none
WSUS - Welche Produkte und Klassifizierungen? Best Practise! RRS feed

  • Frage

  • Hallo,

    ich möchte hier bei uns gerne einen WSUS-Server einführen. Bisher beziehen unsere ca. 50 Clients (Windows 7 und 10) ihre Updates direkt von Microsoft. Die Einführung des WSUS-Servers soll mit der kompletten Umstellung auf Windows 10 stattfinden. Eingeführt die Windows 10 Pro 1809 und alle Clients haben dann vorerst diesen Stand. Über Gruppenrichtlinien habe ich schon verschiedene Definitionen eingerichtet (z.B. Übermittlungsoptionen, Automatische Updates, Semi-Annual Channel, wann Qualitäts- und Funktionsupdates installiert werden sollen, usw.).

    Jetzt stehe ich jedoch vor folgender Frage und auch nach vielem Recherchieren, bin ich noch nicht wirklich schlau geworden. Bei der Einrichtung des WSUS gibt es ja sehr viele verschiedenen Möglichkeiten, was man bei "Produkte" und später auch "Klassifizierungen" auswählen kann. Eine gute Erklärung der verschiedenen Produktauswahlen findet man hier: https://www.windowspro.de/wolfgang-sommergut/produkte-fuer-windows-10-wsus-auswaehlen

    Aber auch nach dem Lesen dieser Seite ist mir nicht wirklich ganz klar, was ich nun anwählen soll.

    Welche Checkboxen sollte ich bei "Produkte" und bei "Klassifizierungen" anhaken, wenn ich über den WSUS die folgenden Ziele erreichen will?:

    - Clients sicher im Unternehmensumfeld betreiben (auch in Zukunft mit neueren Versionen z.B. 1903)

    - Clients auf dem neuesten Stand halten

    - Funktionsupdates ausrollen z.B. auf 1903

    Im Moment habe ich mal testweise die folgenden Produkte ausgewählt:

    Bei Klassifizierungen habe ich folgende Einstellungen ausgewählt:

    Falls mir hier jemand helfen kann, würde ich mich sehr freuen.

    Viele Grüße

    Benjamin

    Dienstag, 16. April 2019 15:00

Antworten

Alle Antworten

  • Am 16.04.2019 schrieb JoghurtMitDerEcke:

    Welche Checkboxen sollte ich bei "Produkte" und bei "Klassifizierungen" anhaken, wenn ich über den WSUS die folgenden Ziele erreichen will?:

    - Clients sicher im Unternehmensumfeld betreiben (auch in Zukunft mit neueren Versionen z.B. 1903)

    - Clients auf dem neuesten Stand halten

    - Funktionsupdates ausrollen z.B. auf 1903



    Im Moment habe ich mal testweise die folgenden Produkte ausgewählt:

    <https://social.technet.microsoft.com/Forums/getfile/1428731>

    Kannst Du wählen.

    <https://social.technet.microsoft.com/Forums/getfile/1428733>

    Die brauchst Du nicht.

    <https://social.technet.microsoft.com/Forums/getfile/1428734>

    OK.

    Bei Klassifizierungen habe ich folgende Einstellungen ausgewählt:

    <https://social.technet.microsoft.com/Forums/getfile/1428735>

    Updates kannst Du noch auswählen.

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Dienstag, 16. April 2019 19:20
  • Hallo,

    ich möchte hier bei uns gerne einen WSUS-Server einführen. Bisher beziehen unsere ca. 50 Clients (Windows 7 und 10) ihre Updates direkt von Microsoft. Die Einführung des WSUS-Servers soll mit der kompletten Umstellung auf Windows 10 stattfinden. Eingeführt die Windows 10 Pro 1809 und alle Clients haben dann vorerst diesen Stand. Über Gruppenrichtlinien habe ich schon verschiedene Definitionen eingerichtet (z.B. Übermittlungsoptionen, Automatische Updates, Semi-Annual Channel, wann Qualitäts- und Funktionsupdates installiert werden sollen, usw.).

    Jetzt stehe ich jedoch vor folgender Frage und auch nach vielem Recherchieren, bin ich noch nicht wirklich schlau geworden. Bei der Einrichtung des WSUS gibt es ja sehr viele verschiedenen Möglichkeiten, was man bei "Produkte" und später auch "Klassifizierungen" auswählen kann. Eine gute Erklärung der verschiedenen Produktauswahlen findet man hier: https://www.windowspro.de/wolfgang-sommergut/produkte-fuer-windows-10-wsus-auswaehlen

    Aber auch nach dem Lesen dieser Seite ist mir nicht wirklich ganz klar, was ich nun anwählen soll.

    Welche Checkboxen sollte ich bei "Produkte" und bei "Klassifizierungen" anhaken, wenn ich über den WSUS die folgenden Ziele erreichen will?:

    - Clients sicher im Unternehmensumfeld betreiben (auch in Zukunft mit neueren Versionen z.B. 1903)

    - Clients auf dem neuesten Stand halten

    - Funktionsupdates ausrollen z.B. auf 1903

    ...

    Falls mir hier jemand helfen kann, würde ich mich sehr freuen.


    Vielleicht hast du es inzwischen schon selbst herausgefunden, der Thread ist ja schon ein paar Wochen alt. Trotzdem hier mal meine Empfehlungen:

    WSUS war mal eine super Sache, aber leider wird er von MS nur noch sehr stiefmütterlich behandelt. Durch die Änderungen am Updatemodell von Win10 hätte man eigentlich auch den WSUS grundlegend überarbeiten müssen. Das hat man aber nicht gemacht, sondern lieber alles lieblos in die bestehende Struktur gepresst und das Ganze auch noch extrem schlecht dokumentiert.

    1. Bei den Produkten brauchst du nur den Haken bei "Windows 10". Alles andere mit "drivers", "servicing" usw. und  ist unnötig, es sei denn du hast spezielle Win10-Versionen wie LTSC im Einsatz oder möchtest die komplette Treiber-Datenbank von MS spiegeln. Treiber, Sprachpakete usw. würde ich eher On-Demand direkt von den MS-Servern ziehen, dafür gibt es eine entsprechende Gruppenrichtlinie.

    2. Bei den Klassifizierungen brauchst du ggfs:

    - "Update Rollups", sofern du das monatliche "Tool zum Entfernen bösartiger Software" einsetzen möchtest (was IMHO eigentlich zu den Sicherheitsupdates gehört, statt zu den Rollups)

    - "Updates", weil MS plötzlich entschieden hat, dass die Updates für das .NET-Framework für 1809 dort nunj wieder als separates Update angeboten werden, statt wie bisher als Teil der CUs (Cumulative Updates). Außerdem tauchen dort teilweise CUs auf, obwohl die ja eigentlich zu den Sicherheitsupdates gehören.

    - "Wichtige Updates", falls man auch Office aktuell halten möchte. Aber nicht wundern, wenn dann auch mal Servicing Stack-Updates für Win10 dort auftauchen (seit 1809 zum Glück wohl nicht mehr).

    Noch ein paar allgemeine Tipps:

    - für die Versorgung von W7-W10 Clients mit Office + W12-16 Server sollte man min. 250 GB Speicherplatz reservieren. Bei Nutzung der "Schnellinstallationsdateien" vervierfacht sich der Platzbedarf.

    - die integrierte Bereinigung funktioniert nicht zuverlässig, man muss früher oder später auf SQL-/PS-Skripte zurückgreifen

    - die Gruppenrichtlinien für die Update-Channels und Rückstellung von Updates kannst du dir sparen, die haben keinerlei Auswirkung auf Clients, die per WSUS versorgt werden.

    Mittwoch, 29. Mai 2019 18:59
  • Am 29.05.2019 schrieb J. Riegner:

    Vielleicht hast du es inzwischen schon selbst herausgefunden, der Thread ist ja schon ein paar Wochen alt. Trotzdem hier mal meine Empfehlungen:

    WSUS war mal eine super Sache, aber leider wird er von MS nur noch sehr stiefmütterlich behandelt. Durch die Änderungen am Updatemodell von Win10 hätte man eigentlich auch den WSUS grundlegend überarbeiten müssen. Das hat man aber nicht gemacht, sondern lieber alles lieblos in die bestehende Struktur gepresst und das Ganze auch noch extrem schlecht dokumentiert.

    WSUS ist kostenlos, lieber verkauft MSFT den SCCM. ;)

    1. Bei den Produkten brauchst du nur den Haken bei "Windows 10". Alles andere mit "drivers", "servicing" usw. und  ist unnötig, es sei denn du hast spezielle Win10-Versionen wie LTSC im Einsatz oder möchtest die komplette Treiber-Datenbank von MS spiegeln. Treiber, Sprachpakete usw. würde ich eher On-Demand direkt von den MS-Servern ziehen, dafür gibt es eine entsprechende Gruppenrichtlinie.

    Auch Treiber genehmigt man nicht automatisch, also hab ich auch nach
    der Auswahl der Treiber nicht die komplette Datenbank im WSUS. Nur die
    META-Daten.

    Noch ein paar allgemeine Tipps:

    - für die Versorgung von W7-W10 Clients mit Office + W12-16 Server sollte man min. 250 GB Speicherplatz reservieren. Bei Nutzung der "Schnellinstallationsdateien"_vervierfacht_ sich der Platzbedarf.

    - die integrierte Bereinigung funktioniert nicht zuverlässig, man muss früher oder später auf SQL-/PS-Skripte zurückgreifen

    Weder das ein noch das andere funktionieren nicht zuverlässig, sonder
    sehr zuverlässig. Man muss eben auch alte Updates ablehnen, das geht
    recht schnell manuell innerhalb einer eigenen Updateansicht, schon
    werden viele viele GB von der Platte geputzt.

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Donnerstag, 30. Mai 2019 07:56