Hallo,
ich möchte hier bei uns gerne einen WSUS-Server einführen. Bisher beziehen unsere ca. 50 Clients (Windows 7 und 10) ihre Updates direkt von Microsoft. Die Einführung des WSUS-Servers soll mit der kompletten Umstellung auf Windows 10 stattfinden. Eingeführt
die Windows 10 Pro 1809 und alle Clients haben dann vorerst diesen Stand. Über Gruppenrichtlinien habe ich schon verschiedene Definitionen eingerichtet (z.B. Übermittlungsoptionen, Automatische Updates, Semi-Annual Channel, wann Qualitäts- und Funktionsupdates
installiert werden sollen, usw.).
Jetzt stehe ich jedoch vor folgender Frage und auch nach vielem Recherchieren, bin ich noch nicht wirklich schlau geworden. Bei der Einrichtung des WSUS gibt es ja sehr viele verschiedenen Möglichkeiten, was man bei "Produkte" und später auch "Klassifizierungen"
auswählen kann. Eine gute Erklärung der verschiedenen Produktauswahlen findet man hier: https://www.windowspro.de/wolfgang-sommergut/produkte-fuer-windows-10-wsus-auswaehlen
Aber auch nach dem Lesen dieser Seite ist mir nicht wirklich ganz klar, was ich nun anwählen soll.
Welche Checkboxen sollte ich bei "Produkte" und bei "Klassifizierungen" anhaken, wenn ich über den WSUS die folgenden Ziele erreichen will?:
- Clients sicher im Unternehmensumfeld betreiben (auch in Zukunft mit neueren Versionen z.B. 1903)
- Clients auf dem neuesten Stand halten
- Funktionsupdates ausrollen z.B. auf 1903
...
Falls mir hier jemand helfen kann, würde ich mich sehr freuen.
Vielleicht hast du es inzwischen schon selbst herausgefunden, der Thread ist ja schon ein paar Wochen alt. Trotzdem hier mal meine Empfehlungen:
WSUS war mal eine super Sache, aber leider wird er von MS nur noch sehr stiefmütterlich behandelt. Durch die Änderungen am Updatemodell von Win10 hätte man eigentlich auch den WSUS grundlegend überarbeiten müssen. Das hat man aber nicht gemacht, sondern
lieber alles lieblos in die bestehende Struktur gepresst und das Ganze auch noch extrem schlecht dokumentiert.
1. Bei den Produkten brauchst du nur den Haken bei "Windows 10". Alles andere mit "drivers", "servicing" usw. und ist unnötig, es sei denn du hast spezielle Win10-Versionen wie LTSC im Einsatz oder möchtest die komplette
Treiber-Datenbank von MS spiegeln. Treiber, Sprachpakete usw. würde ich eher On-Demand direkt von den MS-Servern ziehen, dafür gibt es eine entsprechende Gruppenrichtlinie.
2. Bei den Klassifizierungen brauchst du ggfs:
- "Update Rollups", sofern du das monatliche "Tool zum Entfernen bösartiger Software" einsetzen möchtest (was IMHO eigentlich zu den Sicherheitsupdates gehört, statt zu den Rollups)
- "Updates", weil MS plötzlich entschieden hat, dass die Updates für das .NET-Framework für 1809 dort nunj wieder als separates Update angeboten werden, statt wie bisher als Teil der CUs (Cumulative Updates). Außerdem tauchen dort teilweise CUs
auf, obwohl die ja eigentlich zu den Sicherheitsupdates gehören.
- "Wichtige Updates", falls man auch Office aktuell halten möchte. Aber nicht wundern, wenn dann auch mal Servicing Stack-Updates für Win10 dort auftauchen (seit 1809 zum Glück wohl nicht mehr).
Noch ein paar allgemeine Tipps:
- für die Versorgung von W7-W10 Clients mit Office + W12-16 Server sollte man min. 250 GB Speicherplatz reservieren. Bei Nutzung der "Schnellinstallationsdateien"
vervierfacht sich der Platzbedarf.
- die integrierte Bereinigung funktioniert nicht zuverlässig, man muss früher oder später auf SQL-/PS-Skripte zurückgreifen
- die Gruppenrichtlinien für die Update-Channels und Rückstellung von Updates kannst du dir sparen, die haben keinerlei Auswirkung auf Clients, die per WSUS versorgt werden.
WSUS - Welche Produkte und Klassifizierungen? Best Practise!
