Moin zusammen,

ich bin mit meiner WSUS Installation (3 SP1) inzwischen soweit, dass es "losgehen" könnte, habe aber für das tägliche Geschäft noch keine befriedigenden Abläufe gefunden. Daher frage ich mal in die Runde, was ihr in den genannten Fällen so macht... (die "best practices"waren mir keine Hilfe).

Unsere Umgebung umfasst ca. 25 Server, 500 Clients an verschiedenen Standorten und leider einen sehr unterschiedlichen Patchstand. D.b. es ist erstmal aufräumen angesagt. Serverseitig ist 2003 im Einsatz, Clientseitig Windows XP. Viele der Clients haben noch kein SP3.

Clienteinstellungen werden durch GPOs festgelegt und funktionieren gut.
Gruppierung mache ich aber manuell über die WSUS GUI, weil flexibler bei annehmbarem Aufwand.
Ich habe jeweils eine Gruppe für "Clients" und für "Server" eingerichtet und Testgruppen pro Betriebssystem (WXP, Server 2003).

Für folgende Dinge habe ich noch keine gute Lösung gefunden:

1) Ich möchte erstmal alle Clients auf XP SP3 heben. Zur Zeit habe ich allerdings auch noch in den Updateansichten die ganzen Einzelpatches drinstehen, die durch SP3 eigentlich ersetzt werden. Kann ich irgendwie konfigurieren, dass ich alle Updates, die durch SP3 ersetzt werden, nicht mehr angezeigt werden oder wenigstens markiert werden (gilt natürlich auch für jegliche andere Service Packs oder Rollups)?

2) Ich gebe die Updates zunächst für die genannten Testgruppen mit ca. 5 Rechnern drin frei. Wenn ich dann erfolgreich getestet habe, wie kann ich dem WSUS verklickern "Gib genau das, was für die TestgruppeX freigegeben ist, auch für die ProdgruppeY frei"?

3) Gibt es eine Möglichkeit, sich einen bestimmten Rechner herauszupicken und alle Updates, die er aktuell braucht (bzw. nur Security Updates) sofort auf diesen loszulassen (quasi der Notfallknopf für Notfallpatienten)?

4) Wie kann ich (egal ob über GPO oder WSUS) eine Unterscheidung machen, dass meine Testclients Updates sofort bekommen, die Prodclients aber nach Zeitplan nachts. Die Testclients sind im AD nicht im gleichen Zweig, sondern natürlich überall verteilt, weil wir quer durch alle Abteilungen testen.

5) Gibt es (in Ergänzung zu Punkt 1) die Möglichkeit den WSUS anzuweisen "Lehne alle Updates ab, die durch SP/Rollup/wasauchimmer ersetzt werden"? Oder muss ich wirklich händisch jeden Patch ablehnen, der durch zB XP SP3 ersetzt wird, ablehnen?

5.1) Wenn ich das richtig verstehe, werden ja durch den Serverbereinigungsassistent ersetzte Updates entfernt. Wie sieht da der Filter aus? Werden die ersetzten Updates schon entfernt, wenn das Service Pack für *eine* Gruppe genehmigt wird oder muss es für *alle* genehmigt sein?

Bin dankbar für alle Tips, auch Links werden gern genommen Habe bis jetzt noch keine brauchbaren Infos gefunden..

Danke schonmal,
Colin

Danke sehr für die flotten Antworten

Bezüglich GPO Konfiguration für die Updatezeiträume (Punkt 4) hätte ich nochmal eine Nachfrage:

Ich habe ein separates GPO erstellt, dass nur die Update-Parameter enthält. Das ist quasi die Default Updateeinstellung, die direkt der Domäne zugeordnet ist und die für alle "Authentifizierten Benutzer" in der Sicherheitsfilterung freigegeben ist und somit für alle Rechner gilt. Das funktioniert soweit.

Wie genau mache ich es am besten, wenn ich einzelne Ausnahmen davon haben will für meine Testrechner / Server etc., also wie mache ich die Gruppierung am besten, so wie Du es schreibst.
Ich würde es so machen:

Weitere GPOs für jede andere Einstellung machen.
Diese GPOs dann auch für die gesamte Domäne verknüpfen, aber nur für bestimmte Rechner freigeben (also: In der Sicherheitsfilterung "Authentifizierte benutzer" rausnehmen, dafür die Computerkonten rein?)?
Kriege ich dann kein Problem, dass sich die Einstellungen gegenseitig überschreiben? Oder reicht es, wenn ich die Reihenfolge unter "Verknüpfte Gruppenrichtlinienobjekte" so ändere, dass die Testgruppe zuletzt gezogen wird?
Oder mach ich das besser ganz anders?

Fragen über Fragen

Danke und Gruß,
Colin

Danke, das mit der Gruppierung werde ich genau so machen.

Bzgl. Deiner Rückfrage:

In der separaten Policy:

Darin sind ausschließlich die Update Parameter konfiguriert (alle davon) und zwar im "Computer"zweig, alle anderen stehen auf "Nicht konfiguriert". Den "Benutzer"zweig habe ich per GPO Einstellung komplett deaktiviert.