RZ Windows-Software-Update-Service (WSUS)
für Windows 2000/XP/2003 Server/Vista/2008 Server

Voraussetzungen - Aktivierung (RZWU) - Richtlinien und Einstellungen - Ausgelieferte Updates
 Sicherheitshinweise - Download - Tipps&Tricks - Weitere Infos - Anhang (RZWU-Hilfe)

Zur Vereinfachung der Pflege von Windows Betriebssystemen ist an der Uni Regensburg seit Dezember 2002 ein hausinterner WindowsUpdate-Service (Microsoft SUS) in Betrieb. Im August/September 2005 wurde dieser Dienst durch eine leistungsfähigere Nachfolgeversion (WSUS) ersetzt. Die neuen WSUS-Richtlinien für die Clients werden ab Mitte September 2005 über unser Novell-Login-Skript halbautomatisch verteilt.

Mit dem hausinternen WSUS können Windows 2000, Windows XP und Windows Vista Clients sowie Windows 2000, 2003 und 2008 Server  ohne lästige manuelle Überprüfung und manuelle Einspielung von Sicherheitsupdates auf stets aktuellem Sicherheitsstand gehalten werden, was wegen der vielfältigen bösartigen Angriffe über das Netzwerk (auch im hausinternen Netzwerk!) von allergrößter Wichtigkeit ist.  Gegen bestimmte Arten von Angriffen, welche Sicherheitslücken in Windows-Betriebssystemen ausnutzen,  hilft kein Virenscanner, sondern nur die zuverlässige Installation von Sicherheitsupdates und - als zusätzlicher Schutz - die Verwendung eines Clients-Firewalls (In Windows XP SP2 und Windows Vista standardmäßig enthalten).

Beispiele aus der Vergangenheit (Sasser-Wurm, Blaster, Slammer, Code Red etc.) haben ganz deutlich gezeigt, wie gefährlich es ist, die Pflege von Windows-Systemen zu vernachlässigen: So konnte z.B. der Sasser-Wurm nur solche System infizieren, die nicht auf aktuellem Sicherheitsstand waren. Darüber hinaus wird die Zeit zwischen der Bereitstellung von Sicherheitskorrekturen nach Bekanntwerden einer Sicherheitslücke und  der bösartigen "Ausnutzung" (Exploit) immer kürzer, weshalb nur ein automatischer Windows Update Mechanismus, welcher unsere Client-PCs im Bedarfsfall zuverlässig und schnellstmöglich mit aktuellen Sicherheitsupdates versorgt, eine bestmögliche Sicherheit gegen derartige Angriffe bietet. 

Der hausinterne WSUS ist vollständig kompatibel zur öffentlichen Windows-Update Site des Herstellers Microsoft, bietet jedoch zusätzliche Vorteile:

• Funktion ohne Verbindung zum Internet mit der hohen Geschwindigkeit des hausinternen Intranets.
• Überprüfung und Genehmigung der Updates durch das Rechenzentrum vor Auslieferung; "Freigabe" von Update erst dann, wenn keine Inkompatibilitäten in unserer Netzwerkumgebung zu erwarten sind.

 Neuheiten bzw. zusätzliche Leistungen von WSUS gegenüber früheren SUS:

• Updates nicht nur für Windows-Betriebssysteme (ab Version 2000)  einschließlich Internet-Explorer und Media-Player, sondern auch für andere Microsoft-Software wie MS-Office ab Version 2002, Exchange- und MS-SQL-Server.
• Neben Sicherheitsupdates können auch Servicepacks, "empfohlene" Updates und bei Bedarf auch Treiber-Updates ausgeliefert werden (Kompatibilität zum Update-Angebot auf der öffentlichen WindowUpdate-Site)
• Auch WSUS verwendet - wie SUS -  ein Pull-Verfahren zur Updateverteilung (Clients fordern Updates an), die Zeitsteuerung ist jedoch wesentlich genauer möglich.
• Upate-"Genehmigung" kann nach Zielgruppen erfolgen.
• Auch Nicht-Administratoren können über die Bereitstellung bzw. Installation neue Updates informiert werden.
• Zurückziehen fehlerhafter Updates ist möglich.
• Für kritische Sicherheitsupdates kann eine "Deadline" gesetzt werden, nach der die Updateinstallation auf den Clients nicht mehr abgelehnt werden kann.
• Installation von Updates beim (bzw. vor dem) Herunterfahren des PCs möglich.
• Reportingfunktion: Patch-Level der Clients ist verifizierbar
• Programmierschnittstellen server- und clientseitig verfügbar.
   

Client-Voraussetzungen für WSUS

• Windows 2000 SP4 mit  Internet-Explorer 6.0SP1, Windows XP >=SP1 (Home und Professional), Windows 2003 Server , Windows Vista, Windows 2008 Server.
• Eine Aktualisierung des WindowsUpdate-Clients und des Windows-Installers erfolgt bei Bedarf automatisch.
• Falls Sie noch Windows 2000 mit SP3 einsetzen, muss der WindowsUpdate-Client manuell aktualisiert werden. Geräte ohne aktuellen Servicepack-Level sollen jedoch nicht mehr - wie bereits öfter angekündigt - im (normalen) Datennetz der Universität betrieben werden. Bitte setzen Sie sich ggfls. mit dem RZ in Verbindung.
   

Aktivierung von RZ-Windows-Software-Update-Service auf Client-PCs

Da wir in unsere Netzwerkumgebung keine Client-Computer-Richtlinien zentral vorgeben können, werden die erforderlichen Richtlinien zur Nutzung des RZ-WSUS (bzw. Umstellung von SUS auf WSUS) bei der NDS-Anmeldung über das Novell-Login-Skript geprüft und - falls nicht vorhanden - für alle dienstlichen PCs sowie andere PCs, welche bisher unserer SUS-Richtlinien installiert hatten, "halbautomatisch"  auf Standardwerte gesetzt: 

Eine automatische Änderung ist momentan nur für Benutzer möglich, die mit administrativen Rechten arbeiten. In anderen Fällen ("normale" Benutzerrechte) erfolgt eine Aufforderung, das Client-Richtlinien-Skript RZWU.HTA manuell zu starten und die neuen Richtlinien zu aktivieren. Benutzer, die keinen Novell-Client installiert haben oder sich nicht an unsere NDS-System anmelden, müssen das Richtlinienskript RZWU.HTA  (einmalig) manuell ausführen, um die neuen Richtlinien zu setzen.

Ausführung des Client-Richtlinien-Skripts RZWU.HTA (Pfad: F:\SYSTEMSW\WU\RZWU.HTA):

• Wenn Sie an unserem NDS-System angemeldet sind: Start -> Ausführen -> RZWU
• In anderen Fällen: Download  RZWU.HTA (Authentifizierung erforderlich)

Erfahrene Benutzer können über das Skript RZWU.HTA (bzw. Kommando RZWU) einige Richtlinien nach persönlichen Wünschen anpassen, insbesondere über die WindowsUpdate-Gruppe auswählen, ob auch MS-Office-Produkte automatisch aktualisiert wird.

Der WSUS-Updatedienst ist wie bisher unabhängig vom Novell-NDS-System und unabhängig von einer NDS-Anmeldung.

Falls sie RZWU.HTA (bzw. RZWUN) als Benutzer mit eingeschränkten Rechten aufrufen, wird eine Ausführung unter einem administrativen Konto angeboten. Andernfalls können Sie keine Änderungen vornehmen und keine Updates unter "Update jetzt" installieren.
 

WindowsUpdate-Richtlinien und Einstellungen

Zur Aktivierung der empfohlenen "neuen" Standard-Richtlinien und -Einstellungen genügt es, auf die Schaltfläche "RZ-Standardwerte übernehmen" zu klicken. Falls Ihr PC noch keiner WindowsUpdate Computer-Gruppe zugeordnet ist, müssen sie die gewünschte Gruppe vorher auswählen (im Fehlerfall werden Sie dazu aufgefordert).

Neuheiten gegenüber dem bisherigen "RZWU.HTA" (Richtlinien für SUS):

• Die Angabe einer Computer-Gruppe (Target-Group) ist erforderlich. Diese Gruppe bestimmt, welche Updates der jeweilige Computer erhält. Zur Zeit existieren folgende Gruppen:

  1. Dienstlicher Computer
  2. Privater Computer (PCs von Mitarbeitern und Studenten, die an das Uni-Netz angeschl. werden)
  3. Temporäre Windows-Installation (Testinstallationen, PCs in CIP-Pools, Leih-PCs)
  4. Dienstlicher Computer mit Office-Update (wie 1, mit Updates für alle MS-Office-Produkte XP , 2003 und 2007)
  5. Privater Computer mit Office-Update (wie 2, mit Updates für alle MS-Office-Produkte XP , 2003 und 2007)
  6. Temporäre Installation mit Office-Update (wie 3, jmit Updates für alle MS-Office-Produkte XP , 2003 und 2007)

• Erweiterte Richtlinien wie "Auch Nicht Administratoren über Updates informieren"

• Über die Schaltfläche "Update jetzt" kann eine sofortige Prüfung auf fehlende Updates und deren Installation vorgenommen werden. Dieses Feature entspricht dem Update-Check über die öffentliche Windows-Update-Site, die Prüfung und der Updatebezug wird jedoch über den hausinternen WSUS - ohne Verbindung zum Internet - durchgeführt.

Bestimmte WSUS-Richtlinien sind wie bisher (SUS) vom RZ festgelegt:

• AUOptions = 5 (Neu): Der Updatemodus (Auto/Manuell) und die Schedule-Zeit kann vom Administrator ausgewählt, WindowsUpdate jedoch nicht deaktiviert werden.

• DetectionFrequency = 6 (Neu): Neben dem standardmäßigen täglichen Schedule (ab 6 Uhr) erfolgt einen erneute Prüfung auf fehlende Updates im Intervall von 6h. Bisher war das Intervall auf 22h (Defaultwert) eingestellt.

• ReScheduleWaitTime =1: Wie bisher wird eine Prüfung auf fehlende Updates 1min nach Einschaltendes PCs/Login, wenn der PC zum Schedule-Zeitpunkt (6 Uhr) nicht in Betrieb war.

Bitte beachten Sie, dass nicht alle Kombinationen der Richtlinien und Einstellungen sinnvoll sind.  Abweichend von den Standardeinstellungen wird z.B. häufig gewünscht:

• Sie sind Administrator eines Computers, arbeiten im Normalfall aus Sicherheitsgründen mit eingeschränkten Benutzerrechten und möchten auch als "Benutzer" über Updates informiert werden und diese nach Aufforderung installieren können:
  Setzen Sie zuerst (einmalig) die Standardeinstellungen. Aktiveren sie dann die Richtlinie "Auch Nicht Administratoren über Updates informieren" und klicken sie auf "Richtlinien und Einstellungen übernehmen".

• Sie verwenden ein Notebook, arbeiten zum Teil mit langsamen (Modem/ ISDN) oder "teueren" (GPRS, UMTS etc.) Netzwerkverbindungen und möchten über Updates nur informiert werden, d.h. keinen automatischen Download bzw. das  Downloadvolumen so gering als möglich halten:
  Setzen Sie zuerst (einmalig) die Standardeinstellungen. Aktiveren sie dann die Einstellung "Download und Installation nach Abfrage" und klicken sie auf "Richtlinien und Einstellungen übernehmen". Die Richtlinie "Auch Nicht Administratoren über Updates informieren" wird dabei automatisch aktiviert, weil Sie andernfalls als Benutzer mit eingeschränkten Rechten nicht informiert würden.
  Beachten Sie bitte das Sicherheitsrisiko bei dieser Einstellung: Kritische Updates sollten Sie so schnell als möglich installieren!

• Ein Computer soll aus dem Datennetz der Universität dauerhaft "entfernt" werden, d.h ohne Dienstleitungen des RZ  genutzt und WindowsUpdate nicht mehr über unseren WSUS, sondern über die öffentliche Microsoft-Site durchgeführt werden:
  Setzen Sie zuerst (einmalig) die Standardeinstellungen. Deaktivieren sie dann die Richtlinie "Verwende RZ Windows Software Update Server" (Häkchen entfernen) und klicken sie auf "Richtlinien und Einstellungen übernehmen". Die Richtlinie "Links zur öffentlichen Windows-Update-Site entfernen" wird dabei automatisch deaktiviert.

Detaillierte Informationen - der Inhalt der über die Schaltfläche ? enthaltenen online-Hilfe - sind weiter unter angegeben.
 

Welche Updates werden ausgeliefert?

• Sprachunterstützung: Wie bisher Deutsch und Englisch/US Amerikanisch.
• Microsoft-Produkte (alle Gruppen ohne Office-Update):
  • Windows 2000, XP (x86 und x64), Vista (x86 und x64), 2003 Server 2008 Server, jeweils alle Versionen
  • Compute Cluster Pack
  • IE6, IE7, Windows Media, Windows Defender
  • Core XML Services
  • SQL-Server, SQL-Server 2005, Feature-Pack
  • SBS Server 2003
  • SMS Server 2003 und Syytem Center Configuration Management 2007
  • ISA-Server: 2004, 2006, Firewall Client
  • Exchange-Server:  2000, 2003, 2007, 2007 Antispam
  • System Center Data Protection Manager 2006
  • System Center Virtual Machine Manager 2007
  • Forefront Client Security, ISa Server codename Nitrogen
  • Visual Studio 2005
  • Windows Live (eingeschränkte Auswahl)
  • Codename Max
  • Zune Software
  • Expression Media V1
  • Network Monitor 3
  • Silverlight
  • SDK Capicom
  • Virtual PC und Virtual Server
• Zusätzliche Microsoft-Produkte (alle Gruppen mit Office-Update)
  • Office 2002(XP), 2003, 2007, jeweils alle Produkte einschließlich Visio
• Updateklassifizierungen:
  • Definitionsupdates: ja, automatisch
  • Feature-Packs: ja, manuell
  • Service-Packs, ja, manuell
  • Sicherheitsupdates: ja, manuell (schnellstmöglich)
  • Tools: ja, manuell
  • Treiber: nein
  • Update-Rollups: ja, manuell
  • Updates: ja, manuell
  • Wichtige Updates: ja, manuell
     

Wichtiger Hinweis zur Sicherheit vom Windows-Systemen

"Ungepatchte" Windows 2000 SP3/SP4 und Windows XP Original/SP1-Systeme (z.B. von CD installiert) weisen gefährliche Sicherheitslücken auf, die im Fall einer Netzwerkverbindung zum Internet oder zum hausinternen Netzwerk in kürzester Zeit zur "Infektion" durch Viren/Würmer wie Sasser, Blaster etc. führen. Die Infektion kann schneller erfolgen, als  die erforderlichen Updates über WindowsUpdate installiert werden können.

Solche ältere, ungepachten Systeme, die bisher gar nicht oder über längere Zeit nicht über WindowsUpdate (von Microsoft oder hausinternem WindowsUpdate Service) versorgt wurden, müssen offline, d.h. ohne Netzwerkverbindung auf aktuellen Stand gebracht werden. Dazu bieten wird eine Service-CD an (wird in Kürze aktualisiert), welche die aktuellen Servicepacks und Updates für Windows zur "Offline-Installation" enthält. Als Notbehelf kann unter "ungepatchten" Windows XP Systeme vor Servicepack 2 auch der Firewall für die betreffende Netzwerkverbindung aktiviert werden, um einer Infektion vor der "online"-Installation der Updates vorzubeugen.
 

WindowsUpdate Agent 3.0 Download

Der WindowsUpdate Agent wird über unseren WSUS Dienst automatisch auf allen Clients installiert und bei Bedarf (ohne Benachrichtigung) aktualisiert. Im Fehlerfall kann der Agent auch manuelle heruntergeladen und reinstalliert werden. Verwenden Sie dazu bitte den Parameter /wuforce (Beispiel: WindowsUpdateAgent30-x86.exe" /wuforce), um eine vorhandene Version in jedem Fall zu überschreiben.

• WindowsUpdateAgent30-x86.exe (Version 7,4,7600,226 vom 6.8. 2009, für Windows XP,2003,2008,7,2008R2)

• windowsupdateagent30-x64.exe (Version 7,4,7600,226 vom 6.8.2009, für Windows XP,2003,2008,7,2008R2)

Vergessen Sie im Fehlerfall bitte nicht,  neben dem WindowsUpdate Agent ggfls. auch den Windows Installer zu aktualisieren. Probleme mit hoher CPU-Last, Nicht-Reaktionsfähigkeit von PCs etc. werden in der Regel durch ältere Windows Installer Versionen hervorgerufen.
 

Tipps & Tricks zum WindowsUpdate-Agent

• Ein Wechsel der Update-Computergruppe (Target-Group) ist clientseitig jederzeit möglich. Damit eine Gruppen-Änderung sofort wirksam wird (d.h. die für die neu gewählten Gruppe genehmigten Updates sofort angeboten werden), müssen Sie im RZWU (RZWUN) beim Klicken auf "Einstellungen übernehmen" bzw. "RZ Standardwerte setzen" die Shift Taste gedrückt halten.
• Die Funktion "Update jetzt" in RZWU (RZWUN) wurde lediglich eingebaut, um eine manuelle Updateprüfung (und ggfls. Installation) ähnlich der öffentlichen Windows Update Seite vornehmen zu können.
• Eine sofortige "Triggerung" des WindowsUpdate-Clients, d.h. eine sofortige Updateprüfung mit Benachrichtigung über das WindowsUpdate-Symbol in der Taskleiste ist auch über ein Kommando möglich:
  • wuauclt.exe /detectnow
  • wuauclt.exe /resetauthorization /detectnow  (bei Gruppenwechsel)
     

Weitere Informationen zu WSUS

• WSUS 3.0 Downloads und Informationen
• WSUS-Wiki

---

Anhang: Hilfe und Informationen zum Skript RZWU.HTA

Kurz-Info:

• Für Standardfälle genügt es, auf die Schaltfläche "RZ Standardwerte setzen/übernehmen" zu klicken. Ausnahme: Ist der Computer noch keiner WindowsUpdate Computer-Gruppe zugeordnet., muss diese Gruppe vorher oder nach Aufforderung einmalig ausgewählt werden.
• August/September 2005: Umstellung WindowsUpdate vom bisherigen SUS-Server auf neuen WSUS-Server. Falls Sie eine sofortige Umstellung wünschen, halten sie bitte die Shift-Taste gedrückt und klicken Sie auf "RZ Standardwerte setzen/übernehmen". Andernfalls (ohne Shift-Taste) wird die Änderung zum nächsten Update-Check (nächster Tag) oder beim nächsten (Aus-/)Einschalten des PCs übernommen.
  Veraltete Windows-Update-Clients oder Windows-Installer werden durch WindowsUpdate automatisch aktualisiert, sie müssen kein "Update jetzt" vornehmen. Ausnahme: Windows 2000 mit Servicepack kleiner 4: Installieren Sie bitte vorher Servicepack 4!

Schaltflächen:

• RZ Standardwerte setzen/übernehmen: Setzt die vom RZ empfohlenen Standardwerte für alle Optionen (außer WindowsUpdate Computer-Gruppe), speichert die Einstellungen und aktiviert den WindowsUpdate-Client-Dienst. Wurde der jeweiligen Computer noch keiner WindowsUpdate Computer-Gruppe zugeordnet, erfolgt eine Warnung und die Aktion wird abgebrochen. Wählen Sie in diesem Fall zuerst die zutreffende WindowsUpdate Computer-Gruppe aus und wiederholen Sie dann den Vorgang.
  Wenn Sie beim Klicken die Shift-Taste gedrückt halten, werden zusätzlich alle Zeitwerte des WindowsUpdate-Client-Dienstes zurückgesetzt und dieser Dienst - z.B. zur Behebung von Fehlern - neu "getriggert". Eine (erneute)  Prüfung auf fehlende Updates erfolgt nach ca. 6min.
• Richtlinien und Einstellungen übernehmen: Setzt (für Sonderfälle bzw. Sonderwünsche) die ausgewählten Richtlinien und Einstellungen. Bitte verändern Sie die Standardwerte nur dann, wenn Sie sich über die Auswirkungen im Klaren sind. Die Sicherheit Ihres PCs kann dadurch beeinträchtigt werden.
• Update jetzt: Führt eine sofortige (einmalige) Prüfung auf fehlende Updates durch und installiert diese nach Rückfrage (Schaltfläche "Installation" wird gezeigt). Wenn Sie beim Klicken die Shift-Taste gedrückt halten, erfolgt die Installation ohne Rückfrage.
  "Update" jetzt" führt eine Updateprüfung äquivalent zur Prüfung über die öffentliche Microsoft-Windows-Update-Site aus, allerdings gegenüber dem hausinternen WSUS-Server und den dort genehmigten Updates. Der Bezug erforderlicher Updates erfolgt ebenfalls vom hausinternen WSUS-Server.
• Status-Infos: Technische Informationen zum WindowsUpdate-Client (für Betreuer, Service, Diagnose etc.)

WindowsUpdate Computer-Gruppe:

• Zur korrekten Pflege Ihres Computers ist die Angabe einer "Computer-Gruppe" (Target-Group) erforderlich. Diese hat nichts mit der Windows-Arbeitsgruppe oder anderen Gruppen zu tun. Die Genehmigung von Updates sowie eine Auswertung über den Updatestand von Computern erfolgt am hausinternen Windows-Softwareupdateserver anhand von Gruppen. Die gewählte Gruppe bestimmt, welche Updates ein Computer erhält. Zur Zeit existieren folgenden Gruppen:
  • Dienstliche Computer (Gruppe "UNI"): Zum dienstlichen Einsatz verwendete PCs und Notebooks mit Windows-Installation über unsere Softwarereferenz, RZ-Richtlinien und voller Systemunterstützung.
  • Private Computer (Gruppe "PRIVAT"): Private Computer aller Art (Wohnheime, Studenten etc.) mit Anschluss ans das Uni-Datennetz mit eingeschränkter oder keiner Systemunterstützung. Windows-Installation beliebig.
  • Temporäre Windows-Installationen (Gruppe "CIP"): Computer, auf denen vorübergehende (temporäre) Testinstallationen durchgeführt werden sowie RZ-Computer in CIP-Pools, Leihgeräte u. a.,  bei denen Windows regelmäßig neu installiert wird.
  • Alle drei genannten Gruppen "mit Officeupdate": Die Computer erhalten auch Updates und Servicepacks für Office XP und Office 2003-Produkte.
  Die WindowsUpdate Computer-Gruppe wird zukünftig anhand von Informationen in DHCP-Server im NetWare-Login-Skript automatisch gesetzt. Benutzer, die auf Ihrem Computer keinen Novell-Client installiert haben, sollten diese Gruppe einmalig manuell einstellen, andernfalls zählt der Computer zur Kategorie "unbekannte Computer", welche sicherheitsmäßig z. Zt. wie die Gruppe "Private Computer" gehandhabt wird.

WindowsUpdate Richtlinien (Policies):

• Verwende RZ Windows Software Update Server: Updates werden vom hausinternen Windows-Softwareupdateserver (WSUS) bezogen. Der WSUS stellt Sicherheitsupdates und empfohlene Updates für Windows (ab Version 2000) einschließlich Internet-Explorer und Media-Player, Office XP, Office 2003, Exchange- und SQL-Server-Produkte über das hausinterne Netzwerk in "gefilterter" Form bereit. Bei der Filterung wird vom RZ geprüft, ob die Updates mit unserer hiesigen Netzwerkumgebung und installierter Standardsoftware kompatibel bzw. verträglich sind. Nur vom RZ freigegebene Updates werden ausgeliefert.

  Durch Deaktivierung dieser Option werden die Updates "ungefiltert" von Microsoft bezogen. Bitte deaktivieren Sie diese Option nur für Privat-PCs ohne RZ-Windows-Standardinstallationen bzw. ohne RZ-Support.

• Kein AutoReboot während "LoggedOn": Nur relevant für vollautomatischen Update-Modus. Unterdrückt automatische Reboots nach der Installation von Updates, Während ein Benutzer angemeldet ist.
• Auch Nicht-Administratoren über Updates informieren: Benachrichtigt auch Mitglieder der Gruppe "Benutzer" über Updates und fordert zur Installation auf. Weil das Benachrichtigungssymbol häufig übersehen wird, sollte diese Option nut von erfahrenen Benutzern aktiviert werden.
• Automatische Installation kleinerer Updates: Die Installation kleinerer Updates (ohne notwendigen Neustart) erfolgt ohne Benachrichtigung und ohne Rückfrage.
• Link zur öffentlichen Windows Update Site entfernen: Diese Option wir synchron zur Aktivierung von "Verwende RZ Windows Software Update Server" aktiviert und umgekehrt, sie können die Einstellung jedoch ändern. Deaktiviert Links zur öffentlichen Windows Update Site im Startmenü und im Internet-Explorer (nicht jedoch in der Windows-Hilfe).
  Wenn sie diese Option aktivieren, können über die zur öffentlichen Windows Update Site auch vom RZ nicht genehmigte Updates - mit entsprechenden Konsequenzen für eine korrekte Funktion Ihres Computers in unseren Datennetz -  installiert werden.

WindowsUpdate Einstellungen:

• Vollautomatischer Modus: Die Verfügbarkeit von Updates wird nach einem festen Zeitplan geprüft (täglich ab 6 Uhr bzw. wenn der PC eingeschaltet wird); bereitgestellte Updates werden automatisch heruntergeladen und installiert.

  Als Mitglied der Administratoren-Gruppe erfolgt die Installation am selben Tag nach einer Anfrage; wird diese nicht beachtet, werden Updates nach Logout/Herunterfahren zum nächsten Termin bzw. nach Einschalten (plus die Zeit ReScheduleWaitTime, default 1min) automatisch installiert. Für etwa erforderliche Reboots erfolgt eine Anfrage, wenn man angemeldet ist ("LoggedOn") und der Schalter "Kein AutoReboot während Logged On" gesetzt ist.

  Als Mitglied der Benutzer-Gruppe erfolgt die Installation immer ohne Rückfrage, am nächsten Tag bzw. nach Logout/Herunterfahren zum nächsten Termin bzw. Einschalten. Für etwa erforderliche Reboots gilt dasselbe wie für Mitglieder der Administratoren-Gruppe. Ausnahme: Ist die Option "Auch Nicht-Administratoren über Updates informieren" aktiviert, gilt für die Gruppe "Benutzer" gleiches wie für Administratoren

  Ist der PC zum Schedule-Zeitpunkt (6 Uhr) eingeschaltet aber kein Benutzer angemeldet, erfolgen Installation und etwa erforderliche Reboots grundsätzlich ohne Rückfrage.

• Download automatisch/ nach Abfrage, Installation nach Abfrage: Die Verfügbarkeit von Updates wird regelmäßig alle 22-23 Stunden geprüft (UTC-Zeitangabe LastTimeWaitOut unter Status-Infos, wenn der PC eingeschaltet ist. Je nach Einstellung erfolgt eine Abfrage (Symbol in der Taskleiste und Benachrichtigungsfenster) für Installation oder zwei Abfragen - für Download und Installation.

  Diese Optionen sind nur in Ausnahmefällen sinnvoll. Wird als Mitglied der Gruppe "Benutzer" gearbeitet, sollte die Option "Auch Nicht-Administratoren über Updates informieren" aktiviert werden, da andernfalls keine Benachrichtigung erfolgt. Die Downloadabfrage kann z.B. sinnvoll sein für langsame Netzwerkverbindungen (Modem/ISDN, kein Ethernet oder DSL), die Installations-Abfrage für die manuelle Installation bereitgestellter Updates (sicherheitsmäßig gefährlich, da die Benachrichtigung häufig übersehen wird).

---

Wolfram Oestreicher, 11.8.2005, letzte Aktualisierung: 11.8.2010