kk schrieb on 16.03.10 um 17:05:45:
Es gibt wahrscheinlich pfiffigere Methoden zum Ziel,
aber hier mein Vorgehen:
- wichtige und sicherheitskritische Updates werden automatisch für die Gruppe Keyuser freigegeben.
Das was pfiffig ist, hat dir UMeadow schon gesagt. Noch besser wäre es, zuerst mit SPs einen einheitlichen Stand zu bekommen. Anschließend die Clients reporten lassen, was sie genau möchten. Die Updates dann abends zum installieren freigeben, wenn der Download in der Nacht erfolgreich war, werden in der Früh von den Clients die Updates geholt und gem. Installationszeit der GPO auch installiert.
kk schrieb on 16.03.10 um 17:05:45:
sonstige Updates gebe ich manuell frei. (die Menge hält sich in Grenzen)
- die restlichen Gruppen (user, server, testserver usw.)gebe ich manuell mit ein paar Tagen Abstand zu den Keyusern frei.
Bei den sonstigen Updates weiß ich nicht, welche
Du meinst. Den zweiten Teil mit den Gruppen kann man selbstverständlich so machen.
kk schrieb on 16.03.10 um 17:05:45:
Weil ich in der Vergangenheit ein Problem mit meinem Master hatte, sind viele ehemalige Freigaben verloren gegangen. Hab keine Lust diese für alle Gruppen nachzuziehen. Wenn neue Comps installiert werden (manchmal auch mit XP SP1), dann schieb ich die für 2 Tage in die keyusergruppe.
Selbst schuld wer heute noch XPSP1 installiert. Die bekommen gar keine Updates mehr vom WSUS, minimum ist das SP2 für XP.
kk schrieb on 16.03.10 um 17:05:45:
Die automatische Genehmigung greift.
Das spart mir die Arbeit 5 Jahre patches nachzupflegen.
Hand aufs Herz: du hast 1200 Rechner zu patchen.
Ich würde alle wichtigen und sicherheitskrische Patche älter als 2 Monate pauschal für deine Testgruppe freigeben.
Einem Supergau beugst du damit vor, indem du nicht alle Comps auf einmal, sondern schrittweise in diese Gruppe ziehst.
Ich würde es trotzdem nach der o.g. Methode machen.