WSUS: Intelligente Update-Verwaltung unter Windows

Synchronisation: Up to date bleiben

Nach der Installation legen die Optionen auf der administrativen Webseite des WSUS fest, welche Updates interessant sind. Der WSUS ist so eingestellt, dass er sich um sicherheitsrelevante Updates kümmert; dies lässt sich problemlos ändern. Sind die benötigten Updates eingestellt, muss der Server zunächst einmal synchronisiert werden.

Beim Synchronisieren verbindet sich der Server mit Windows Update, um Informationen über verfügbare Updates herunterzuladen. Beim ersten Mal werden dabei Informationen über alle verfügbaren Dateien abgeholt, der Vorgang kann also eine Weile dauern. Die Synchronisation lässt sich später manuell oder zeitgesteuert durchführen.

Für das Verteilen der Updates im Netz sind ‚Computer Groups’ zuständig. Von Haus aus gibt es zwei solcher Gruppen: ‚All Computers’ und ‚Unassigned Computers’. Beim ersten Kontakt eines WSUS-Clients mit dem Server trägt der WSUS-Server den Client in beiden Gruppen ein. Über diese beiden Gruppen hinausgehend können weitere Gruppen angelegt werden: Mit den administrativen Möglichkeiten können Sie dann Computer aus den ‚unassigned’-Gruppen in die selbst angelegten Gruppen verschieben.

Auf diese Weise lassen sich Updates einfach an eine bestimmte Gruppe von Computern weiterleiten, während andere Gruppen die Updates nicht erhalten. Dadurch kann man beispielsweise die Updates zunächst in Testsystemen prüfen, bevor sie in der kompletten Infrastruktur installiert werden. Die Gruppe ‚All Computers’ ist dafür gedacht, Updates auf einfache Weise für alle Computer im Netz auf einen Schlag freizugeben. Sie kommt beispielsweise bei hoch kritischen Sicherheits-Patches zum Einsatz.

WSUS verfolgt eine restriktive Patch-Politik: Sobald neue Updates eingehen, muss der Administrator diese zur Installation freigeben, sonst werden sie nicht eingespielt. Die Daten lassen sich für alle Computer und für eine oder für mehrere Gruppen freigeben.