 15

WSUS Gruppenrichtlinie

Gruppenrichtlinie zu Windows Server Update Services

Konfiguration der Gruppenrichtlinie „Windows Update“ für die Verwendung mit Windows Server Update Services 3.0.

Diese Gruppenrichtlinie ist nur eine Beispielkonfiguration aus einer Testumgebung

Angaben und Namen sind Beispielwerte und müssen für die jeweilige Umgebung angepasst werden!

WSUSpraxis001

Gruppenrichtlinien-Editor

Computerkonfiguration – Administrative Vorlagen  – Windows Komponenten-Windows Update

WSUSpraxis002

Gibt an, ob das Windows Update-Energieverwaltungsfeature verwendet wird, um das System automatisch aus dem Ruhezustand zu reaktivieren, wenn Updates zur Installation geplant sind.
Das System wird automatisch reaktiviert, wenn Windows Update zur automatischen Installation von Updates konfiguriert ist. Wenn sich das System zum Zeitpunkt der geplanten Installation im Ruhezustand befindet und Updates installiert werden müssen, wird das System mit dem Windows-Energieverwaltungsfeature automatisch reaktiviert, um die Updates zu installieren.
Das System wird auch reaktiviert, und Updates werden installiert, wenn ein Zeitlimit für die Installation erreicht wird.
Das System wird erst reaktiviert, wenn Updates zur Installation vorliegen.  Wenn sich das System zum Zeitpunkt der Reaktivierung im Akkubetrieb befindet, werden keine Updates installiert, und das System kehrt nach zwei Minuten in den Ruhezustand zurück.

WSUSpraxis003

Gibt an, ob dieser Computer Sicherheitsupdates und andere wichtige Downloads über den Windows-Dienst für automatische Updates installiert.
Mit dieser Einstellung können Sie festlegen, ob automatische Updates auf diesem Computer aktiviert sind. Sie müssen eine der folgenden drei Optionen der Gruppenrichtlinieneinstellung auswählen, falls der Dienst aktiviert ist:
2 = Vor dem Download von Updates benachrichtigen und vor deren Installation erneut benachrichtigen
Wenn Windows Updates ermittelt, die auf diesen Computer angewendet werden können, wird ein Statusbereichssymbol mit einer Meldung, dass Updates gedownloadet werden können, angezeigt. Durch Klicken auf das Symbol oder die Meldung können Sie Updates zum Downloaden auswählen. Die ausgewählten Updates werden im Hintergrund gedownloadet. Nach Abschließen des Downloads wird erneut ein Symbol im Statusbereich angezeigt, dass Sie darüber informiert, dass die Updates installiert werden können. Wenn Sie auf das Symbol oder die Meldung klicken, können Sie die Updates auswählen, die installiert werden sollen.
3 = (Standardeinstellung) Updates automatisch downloaden und über installierbare Updates benachrichtigen
Windows sucht nach anwendbaren Updates für den Computer und übertragt diese im Hintergrund automatisch (der Benutzer wird während dieses Vorgangs nicht benachrichtigt oder gestört). Nach Abschließen des Downloads wird ein Symbol im Statusbereich mit der Benachrichtigung angezeigt, dass diese Updates installationsbereit sind. Durch Klicken auf das Symbol oder die Meldung können Sie die Updates auswählen, die Sie installieren möchten.
4 = Updates automatisch downloaden und laut angegebenem Zeitplan installieren
Legen Sie den Zeitplan mit den Optionen in der Gruppenrichtlinieneinstellung fest. Standardmäßig sind Installationen für 3 Uhr morgens geplant, falls kein Zeitplan angegeben wird. Falls für Updates ein Neustart erforderlich ist, startet Windows den Computer automatisch neu. (Falls ein Benutzer am Computer angemeldet ist, wenn Windows neu gestartet werden soll, wird der Benutzer benachrichtigt und kann den Neustart verzögern.)
Klicken Sie auf „Aktiviert“, um diese Einstellung zu verwenden, und wählen Sie eine Option (2, 3 oder 4). Wenn Sie Option 4 auswählen, können Sie einen regelmäßigen Zeitplan setzen (ohne Zeitplanangabe werden alle Installationen um 3 Uhr morgens ausgeführt).
Wenn der Status auf „Aktiviert“ gesetzt ist, kann Windows erkennen, wann dieser Computer online ist, und dessen Internetverbindung verwenden, um nach der Windows Update-Website nach anwendbaren Updates zu suchen.
Falls der Status deaktiviert ist, müssen alle verfügbaren Updates auf der Windows Update-Website (http://windowsupdate.microsoft.com) manuell gedownloadet und installiert werden.
Falls der Status nicht konfiguriert ist, wurde die Verwendung von automatischen Updates nicht auf Gruppenrichtlinie festgelegt. Ein Administrator kann jedoch automatische Updates über die Systemsteuerung konfigurieren.

WSUSpraxis004

Bestimmt, ob Updates, die weder die Windows-Dienste noch Windows neu starten, automatisch installiert werden sollen.
Wenn der Status auf „Aktiviert“ gesetzt ist, werden diese Updates automatisch installiert, nachdem sie heruntergeladen wurden und installationsbereit sind.
Wenn der Status deaktiviert ist, werden solche Updates nicht sofort installiert.
Hinweis: Diese Richtlinie hat keine Auswirkungen, wenn die Richtlinie „Automatische Updates konfigurieren“ deaktiviert ist.

WSUSpraxis005

Gibt den Zielgruppennamen oder die Namen an, die verwendet werden sollen, die zum Empfang von Updates vom Microsoft Updatedienst im Intranet verwendet werden sollen.
Wenn der Status auf „Aktiviert“ festgelegt ist, werden die angegebenen Zielgruppeninformationen an den Microsoft Updatedienst im Intranet gesendet. Dieser verwendet diese Informationen, um zu ermitteln, welche Updates auf dem Computer bereitgestellt werden sollen.
Wenn durch den Microsoft Updatedienst mehrere Zielgruppen unterstützt werden, können durch diese Richtlinie mehrere, durch Semikolons getrennte Gruppennamen angegeben werden. Andernfalls muss eine einzelne Gruppe angegeben werden.
Wenn der Status auf „Deaktiviert“ oder „Nicht konfiguriert“ festgelegt ist, werden keine Zielgruppeninformationen an den Microsoft Updatedienst im Intranet gesendet.
Hinweis: Diese Richtlinie gilt nur, wenn der Microsoft Updatedienst im Intranet, den dieser Computer verwendet, clientseitige Zielzuordnung unterstützt. Diese Richtlinie hat keine Auswirkungen, wenn die Richtlinie „Internen Pfad für den Microsoft Updatedienst angeben“ deaktiviert oder nicht konfiguriert ist.

WSUSpraxis006

Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob die Option „Updates installieren und herunterfahren“ als Standardoption im Dialogfeld „Windows herunterfahren“ sein darf.
Durch Aktivieren dieser Richtlinieneinstellung wird die zuletzt vom Benutzer ausgewählte Herunterfahroption (Ruhezustand, Neu starten usw.) als Standardoption im Dialogfeld „Windows herunterfahren“ verwendet, unabhängig ob Option „Updates installieren und herunterfahren“ in der Liste „Wie möchten Sie vorgehen?“ verfügbar wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Option „Updates installieren und herunterfahren“ als Standardoption im Dialogfeld „Windows herunterfahren“ gesetzt, falls Updates zum Installieren verfügbar sind, wenn der Benutzer die Option „Herunterfahren“ im Startmenü auswählt.
Hinweis: Diese Richtlinieneinstellung hat keine Auswirkungen, falls die Richtlinie „Option „Updates installieren und herunterfahren“ im Dialogfeld „Windows herunterfahren“ nicht anzeigen“ unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update aktiviert ist.

WSUSpraxis007

Gibt an, ob wichtige und empfohlene Updates automatisch vom Updatedienst Windows Update abgerufen werden.
Wenn diese Richtlinie aktiviert ist, werden empfohlene und wichtige Updates vom Updatedienst Windows Update abgerufen.
Wenn diese Richtlinie deaktiviert oder nicht konfiguriert ist, werden weiterhin wichtige Updates abgerufen, sofern eine entsprechende Einstellung vorliegt.

WSUSpraxis008

Bestimmt den Zeitraum, bevor erneut zu einem Neustart aufgefordert wird.
Wenn der Status auf „Aktiviert“ gesetzt ist, wird der geplante Neustart nach der angegebenen Minutenanzahl nach der vorherigen Aufforderung zu einem Neustart durchgeführt.
Wenn der Status deaktiviert oder nicht konfiguriert ist, beträgt das Standardintervall 10 Minuten.
Hinweis: Diese Richtlinie gilt nur, wenn die automatischen Updates für geplante Installationen konfiguriert wurden. Diese Richtlinie hat keine Auswirkungen, wenn die Richtlinie „Automatische Updates konfigurieren“ deaktiviert ist.

WSUSpraxis009

Gibt einen Intranetserver an, der als Host für Updates von den Microsoft Update-Websites fungiert. Mit diesem Updatedienst können Computer im Netzwerk automatisch aktualisiert werden.
Diese Einstellung ermöglicht es Ihnen, einen Server im Netzwerk als Host für den internen Updatedienst zu bestimmen. Der Client der automatischen Updates durchsucht diesen Dienst nach Updates, die auf Computer im Netzwerk anwendbar sind.
Sie müssen zwei Servernamenwerte setzen, um diese Einstellung verwenden zu können: Sie müssen einen Server, von dem der Client Updates ermittelt und herunterläd, und einen Server, auf dem der Upload der Statistiken der aktualisierten Arbeitsstationen ausgeführt wird, festlegen. Derselbe Server kann für beide Werte verwendet werden.
Wenn der Status auf „Aktiviert“ gesetzt ist, stellt der Client eine Verbindung mit dem angegebenen Microsoft Updatedienst anstelle von Windows Update her, um nach Downloads zu suchen und diese zu installieren. Durch Aktivieren dieser Einstellung müssen Benutzer in ihrer Organisation Updates nicht über eine Firewall herunterladen. Außerdem können Sie somit Updates testen, bevor Sie diese bereitstellen.
Wenn der Status deaktiviert oder nicht konfiguriert ist, und falls automatische Updates nicht durch eine Richtlinie oder benutzerdefinierte Einstellung deaktiviert ist, stellt der Client der automatischen Updates direkt eine Verbindung mit der Windows Update-Site im Internet her.
Hinweis: Diese Richtlinie hat keine Auswirkungen, falls die Richtlinie „Automatische Updates konfigurieren“ deaktiviert ist.

WSUSpraxis010

Legt fest, dass der Computer vom angemeldeten Benutzer manuell neu gestartet werden muss, um die Installation der automatischen Updates fertig zu stellen, anstatt dass der Computer automatisch neu gestartet wird.
Wenn der Status auf „Aktiviert“ gesetzt ist, wird der Computer nicht automatisch während einer geplanten Installation neu gestartet, falls zurzeit eine Benutzer angemeldet ist. Stattdessen wird der Benutzer aufgefordert, den Computer neu zu starten.
Hinweis: Der Computer muss neu gestartet werden, damit die Updates angewendet werden.
Wenn der Status deaktiviert oder nicht konfiguriert ist, wird der Benutzer benachrichtigt, dass der Computer automatisch in fünf Minuten neu gestartet wird, damit die Installation fertig gestellt werden kann.
Hinweis: Diese Richtlinie gilt nur, wenn die automatischen Updates für geplante Installationen konfiguriert wurden. Diese Richtlinie hat keine Auswirkungen, wenn die Richtlinie „Automatische Updates konfigurieren“ deaktiviert ist.

WSUSpraxis011

Gibt die Wartezeit vor einem geplanten Neustart an.
Wenn der Status auf „Aktiviert“ gesetzt ist, wird ein Neustart nach Fertigstellen der Installation entsprechend der angegebenen Minutenanzahl durchgeführt.
Wenn der Status deaktiviert oder nicht konfiguriert ist, beträgt die Standardwartezeit fünf Minuten.
Hinweis: Diese Richtlinie gilt nur, wenn die automatischen Updates für geplante Installationen konfiguriert wurden. Diese Richtlinie hat keine Auswirkungen, wenn die Richtlinie „Automatische Updates konfigurieren“ deaktiviert ist.

WSUSpraxis012

Legt fest, ob angemeldete Benutzer, die keine Administratoren sind, Updatebenachrichtigungen laut ihrer Konfigurationseinstellungen für automatische Updates erhalten. Falls automatische Updates für die Benachrichtigung konfiguriert sind (über eine Gruppenrichtlinie oder lokal), werden alle Benutzern, die sich an diesem Computer anmelden, vor dem Download oder nur vor der Installation über Updates benachrichtigt.
Falls diese Richtlinie aktiviert ist, erhalten an diesem Computer angemeldete Benutzer, auch wenn sie keine Administratoren sind, Updatebenachrichtigungen.
Wenn diese Richtlinie deaktiviert oder nicht konfiguriert ist, werden nur angemeldete Administratoren benachrichtigt.
Hinweis: Diese Richtlinie hat keine Auswirkungen, falls die Richtlinie „Automatische Updates konfigurieren“ deaktiviert ist.

WSUSpraxis013

Diese Richtlinieneinstellung ermöglicht Ihnen festzulegen, ob die Option „Updates installieren und herunterfahren“ im Dialogfeld „Windows herunterfahren“ angezeigt wird.
Durch Aktivieren dieser Richtlinieneinstellung wird die Option „Updates installieren und herunterfahren“ im Dialogfeld „Windows herunterfahren“ nicht angezeigt, auch wenn Updates zum Installieren verfügbar sind und der Benutzer die Option „Herunterfahren“ im Startmenü auswählt.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Option „Updates installieren und herunterfahren“ im Dialogfeld „Windows herunterfahren“ angezeigt, falls Updates verfügbar sind, wenn der Benutzer die Option „Herunterfahren“ im Startmenü auswählt.

WSUSpraxis014

Gibt an, ob nicht von Microsoft signierte Updates akzeptiert werden sollen, wenn diese von einem internen Speicherort für Microsoft-Updatedienste stammen.
Wenn diese Richtlinie aktiviert ist, werden Updates akzeptiert, die von einem internen Speicherort für Microsoft-Updatedienste stammen, wenn diese mit einem Zertifikat signiert sind, das auf dem lokalen im Zertifikatespeicher „Vertrauenswürdige Herausgeber“ vorhanden ist.
Wenn diese Richtlinie deaktiviert ist, müssen Updates von einem internen Speicherort für Microsoft-Updatedienste von Microsoft signiert sein.
Updates von anderen Diensten als dem internen Microsoft-Updatedienst müssen immer von Microsoft signiert sein, unabhängig davon, ob diese Richtlinie aktiviert oder deaktiviert ist

WSUSpraxis015

Gibt den Abstand in Stunden an, nach dem nach verfügbaren Updates gesucht wird. Die genaue Wartezeit wird durch den hier angegebenen Stundenwert plus/minus 20% des angegebenen Werts festgelegt. Wenn Sie zum Beispiel ein Suchfrequenz von 20 Stunden angeben, wird auf Clients, für die diese Richtlinie gilt, alle 16 bis 20 Stunden nach Updates gesucht.
Wenn der Status auf „Aktiviert“ gesetzt ist, sucht Windows in den angegeben Abständen nach verfügbaren Updates.
Wenn der Status deaktiviert oder nicht konfiguriert ist, sucht Windows standardmäßig alle 22 Stunden nach verfügbaren Updates.
Hinweis: Die Einstellung „Internen Pfad für den Microsoft Updatedienst angeben“ muss aktiviert sein, damit diese Richtlinie angewendet werden kann.
Hinweis: Diese Richtlinie hat keine Auswirkungen, falls die Richtlinie „Automatische Updates konfigurieren“ deaktiviert ist.

WSUSpraxis016

Bestimmt die Wartezeit nach dem Systemstart, bevor eine zuvor verpasste geplante Installation ausgeführt wird.
Wenn der Status auf „Aktiviert“ gesetzt ist, wird eine geplante Installation, die noch nicht durchgeführt wurde, nach der angegebenen Minutenanzahl nach dem Computerneustart ausgeführt.
Wenn der Status deaktiviert ist, wird eine verpasste geplante Installation zum nächsten geplanten Installationszeitpunkt ausgeführt.
Wenn der Status nicht konfiguriert ist, wird eine verpasste geplante Installation eine Minute nach dem Neustart ausgeführt.
Hinweis: Diese Richtlinie gilt nur, wenn die automatischen Updates für geplante Installationen konfiguriert wurden. Diese Richtlinie hat keine Auswirkungen, wenn die Richtlinie „Automatische Updates konfigurieren“ deaktiviert ist.