So stellen Sie sicher, dass Ihre Windows Update-Gruppenrichtlinien reibungslos funktionieren
Die Verwaltung von Windows Update über Gruppenrichtlinien kann anfangs etwas umständlich sein. Manchmal werden Updates nicht wie erwartet installiert, oder Clients bleiben hartnäckig offline vom WSUS-Server. Dieser Leitfaden erklärt die Grundlagen der Einrichtung dieser Richtlinien für Server und Workstations und gibt praktische Tipps aus der Praxis. Im Prinzip sollen Ihre Server Patches automatisch im Hintergrund installieren und die PCs Ihrer Benutzer ohne Beeinträchtigung während der Hauptarbeitszeit auf dem neuesten Stand bleiben. Nach etwas Übung mit diesen Einstellungen können Sie einen zentralisierten und übersichtlichen Update-Prozess erwarten – quasi einen Verkehrspolizisten für Patches.
🎯 So konfigurieren Sie die Gruppenrichtlinieneinstellungen für Windows Update auf WSUS-Clients
Stellen Sie zunächst sicher, dass WSUS ordnungsgemäß eingerichtet ist.
Wenn Sie den lokalen WSUS-Server in Ihrem Netzwerk installiert haben, müssen Sie als Nächstes festlegen, dass Ihre Domänencomputer Updates von diesem Server und nicht von den Microsoft-Servern beziehen. Hier kommt die Gruppenrichtlinie ins Spiel.Öffnen Sie auf Ihrem Server die WSUS-Verwaltungskonsole (wsus.msc) und erstellen Sie unter „ Computer“ zwei Bereitstellungsgruppen – eine für Arbeitsstationen und eine für Server. Dadurch bleiben die Patches übersichtlich organisiert.
Gehen Sie nun in der WSUS-Konsole zu „Optionen“ und wählen Sie für Computer die Option „Gruppenrichtlinie oder Registrierungseinstellung verwenden“.Dadurch werden die Clients veranlasst, ihre Gruppeninformationen über die Registrierung abzurufen, die Sie per Gruppenrichtlinie festlegen. Dies ist notwendig, damit Updates automatisch anhand der Clientgruppe zugewiesen werden, was später viel manuelle Arbeit erspart.
Richtlinien für Server und Workstations erstellen
Erstellen Sie in der Gruppenrichtlinienverwaltungskonsole ( gpmc.mscServerWSUSPolicy ) zwei neue Gruppenrichtlinienobjekte (GPOs): „Serverrichtlinie“ und WorkstationWSUSPolicy„Serverrichtlinie“.Konzentrieren Sie sich zunächst auf die Serverrichtlinie, da Server bei Neustarts und automatischen Installationen vorsichtiger vorgehen müssen. Navigieren Sie in diesem GPO zu „Computerkonfiguration“ > „Richtlinien“ > „Administrative Vorlagen“ > „Windows-Komponenten“ > „Windows Update“.
Wenn es Ihnen wie mir geht, werden Sie feststellen, dass Server standardmäßig Updates herunterladen, aber unter Umständen von selbst neu starten. Um Produktionsausfälle zu vermeiden, sollten Sie dies anpassen. Legen Sie folgende Richtlinien fest:
- Automatische Updates konfigurieren :
Enabled— Wählen Sie diese Option3 – Auto download and notify for install. Auf diese Weise werden Updates im Hintergrund heruntergeladen, aber erst installiert, wenn Sie bereit sind, wodurch Sie die Kontrolle behalten. - Geben Sie den Speicherort des Microsoft Update-Dienstes im Intranet an :
Enabled— Geben Sie die URL Ihres WSUS-Servers ein, z. B.http://hq-wsus.woshub.com:8530. Dadurch wird Clients explizit mitgeteilt, wo sie nach Updates suchen sollen. - Automatischer Neustart bei angemeldeten Benutzern verhindern :
Enabled– Verhindert unerwartete Serverneustarts. Diese Einstellung ist insbesondere in Produktionsumgebungen empfehlenswert. - Aktivieren Sie die clientseitige Zielgruppenansprache :
Enabled— Und legen Sie denTarget group nameWert auf festServers. Ihre Server werden dann in WSUS automatisch unter dieser Bezeichnung gruppiert.
Für die Gruppenrichtlinienobjekte (GPOs) der Arbeitsstationen gelten ähnliche Prinzipien, jedoch mit benutzerfreundlicheren Einstellungen. Beachten Sie Folgendes:
- Automatische Updates sofort installieren :
Disabled– Dadurch wird verhindert, dass Updates sofort installiert werden, und Ihre Benutzer erhalten eine Pause. - Nicht-Administratoren dürfen Update-Benachrichtigungen erhalten :
Enabled— Hilft dabei, Benutzer über Aktualisierungen zu informieren und Überraschungen zu vermeiden. - Automatische Updates konfigurieren :
Enabled– auf „4 — Auto download and schedule the installmit“Scheduled install day: 0 (every day)und „mit “ setzentime: 05:00 AM. Schön früh, damit Patches angewendet werden, während die Benutzer schlafen. - Clientseitiges Targeting aktivieren :
WorkstationsDadurch werden sie automatisch der richtigen Gruppe zugeordnet. - Kein automatischer Neustart während der Arbeitszeit :
EnabledDefinieren Sie Ihre Arbeitszeiten so, dass die Mitarbeiter tagsüber nicht unterbrochen werden. - Erzwingen Sie, dass der Client seine WSUS-Quelle erkennt : Legen Sie die korrekte URL in der Registrierung
Use WUServerfest1, damit die Clients reibungslos zusammenarbeiten.
Und stellen Sie in beiden Gruppenrichtlinienobjekten sicher, dass der Windows Update- Dienst ( wuauserv) auf automatischen Start eingestellt ist. Andernfalls war Ihre ganze Mühe umsonst.
Erzwingen Sie die Anwendung der Gruppenrichtlinienobjekte und überprüfen Sie, wie sich die Dinge entwickeln.
Sollen diese Richtlinien sofort wirksam werden – anstatt auf die nächste Aktualisierung zu warten –, führen Sie den Befehl gpupdate /forceauf den Client-Rechnern aus. Dieser Befehl erzwingt eine Aktualisierung der Richtlinien. Um zu prüfen, ob die Richtlinieneinstellungen in der Registrierung verborgen sind (Windows versteckt dort gerne Daten), überprüfen Sie HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.
Manchmal kann es eine Weile dauern, bis Ihre Clients Rückmeldung geben oder in den WSUS-Dashboards angezeigt werden. Wenn Sie ungeduldig sind oder ein Problem beheben möchten, führen Sie Befehle wie die folgenden aus:
wuauclt /detectnow /reportnow— zwingt Kunden dazu, jetzt nach Updates zu suchenwuauclt /resetauthorization /detectnow— zwingt sie dazu, sich erneut bei WSUS zu registrieren.
Ich bin mir nicht sicher, warum, aber bei manchen Konfigurationen kann die erste Erkennung fehlschlagen – das erneute Ausführen dieser Befehle hilft oft, den Vorgang zu beschleunigen.
Optional: So wechseln Sie zu Clients, die Updates aus dem Internet empfangen
Wenn Sie keinen internen WSUS-Server verwenden, können Sie Updates weiterhin per Gruppenrichtlinie verwalten. Sie müssen die Clients jedoch anweisen, ihre Patches direkt von Microsoft zu beziehen. Setzen Sie dazu die Einstellung „Intranet-Speicherort für Microsoft Update-Dienste angeben“ auf „Nicht konfiguriert“. Gleiches gilt für die Zielgruppe. Dadurch greifen die Computer selbst auf die Windows Update-Server zu. Beachten Sie jedoch, dass Sie ohne WSUS einen Teil der Kontrolle über den Bereitstellungsprozess verlieren, was für kleinere Umgebungen ausreichend sein kann.
Zusammenfassung
Die korrekte Einrichtung von WSUS und Gruppenrichtlinien erfordert etwas Einarbeitung – ist sie aber erst einmal abgeschlossen, wird das Patch-Management deutlich einfacher. Behalten Sie die Update-Protokolle im Auge und vergessen Sie nicht, Patches auf dem WSUS-Server zu genehmigen, bevor sie auf den Clients installiert werden. Falls Updates nicht angezeigt werden, überprüfen Sie Ihre Gruppenrichtlinienverknüpfungen und WMI-Filter. Manchmal genügt ein Neustart oder eine Aktualisierung der Richtlinien, um die Änderungen dauerhaft zu beheben.
Zusammenfassung
- Richten Sie separate Gruppenrichtlinienobjekte (GPOs) für Server und Workstations mit entsprechenden Richtlinien ein.
- Stellen Sie sicher, dass die Clients den richtigen WSUS-Server ansprechen, oder aktivieren Sie Internet-Updates, falls kein WSUS-Server vorhanden ist.
gpupdate /forceNach Änderungen Aktualisierung der Richtlinie erzwingen.- Überprüfen Sie die Registrierungsschlüssel, falls Updates nicht wie erwartet angewendet werden.
- Denken Sie daran, dass die Genehmigung in WSUS unerlässlich ist, bevor Clients Updates sehen.
Ich drücke die Daumen, dass es hilft.
Ehrlich gesagt, kann die Verwaltung von WSUS-Richtlinien etwas knifflig sein, besonders wenn Updates nicht angezeigt werden oder Clients nicht mehr reagieren. Sobald das Problem aber behoben ist, revolutioniert es die Patchverwaltung. Behalten Sie einfach die Protokolle im Auge und scheuen Sie sich nicht, Updates oder Richtlinienaktualisierungen bei Bedarf zu erzwingen. Viel Erfolg!