Check-Updates
Das Skript soll in regelmäßigen Zeitabständen automatisiert gestartet werden, idealer Weise täglich, um alle Updates zeitnah zu verarbeiten. Grundsätzlich werden Updates im WSUS entweder "abgelehnt" oder "genehmigt". Weitere Funktionen sind nicht enthalten. Vom Skript nicht verarbeitete Updates können manuell und mit der Funktionalität der WSUS-Konsole bearbeitet werden.
Konfiguration Updatedateien und Sprache
In der Konfiguration wird "Herunterladen nach Genehmigung" auf den WSUS konfiguriert. Damit wird erreicht, das die Auslastung der Internetverbindung beim Laden des Clients klein gehalten wird, da vom WSUS geladen wird. Dieser lädt die Daten nur, wenn eine Genehmigung erteilt wurde. Zusätzlich kann ein Filter für die benötigten Sprachen konfiguriert werden. Wir gehen davon aus, das "Deutsch" reicht.
Produkte auswählen
Im Skript werden alle Updates verarbeitet, die in "Produkte und Klassifizierungen" ausgewählt sind. Updates für "Microsoft Defender" werden über die "automatische Genehmigung" verarbeitet und "Removal Tools" über das Skript bei Ausführung. Wird diese Produkte nicht gewählt oder abgewählt, dann erfolgt keine Verarbeitung mehr. Bitte beachten Sie, das die Auswahl der Produkte erweitern kann. Auch neue Produkte müssen bei Bedarf ausgewählt werden
Klassifizierungen auswählen
Alle Klassifizierungen aktuell vorhandenen Klassifizierungen (Stand 16.4.2021) werden im Skript berücksichtigt. Bitte beachten Sie, das neue Klassifizierungen trotz Auswahl im Skript nicht berücksichtigt werden können. Hier wäre eine Anpassung notwendig.
Computer-Gruppennamen
Das Skript genehmigt Updates auf Computergruppen. Um eine gewisse Dynamic zu erhalten muss der Gruppenname der Computergruppen eine Kennzeichnung für die 1. und 2. Stufe enthalten. Aktuell beutet das, das alle Computergruppen, die in der 1. Stufe Updates erhalten sollen eine 1 im Gruppennamen haben müssen, Computergruppen für die 2. Stufe eine 2. Es ist möglich mehrere Gruppen für die jeweiligen Gruppen zu erstellen. Voraussetzung für die Genehmigungen ist die Kennzeichnung. Wird die Kennzeichnung nicht gefunden, dann wird die Gruppe übergangen. Zu beachten ist, das die Genehmigung von Updates für Computergruppen in der Hierarchie vererbt werden. Das bedeutet, das Computergruppen unterhalb der genehmigten Gruppe ebenfalls genehmigt werden.
Synchronisationszeitplan
Dieser kann auf Stündlich eingestellt um möglichst schnell an solche Updates zu gelangen. Grund sind die Definitionsupdates für den Defender, um möglichst aktuell mit diesen Updates zu bleiben.
Automatische Genehmigungen
Sicherheit ist sehr wichtig, gerade im Bezug auf den integrierten Virenschutz Microsoft Defender. Der wird automatisch sofort über die Funktion der "automatische Genehmigungen" im WSUS geregelt. In den Eigenschaften der Regel wird das Produkt und die Computer-Gruppe ausgewählt. Das Einschließen der "Removal-Tools" darüber gelingt nicht und wird deshalb über das Script erledigt.
Ablehnen von Updates
Für das Ablehnen ist eine Funktion definiert. Aktuell werden dort Previews, ARM64, und Itanium automatisch abgelehnt. Der Umgang mit x86 Updates wird geprüft, da auf z.B. Office geachtet werden muss.
Genehmigte Updates
Die Genehmigung der Updates wird mit einer Funktion erledigt. Diese prüft nach Update-Klassifizierungen. Für jede Klassifizierung kann ein eigenständige Ablauf erzeugt werden. So werden z.B. Upgrades nicht bearbeitet. Gleichzeitig werden die Updates für alle Computergruppen mit der Kennzeichnung der Stufe in Gruppennamen genehmigt.
Gesteuerte Genehmigung 1. Stufe
Die über die Klassifizierung und Produkte gewählten Updates werden automatisch 5 Tage (Standard) nach dem Erreichen am WSUS-Server für eine gewählte Computer-Gruppe genehmigt. Tritt mit einem dieser Updates ein Fehler auf, dann kann dieses Update über die WSUS-Konsole einfach "abgelehnt" werden, um eine weitere Verteilung auf die Gruppen der 2. Stufe zu verhindern. Das gleiche gilt für Updates, die auf verschiedensten Gründen nicht verteilt werden sollen, egal ob innerhalb oder vor der 1. Stufe. Das "Zurückrufen" solcher Updates erfolgt manuell über die WSUS-Konsole.
Gesteuerte Genehmigung 2. Stufe
Die über die Klassifizierung und Produkte gewählten Updates werden automatisch 14 Tage (Standard) nach dem Erreichen am WSUS-Server für eine gekennzeichneten Computer-Gruppe genehmigt.
Bereinigung
Am Ende des Skripts wird eine Bereinigung angestoßen. Das ersetzt nicht eine eventuell regelmäßige oder individuelle manuelle Überprüfung durch die Administratoren.