Patchverwaltung im Windows-Netz: WSUS 3.0 perfekt einrichten

Nun, da alle Clients in den richtigen Gruppen auf die Patchverteilung warten, kann der Admin festlegen, wer was bekommen soll. Die Patches sind grundsätzlich nicht zur Verteilung freigegeben; das muss der Administrator für jeden Patch separat erlauben. Natürlich kann man mehrere (oder alle) Patches gleichzeitig auswählen. WSUS hält dafür mehrere Optionen bereit: „Für die Installation genehmigt“, „Zur Entfernung genehmigt“, „Nicht genehmigt“, „Stichtag“, „Identisch mit übergeordnetem Objekt“ und „Für untergeordnete Elemente übernehmen“.

WSUS:  Hilfe, Tools, Foren WSUS-Download (x64 und x86)  (Link) Infos von Microsoft  (Link) Die deutsche WSUS-Seite  (Link) Diagnose-Tool für Clients  (Link) Diagnose-Tool für Server  (Link)   Zusatzsoftware, die für die Installation von WSUS 3.0 benötigt wird: Report Viewer Redistributable  (Link) MMC 3.0  (Link)

Der erste Punkt ist die normale Freigabe, ohne zusätzliche Optionen. „Zur Entfernung genehmigt“ deinstalliert Patches wieder vom PC, allerdings ist das nicht bei allen Patches möglich. „Nicht genehmigt“ ist klar, „Stichtag“ bereitet einen Patch auf die Verteilung zu einem bestimmten Tag vor. „Identisch mit übergeordnetem Objekt“ und „Für untergeordnete Objekte übernehmen“ beziehen sich auf die Hierarchie von Patches. Ist beispielsweise ein Patch für den IE 7 freigegeben worden, sind automatisch auch Patches erlaubt, die diesen Patch als Basis nutzen.

Jede Gruppe kann eigene Genehmigungen für die Patches erhalten. Auf einer Testgruppe könnte man alle Patches installieren, die Bürocomputer erhalten Patches nur zum Stichtag nach vorherigem Test und die Produktionsrechner bekommen lediglich die wichtigen Sicherheitsupdates, ebenfalls nach ausführlichem Test.