Software Update Service

Microsoft Software Update Services ist eine kostenlose Add-In-Komponente für Windows 2000- und Windows Server 2003-basierte Server und wurde entwickelt, um in einem LAN den Zugang zu den neuesten Updates, Sicherheitsupdates und Service Packs zu erleichtern.

In der Konfiguration kann gewählt werden, ob die Updates direkt von Microsoft oder einem internen SUS-Server, über einen optionalen Proxy-Server und für welche Sprachen geladen werden sollen.

Um das Herunterladen der Updates und Patches mit dem geringst möglichen Transfervolumen zu erledigen konfiguriert man den SUS-Server so, dass nur die länderspezifischen Updates heruntergeladen werden.

Der SUS wird von Microsoft nicht mehr unterstützt und man verwendet statt dessen den Nachfolger WSUS.

Updates werden von dem SUS automatisch von Microsoft geladen und dann im LAN zur Verfügung gestellt. Das kann auch automatisch zu einem gewünschten Zeitpunkt geschehen.


Der Administrator muss alle Updates mit einem Approve-Haken im Netz freigeben. Sie liegen dann zur Verteilung im LAN bereit.


Für Windows 2000 wird für das automatische Update Service Pack 3 (für Windows XP Service Pack 1) mindestens benötigt oder der optional installierbare Update-Client.

Verknüpfte Gruppenrichtlinien-Objekte erstellen

Es ist möglich Gruppenrichtlinien-Objekte (GP) so zu erstellen, dass sie beliebigen OUs zugewiesen werden können.


Für die OU wird dann keine neue GP erstellt sondern nur eine GP aus der Liste der in der Domäne verfügbaren GP ausgewählt. Im Ergebnis erhält man dann verknüpfte Gruppenrichtlinien-Objekte.


Die Verknüpfung mit der Gruppenrichtlinie kann ein- und ausgeschaltet werden.

Gruppenrichtlinien für lokalen Computer konfigurieren

Für Gruppenrichtlinien kann man im MMC auch ein Snap-In verwenden, um Einstellungen am lokalen Computer vorzunehmen.
Hier wurde konfiguriert, dass kein Benutzer an diesem Computer mehr den Rechner herunterfahren kann.

Gruppenrichtlinien in einer OU erstellen

Soll eine Gruppenrichtlinie nur auf eine OU angewendet werden, so muss statt dessen die OU ausgewählt werden. Hier sollen alle Mitglieder der OU "Sesamstrasse" den Rechner nicht mehr herunterfahren können:

Implementieren von Gruppenrichtlinien in einer Domäne

Um die Gruppenrichtlinien in einer Domäne zu setzen muss man das Recht des Administrators der Domäne haben. Dann kann die Domäne bearbeitet werden.


Die Gruppenrichtlinien können nun wie aus der XP-Administration bekannt bearbeitet werden. Hier ist wieder zwischen Benutzern und Computern zu unterscheiden: Computerrichtlinien gelten erst, wenn der Computer neu gestartet wird. Benutzerrichtlinien greifen erst, wenn sich der Benutzer neu anmeldet.


Gruppenrichtlinien werden von oben (Domäne) nach unten (OU) durchgesetzt, es sei denn die Vererbung wird ausgeschaltet. Existiert eine explizite Richtlinie auf der niedrigeren Ebene wie z.B. einer OU so gilt diese und es findet ebenfalls keine Vererbung statt, d.h. die für die OU definierte Richtlinie hat dann Priorität gegenüber der sonst geerbten Richtlinie.
Ausnahme: Die Sicherheitsrichtlinien (insbesondere Kennwort-Richtlinien) werden immer nach unten durchgesetzt!

Gruppenrichtlinien können auch erzwungen werden (früher "kein Vorrang") und die Vererbung ist dann nicht abschaltbar oder durch gegensätzliche Richtlinien zu überschreiben.

Eine Gruppenrichtlinienfilterung sorgt dafür, dass die GP nur für die Benutzer angewendet wird, für die sie vorgesehen ist. Vorgabe sind hier alle authentifizierten Benutzer.
tweetbackcheck