WSUS Client – minimale Registry Einstellungen

Klar sollte man die Einstellungen für den WSUS Client vorzugsweise per Gruppenrichtlinie im Netzwerk verteilen. Das erspart viel Arbeit und sichert zudem dass sämtlichen Windows-Computer die gleichen Einstellngen bekommen. Doch es gibt auch Situationen, in denen man manuell die Windows-Computer (ohne Anbindung an das Active-Directory) an den WSUS verbinden muss.

Dann kommen nämlich die Registry-Files mit den richtigen WSUS Settings ins Spiel, die auf den betroffenen Systemen einmal ausgeführt werden müssen

Schauen wir uns die Werte kurz an.

WSUS Client – Registry Einstellungen und Werte

folgende Keys liegen in [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

Schlüsselmögliche WerteBeschreibung
ElevateNonAdminsdword:00000000
dword:00000001
0=nur Mitglieder in der lokalen Administratoren-Gruppe dürfen anstehende Updates auswählen und installieren
1=auch normale Nutzer dürfen die Updates installieren
WUServerhttp://meinwsus1:8530
oder
https://meinwsus1:8530
Adresse vom WSUS-Server
WUStatusServerhttp://meinwsus1:8530
oder
https://meinwsus1:8530
Adresse vom WSUS-Server für Reporting
TargetGroupEnableddword:000000011 = Zuordnen zur Targetgroup aktivieren
TargetGroupTargetGroupNameName der TargetGroup in eurem WSUS
DisableOSUpgradedword:000000011= OS Upgrades deaktivieren

Dann sind noch die folgenden Keys notwendig, die unter dem folgenden Pfad liegen [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

Schlüsselmögliche WerteBeschreibung
NoAutoRebootWithLoggedOnUsersdword:00000001
oder
dword:00000000
1= Falls ein automatische Reboot eingestellt ist, würde der nicht ausgeführt werden wenn ein Nutzer angemeldet ist
RescheduleWaitTimedword:00000005
NoAutoUpdatedword:000000000=keine automatische Installation von Updates
AUOptionsdword:00000003entspricht den WSUS Leveln
2=benachrichtigen wenn Updates zum Download bereitstehen
3=download,manuelle Installation
4=download, autom. Installation
5=Einstellungen vom WSUS CLient können durch den Nutzer vorgenommen werden
ScheduledInstallDaydword:000000000=jeder Tag
1=Sonntag … 7=Samstag
ScheduledInstallTimedword:00000004Tagesstunde 4= 04:00
UseWUServerdword:000000011= Nutze den eingestellten WSUS
0= ziehe Updates von Microsoft
DetectionFrequencyEnableddword:000000011=Aktivieren, ob nach neuen Updates automatisch gesucht werden soll
DetectionFrequencydword:00000004In welchen Abständen nach neuen Updates gesucht werden soll
4= alle 4 Stunden
IncludeRecommendedUpdatesdword:000000011= neben Sicherheits- und wichtigen Updates auch empfohlende Updates installieren
0= nur Sicherheits- und wichtigen Updates installieren
EnableFeaturedSoftwaredword:000000011= Feature Updates installieren
0= keine Feature Updates installieren
AutoInstallMinorUpdatesdword:00000001

Wer sich in die ganzen Schalter tiefer einlesen möchte, kann das im Technet machen:

Beispiel WSUS-Einstellungen (Registry) für Client-Computer mit automatischen Neustart

Die Einstellungen bewirken folgendes Verhalten und sollten für das Update der meisten Windows Clients ausreichend sein.

  • Windows-Client verbindet sich zum eingestellten WSUS
  • Wird der WSUS Target-Gruppe: „clients“ zugeordnet
  • OS Upgrade wird deaktiviert
  • keine autom. Neustart wenn Nutzer angemeldet sind
  • Windows Update Level 4 = Updates download, Installation und Client neu starten
  • täglich 04:00 werden Updates installiert
  • alle 4 Stunden nach neuen Updates suchen

Speichert den Inhalt der rechten Spalte in einer „wsus clients.reg“ ab und führt die per Doppelklick auf den Zielsystemen aus

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000000
"WUServer"="http://meinWSUS:8530"
"WUStatusServer"="http://meinWSUS:8530"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="clients"
"AcceptTrustedPublisherCerts"=dword:00000001
"DisableOSUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RescheduleWaitTime"=dword:00000005
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000004
"UseWUServer"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
"IncludeRecommendedUpdates"=dword:00000001
"EnableFeaturedSoftware"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001

Beispiel WSUS-Einstellungen (Registry) für Server-Computer ohne automatischen Neustart

Die Einstellungen bewirken folgendes Verhalten und sollten für das Update der meisten Windows Servern ausreichend sein.

  • Windows-Client verbindet sich zum eingestellten WSUS
  • Wird der WSUS Target-Gruppe: „server“ zugeordnet
  • OS Upgrade wird deaktiviert
  • keine autom. Neustart wenn Nutzer angemeldet sind
  • Windows Update Level 3 = Updates download, manuelle Installation, kein autom. Neustart
  • täglich werden Updates gesucht
  • alle 4 Stunden nach neuen Updates suchen

Speichert den Inhalt der rechten Spalte in einer „wsus server.reg“ ab und führt die per Doppelklick auf den Zielsystemen aus

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000000
"WUServer"="http://meinWSUS:8530"
"WUStatusServer"="http://meinWSUS:8530"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="server"
"AcceptTrustedPublisherCerts"=dword:00000001
"DisableOSUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RescheduleWaitTime"=dword:00000005
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000004
"UseWUServer"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
"IncludeRecommendedUpdates"=dword:00000001
"EnableFeaturedSoftware"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001

weitere Beiträge zum Thema WSUS / Windows Server Update Services

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.