Unternehmen beziehen ihre Windows-Updates zumeist über WSUS oder Windows Update for Business (WUfB). Die bevorzugte Update-Quelle legt man über Gruppenrichtlinien fest. Aber kann man damit auch einen Mischbetrieb konfigurieren? Und wie lässt sich der Neustart der PCs planen und die Belastung für das Netzwerk reduzieren?
Microsoft baut das Patch-Management aus der Cloud immer weiter aus. Davon zeugen neue Services wie Autopatch oder der Windows Update for Business Deployment Service. Entsprechend empfiehlt der Hersteller seinen Geschäftskunden, die Updates für das Betriebssystem bevorzugt über Windows Update (for Business) zu installieren.
Aufschub von Updates
Nachdem die meisten Admins weiterhin die Kontrolle über die Verteilung von Updates behalten möchten, bieten sich bei WUfB die Gruppenrichtlinien an, um diesen Vorgang zu steuern.
Dazu zählt etwa die Wahl des Zeitpunkts, zu dem die Updates installiert werden sollen. Doch was bedeuten die verschiedenen Fristen für den Aufschub von Updates? Hat die Konfiguration dieser Einstellungen auch Auswirkungen auf die Wahl der Update-Quelle, Stichwort Dual Scan? Kann man damit ein Funktions-Update überspringen oder gibt es dafür eine separate Einstellung?
Steuerung des PC-Reboots
Ein heikles Thema bei der Installation von Updates ist der danach meist erforderliche Neustart der Rechner. Dabei ist es gleichgültig, ob man die Updates über WSUS oder Windows Update bezieht.
Idealerweise booten die PCs so früh wie möglich, um bestehende Schwachstellen zügig zu schließen, aber der Neustart unterbricht die User trotzdem nicht bei der Arbeit. Doch lässt sich überhaupt noch verhindern, dass die PCs neu starten, solange ein Benutzer angemeldet ist? Gibt es Situationen, in denen PCs auch während der so genannten Nutzungszeit ("Active hours") neu starten?
Netzwerk-Traffic durch Updates
In der Vergangenheit bauten Unternehmen auch deshalb eine WSUS-Infrastruktur auf, damit sie verhindern konnten, dass jeder einzelne PC die Updates separat aus dem Internet herunterlud. Dieses Argument ist mittlerweile hinfällig, weil mit der Delivery Optimization ein verteiltes Caching-System für Updates existiert, unabhängig davon, von wo man diese bezieht.
Auch dieses Feature lässt sich in einem professionellen Umfeld über Gruppenrichtlinien konfigurieren, beispielsweise um den Bandbreitenverbrauch zu kontrollieren oder um PCs abhängig von der Netzwerktopologie zu gruppieren.
Themen des eBooks
Microsoft hat über die Jahre zahlreiche Gruppenrichtlinien für das Management von Windows-Updates angehäuft. Viele davon ersetzen bereits vorhandene Einstellungen, so dass es Admins schwer fällt, den Überblick zu behalten.
Das eBook "Windows-Updates mit Gruppenrichtlinien verwalten" gibt einen ausführlichen Überblick über den aktuellen Stand der Technik. Zur Sprache kommt unter anderem:
- Von Microsoft empfohlene Gruppenrichtlinien für Windows Update
- Updates für Windows 10/11 aufschieben mit Gruppenrichtlinien
- Reboot konfigurieren über Gruppenrichtlinien
- Übermittlungsoptimierung (WUDO) konfigurieren
- Best Practices mit Update Baseline
- Die WSUS-Alternative: ACMP CAWUM von Aagon
Sie können das eBook kostenlos von dieser Seite herunterladen »
*Dies ist ein bezahlter Beitrag der Aagon GmbH
Weitere Beiträge von diesem Anbieter