Normales Thema Computergruppen auf dem WSUS organisieren (Gelesen: 677 mal)
QandA
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 20
Mitglied seit: 07.03.13
Computergruppen auf dem WSUS organisieren
18.08.15 um 09:22:35
Beitrag drucken  
Moin zusammen,

wie habt ihr eure Gruppen auf dem WSUS organisiert?
Bei uns war es erst nach unterschiedlichen Unternehmensbereichen, da zuerst auch Java, Flash usw. darüber verteilt werden sollte. Damals gab es auch nur 1 OS in diesen Gruppen und entsprechend wurden auch nur die Updates freigegeben. Inzwischen ist das alles gemischt, Updates müssen nachträglich für andere OS für die Gruppen freigegeben werden.
Da die Gruppen pro Account (Unternehmensbereich) keinen Sinn mehr ergeben überlege ich das Ganze so aufzubauen:
1. Clients (alle OS (XP-Vista-Win7-Win8)
2. Server (Alle OS 2003-2012)
3. "Server" mit Client OS (alle OS (XP-Vista-Win7-Win8) - im Grunde VMs die aber operative Aufgaben übernehmen.
Ich hatte auch überlegt das ganze per GPO&WMI zu filtern, dass es z.B. eine XP, XP+Office2007, Win7, Win7 + Office2010 Gruppe gibt und dort nur die Patches freigegeben werden. Die GPO natürlich nur auf Clients damit die „Client OS Server“ nicht betroffen sind. Da der WSUS ja aber nur ein „stiller Diener“ ist, der die Updates bereitstellt, würde das eigentlich eher recht sinnfreien Aufwand bedeuten.
Wie habt ihr das bei euch aufgeteilt?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13104
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Computergruppen auf dem WSUS organisieren
Antwort #1 - 18.08.15 um 10:14:50
Beitrag drucken  
Halte es so einfach wie möglich, und so kompliziert wie unbedingt nötig. Alle Clients und alle Server in jeweils eine Gruppe rein, fertig. Die OS-Unterscheidung siehst Du in der WSUS-Konsole.

Willst Du wirklich Updates für bestimmte Gruppen manuell freigeben, und nur für diese Gruppe? Tu dir das nicht an, du kriegst damit die WSUS-Konsole nie grün. Die Clients wollen sich nur das holen, was sie auch installiert haben, deshalb sollte man in diesen Prozess so wenig wie möglich eingreifen.
  
Zum Seitenanfang
 
QandA
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 20
Mitglied seit: 07.03.13
Re: Computergruppen auf dem WSUS organisieren
Antwort #2 - 18.08.15 um 10:48:23
Beitrag drucken  
Hallo Sunny,

das war auch meine Überlegung. Dann werde ich drei Gruppen nutzen, da ich die "3. "Server" mit Client OS" lieber noch einmal extra fasse.
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 696
Standort: Halle (Saale)
Mitglied seit: 24.07.08
Geschlecht: männlich
Re: Computergruppen auf dem WSUS organisieren
Antwort #3 - 23.08.15 um 15:32:24
Beitrag drucken  
Hallo QuandA,

wir haben zwei Hauptzweige definiert:

- Automatik ... für alle FullPatched Systeme und
- Manuell ... für Sonderbehandlungen

Unter Manuell befindet sich eine Testgruppe für den ersten Test der neuen Updates auf relativ unkritischen Systemen (XP, Win7, Win8.1, WS03R2, WS08R2, WS12R2).
Zusätzlich befinden sich hier auch WSUS-Gruppen, für die besondere Patchbeschränkungen vordefiniert wurden. Das ist wichtig, da eine lokale Verweigerung einzelner Updates am System vor Ort im Fall einer Fehlerbehandlung durch das Löschen des SoftwareDistribution-Ordners verloren gehen. Daher ist hier eine Gruppe, auf der die Genehmigung definierter unerwünschter Updates nicht erfolgt, sinnvoll.

Unter Automatik wurden Gruppen für jeden Standort angelegt, in dem alle standardisiert zu behandelnden Systeme einlaufen. Die Teilung ergibt sich aus der Zuständigkeit lokaler IT-Betreuer, die für die Überwachung in Ihrem Standort Verantwortung tragen und Fehlerbehandlungen vor Ort ausführen. Eine zusätzliche Unterteilung nach OS machen wir im WSUS nicht.

Die gesamte Zuordnungs- und Sonderfallsteuerung erfolgt mit einer zentralen GPO für WSUS in der Domäne.
Die Aktivierung und Grundkonfiguration WSUS erfolgt über die herkömmlichen WSUS-GPO-Einstellungen.
Die Zuordnung zu den WSUS-Gruppen und WSUS-Servern (Standortreplika) sowie die Festlegungen zum automatisierten Updaten über GPP (bedingte Generierung von Registry-Einträgen) in Abhängigkeit zu Gruppenmitgliedschaften (Sonderfälle, Testgruppe), AD-Site-Beziehungen (Standorte) und OS-Typ (Wks => automatisiert bzw. Srv => manuell Updates anwenden) .
 
Bei uns funktioniert das [fast] einwandfrei.

[fast] ???
Nur die XP und WS03[R2] haben diverse Probleme bei der Verarbeitung der Reihenfolge konkurierender GPP-Einträge. Dies liegt in der implementierten Erweiterung der GPO-Verarbeitung, ein Update das mit der Einführung von Vista kam und die alten Systeme auf diese Erweiterung vorbereiten sollte. Leider nur unzureichend.
Aber: XP und WS03 sind ja nun Geschichte ...  Zwinkernd
... und bald vom Winde verweht.

Gruß Dani

  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden