Hallo Hamml,

Quote:

Ja ... das ist so.

Quote:

Nein. Der Bedarf hat keinen Einfluss auf Genehmigungsregeln.
Der Bedarf hat auch keinen Einfluss auf den Download.
Ist eine Genehmigung vorhanden und das Update nicht im WSUS-Content, wird der Download initiiert.
Das Ablehnen durch den Admin hebt alle vorhandenen Genehmigungen auf.
Wenn konfiguriert (Registerkarte [Erweitert]) bewirkte das Ablaufen durch Microsoft automatisch eine Ablehnung.

Quote:

Was bedeutet für Dich "automatisch"??
Ja, es gibt über das WSUS-API die Möglichkeit den Bedarf an Updates zu ermitteln.

Einen Bedarf in Bezug auf Gruppen jedoch nicht.
Ein Bedarf in Bezug auf einzelne Computer schon.
Gruppen beziehen sich nur auf Genehmigungen selbst und deren "Vererbung" (Übertragung auf nachgeordnete Gruppen trifft eher).

Genehmigungen von Updates auf Gruppen ist ebenfalls über das API möglich. Es kann geprüft werden, ob ein Update auf eine bestimmte Gruppe genehmigt wurde oder nicht.

Für die Clients gilt bei gleichzeitiger Mitgliedschaft in mehreren Gruppen: Liegt kumulativ mindestens eine Genehmigung vor und es besteht lokal ein Bedarf (Update erforderlich und geeignet), wird vom WSUS geladen und installiert.

"Automatisch" geht nichts, es sei denn Du steuerst selbst Dein Programm/Script via Scheduler o.ä. (Geplante Aufgaben).
In Ereignisse des WSUS kann man sich nicht einklinken.

Gruß Dani

Ok Danke für die Hilfe.

Mir ist klar, dass alle Updates genehmigt werden, wenn man dem WSUS das sagt.

Hatte mich auch ein wenig falsch ausgedrückt.
Die Frage hat sich eher auf den Download bezogen.

Werden die Updates alle gedownloaded, oder nur die Erforderlichen?
@DESoft: du wiedersprichst dir in deinem Post in diesem Zusammenhang selbst.

Ich will im Endeffekt die Updates für meine Testgruppe Automatisch genehmigen lassen.
Will aber im Gegenzug verhindern, dass auf meinen verschiedenen Server Gigabyteweise die Updates (welche nicht benötigt werden) gedownloaded werden.

Momentan gebe ich die Updates für die Testgruppe per Hand frei.
Dies möchte ich Automatisieren. (auch gerne mit dem Taskplaner)

Wenn das nur über Script realisierbar ist, muss ich mich da wohl einlesen.

Gruß
Hamml

Quote:

Auf Deinen verschiedenen WSUS - Servern oder "normale" Server?
Server und Clients ziehen sich nur die Updates die benötigt und genehmigt sind.

Hallo Hamml,

Quote:


Ich nehme mal an, Du redest von WSUS- ... "Servern", die Gigabyteweise Updates downloaden.
(Was für ein Deutsch  )

Automatische Genehmigungen (Dein Titel des Eingangsposts) sind in WSUS sogenannte Updateregeln.
Diese werden, wie Sunny schon schrieb, definiert über Klassifizierung(en) und / oder Produkt(e) und auf eine oder mehrere Gruppen vereinbart (Regeleigenschaften).

Diese Updateregel wird zu einem Zeitpunkt x angelegt und (wichtig) aktiviert.
Ab der Aktivierung werden nach dem Synchronisieren ermittelte neue Updates geprüft und je nach Übereinstimmung mit den Regeleigenschaften zutreffende Updates genehmigt.

Bedarf durch Clients ??? Fehlanzeige.

Nach der Genehmigung erfolgt ein erforderlicher Download in den WSUS-Content.

Ein typischer Anwendungsfall sind die Definition-Updates für Essential oder Defender ... hier: automatische Genehmigung für Gruppe "Alle Computer".

Quote:

Das ist für Testungen vor einem Rollout auf die Produktion üblich.

Quote:


Für diesen "bedarfsorientierten" Mechanismus kommst Du um eine Programmierung nicht herum.

Für diese Zielstellung kommt etwa die folgende Logik zum Zuge:

1.) Alle Computer, die in der Testgruppe Mitglied sind, ermitteln (Achtung: Computer von Replikas mit einbeziehen!)
2.) Alle angeforderten Updates dieser Computer (Schleife) ermitteln
3.) diese ermittelte Updates, die noch nicht ersetzt wurden und nicht auf die Testgruppe genehmigt sind, genehmigen.

Die notwendigen Downloads managed WSUS dann selbst.

Sind alle (Test-)Computer erfolgreich aktualisiert worden ...
alle getesteten Updates der Testgruppe auf die Gruppen der Produktion genehmigt werden.
Hierfür ist eine spezielle Updateansicht auf die Testgruppe hilfreich.
Die Genehmigungen auf die Testgruppe selbst sollten im Anschluss aufhoben werden, damit der Überblick auf die nächsten "neusten Updates" gewahrt bleibt.

Für den zyklischen Ablauf eines solchen Programmes ist allgemein zu berücksichtigen:

Nach der Synchronisation liegen dem WSUS nur Metadaten vor. Diese werden je nach Konfiguration zyklisch von Replikas übernommen.

Die Clients melden sich zeitlich versetzt, erkennen die geänderte Situation und beginnen eine Analyse des eigenen Bedarfes. Im Nachgang informieren diese den WSUS über ihren Bedarf.

Bei Clients an Replikas, wird dieser Bedarf vom Replika an den übergeordneten WSUS weitergereicht.

Erst nach diesem Durchlauf wird erkennbar, dass ein Bedarf an Updates vorliegt.

Fazit: Direkt nach der Synchronisation kann also keine sofortige bedarfsorientierte Genehmigung erfolgen.

Gruß Dani