Klar sollte man die Einstellungen für den WSUS Client vorzugsweise per Gruppenrichtlinie im Netzwerk verteilen. Das erspart viel Arbeit und sichert zudem dass sämtlichen Windows-Computer die gleichen Einstellngen bekommen. Doch es gibt auch Situationen, in denen man manuell die Windows-Computer (ohne Anbindung an das Active-Directory) an den WSUS verbinden muss.
Dann kommen nämlich die Registry-Files mit den richtigen WSUS Settings ins Spiel, die auf den betroffenen Systemen einmal ausgeführt werden müssen
Schauen wir uns die Werte kurz an.
WSUS Client – Registry Einstellungen und Werte
folgende Keys liegen in [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
| Schlüssel | mögliche Werte | Beschreibung |
| ElevateNonAdmins | dword:00000000 dword:00000001 | 0=nur Mitglieder in der lokalen Administratoren-Gruppe dürfen anstehende Updates auswählen und installieren 1=auch normale Nutzer dürfen die Updates installieren |
| WUServer | http://meinwsus1:8530 oder https://meinwsus1:8530 | Adresse vom WSUS-Server |
| WUStatusServer | http://meinwsus1:8530 oder https://meinwsus1:8530 | Adresse vom WSUS-Server für Reporting |
| TargetGroupEnabled | dword:00000001 | 1 = Zuordnen zur Targetgroup aktivieren |
| TargetGroup | TargetGroupName | Name der TargetGroup in eurem WSUS |
| DisableOSUpgrade | dword:00000001 | 1= OS Upgrades deaktivieren |
Dann sind noch die folgenden Keys notwendig, die unter dem folgenden Pfad liegen [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
| Schlüssel | mögliche Werte | Beschreibung |
| NoAutoRebootWithLoggedOnUsers | dword:00000001 oder dword:00000000 | 1= Falls ein automatische Reboot eingestellt ist, würde der nicht ausgeführt werden wenn ein Nutzer angemeldet ist |
| RescheduleWaitTime | dword:00000005 | |
| NoAutoUpdate | dword:00000000 | 0=keine automatische Installation von Updates |
| AUOptions | dword:00000003 | entspricht den WSUS Leveln 2=benachrichtigen wenn Updates zum Download bereitstehen 3=download,manuelle Installation 4=download, autom. Installation 5=Einstellungen vom WSUS CLient können durch den Nutzer vorgenommen werden |
| ScheduledInstallDay | dword:00000000 | 0=jeder Tag 1=Sonntag … 7=Samstag |
| ScheduledInstallTime | dword:00000004 | Tagesstunde 4= 04:00 |
| UseWUServer | dword:00000001 | 1= Nutze den eingestellten WSUS 0= ziehe Updates von Microsoft |
| DetectionFrequencyEnabled | dword:00000001 | 1=Aktivieren, ob nach neuen Updates automatisch gesucht werden soll |
| DetectionFrequency | dword:00000004 | In welchen Abständen nach neuen Updates gesucht werden soll 4= alle 4 Stunden |
| IncludeRecommendedUpdates | dword:00000001 | 1= neben Sicherheits- und wichtigen Updates auch empfohlende Updates installieren 0= nur Sicherheits- und wichtigen Updates installieren |
| EnableFeaturedSoftware | dword:00000001 | 1= Feature Updates installieren 0= keine Feature Updates installieren |
| AutoInstallMinorUpdates | dword:00000001 |
Wer sich in die ganzen Schalter tiefer einlesen möchte, kann das im Technet machen:
- Technet: Configure Automatic Updates in a Non–Active Directory Environment
- Technet: Manage additional Windows Update settings
Beispiel WSUS-Einstellungen (Registry) für Client-Computer mit automatischen Neustart
Die Einstellungen bewirken folgendes Verhalten und sollten für das Update der meisten Windows Clients ausreichend sein.
- Windows-Client verbindet sich zum eingestellten WSUS
- Wird der WSUS Target-Gruppe: „clients“ zugeordnet
- OS Upgrade wird deaktiviert
- keine autom. Neustart wenn Nutzer angemeldet sind
- Windows Update Level 4 = Updates download, Installation und Client neu starten
- täglich 04:00 werden Updates installiert
- alle 4 Stunden nach neuen Updates suchen
Speichert den Inhalt der rechten Spalte in einer „wsus clients.reg“ ab und führt die per Doppelklick auf den Zielsystemen aus
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000000
"WUServer"="http://meinWSUS:8530"
"WUStatusServer"="http://meinWSUS:8530"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="clients"
"AcceptTrustedPublisherCerts"=dword:00000001
"DisableOSUpgrade"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RescheduleWaitTime"=dword:00000005
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000004
"UseWUServer"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
"IncludeRecommendedUpdates"=dword:00000001
"EnableFeaturedSoftware"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
Beispiel WSUS-Einstellungen (Registry) für Server-Computer ohne automatischen Neustart
Die Einstellungen bewirken folgendes Verhalten und sollten für das Update der meisten Windows Servern ausreichend sein.
- Windows-Client verbindet sich zum eingestellten WSUS
- Wird der WSUS Target-Gruppe: „server“ zugeordnet
- OS Upgrade wird deaktiviert
- keine autom. Neustart wenn Nutzer angemeldet sind
- Windows Update Level 3 = Updates download, manuelle Installation, kein autom. Neustart
- täglich werden Updates gesucht
- alle 4 Stunden nach neuen Updates suchen
Speichert den Inhalt der rechten Spalte in einer „wsus server.reg“ ab und führt die per Doppelklick auf den Zielsystemen aus
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000000
"WUServer"="http://meinWSUS:8530"
"WUStatusServer"="http://meinWSUS:8530"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="server"
"AcceptTrustedPublisherCerts"=dword:00000001
"DisableOSUpgrade"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RescheduleWaitTime"=dword:00000005
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000004
"UseWUServer"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
"IncludeRecommendedUpdates"=dword:00000001
"EnableFeaturedSoftware"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001