Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\WindowsUpdate] "ElevateNonAdmins"=dword:00000000 /*Auch nicht Admins dürfen Updates installieren /bestätigen*/ "WUServer"="http:// /*Servername:Port, (WSUS-Server)*/ "WUStatusServer"="http: /*Servername:Port, (Statusberichte)*/ "TargetGroup"="Test" /*Name der WSUS-Gruppe*/ [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU] "RescheduleWaitTime"=dword:0000000a /*Zeit in Minuten, die nach dem Start gewartet wird, bis Updates automatisch installiert werden.*/ "DetectionFrequency"=dword:00000002 /*Suchhäufigkeit für automatische Updates.*/ "DetectionFrequencyEnabled"=dword:00000001 /*Automatische Suche nach Updates aktiviert*/ "RebootRelaunchTimeoutEnabled"=dword:00000001 /*Aktivert die Option RebootRelaunchTimeout*/ "RebootRelaunchTimeout"=dword:0000003c /*Zeit in Minuten die zwischen den Aufforderungen zum geplanten Neustart vergeht.*/ "NoAutoRebootWithLoggedOnUsers"=dword:00000001 /*Kein Automatischer Neustart durch Updates während Benutzer angemeldet sind, bei 0= Ja.*/ "AutoInstallMinorUpdates"=dword:00000001 /*Updates die keinem Neustart erfordern automatisch installieren/* "NoAutoUpdate"=dword:00000000 /*automatisch Updates aktivieren*/ "AUOptions"=dword:00000003 /*Updates herunterladen, vor der Installation benachrichtigen*/ "ScheduledInstallDay"=dword:00000000 /*Wochentag an dem Updates durchgeführt werden sollen. 0= Jeden Tag*/ "ScheduledInstallTime"=dword:00000003 /*Uhrzeit (Ganze Stunde) zu der Updates durchgeführt werden sollen.*/ "UseWUServer"=dword:00000001 /*Der Client bezieht seine Updates vom WSUS/* "IncludeRecommendedUpdates"=dword:00000000 /* Es werden nur Sicherheitsupdates und wichtige updates installiert, keine empfohlenen */ [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate] "DisableWindowsUpdateAccess"=dword:00000001 /*User kann nicht mehr WinUpdate aktuallisieren, da sie vom Administrator verwaltet werden.*/
Weitere Inforamtionen zu Wsus Policies: http://www.wsus.de/gpo
Einstellungen
%Userprofile%\Anwendungsdaten\Microsoft\MMC\wsus
Logdatei
%windir%\Windowsupdate.log
Registry Einträge werden automatisch entfernet und die Updates wieder über den Microsoft Server gesteuert.
„clienet-delete.cmd“
@echo off %debug% setlocal rem wsus-client-delete.cmd rem rem (c) 2009 c't & Lars Titze rem echo Auto-Update-Dienst anhalten "%windir%\system32\net.exe" stop "wuauserv" || ( echo Bitte starten Sie das Skript mit Adminstartorrechten. pause exit /b 2 ) echo Registry-Datei erzeugen ( echo Windows Registry Editor Version 5.00 echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] echo [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate] ) > "%temp%\wsus-client-delete.reg" echo Registy anpassen "%windir%\Regedit.exe" /s "%temp%\wsus-client-delete.reg" if ""=="%debug%" ( echo Registry-Datei entfernen erase "%temp%\wsus-client-delete.reg" ) echo Auto-Update-Dienst starten "%windir%\system32\net.exe" start "wuauserv" pause exit /b 0
Anschließend den Server/Client händisch aus der Wsus-Konsole entfernen und Neustarten.
Voraussetzungen:
Arbeitsschritte zur Einrichtung der GPOs:
GPO Richtlinien am Client überprüfen:
Start –> Ausführen –> mmc –> Datei –> Snap-In hinzufügen –> Hinzufügen –> Richtlinienergebnissatz –> Hinzufügen –> Schließen –> OK –> Rechte Maus –> Ergebnissatz generieren
Registry Einträge überprüfen:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate