Wenn Sie den zweiten Teil dieser Artikelserie lesen möchten, gehen Sie bitte zu Registrierungsschlüssel für die Optimierung von Windows Update (Teil 2).
Obwohl Windows Update und WSUS im Allgemeinen recht einfach zu konfigurieren sind, können Sie manchmal ein höheres Maß an Kontrolle über sie erlangen, indem Sie ein paar kleinere Änderungen an der Windows-Registrierung vornehmen. In diesem Artikel zeige ich Ihnen einige Registrierungsschlüssel, die mit Windows Update verbunden sind. Dabei zeige ich Ihnen die verschiedenen Einstellungen, die Sie diesen Registrierungsschlüsseln zuweisen können.
Bevor ich anfange
Bevor ich anfange, muss ich die Anwälte bei Laune halten, indem ich Ihnen sage, dass das Ändern der Windows-Registrierung gefährlich sein kann. Eine unsachgemäße Änderung der Registrierung kann Windows und/oder Ihre Anwendungen zerstören. Ich empfehle Ihnen daher dringend, eine vollständige Systemsicherung durchzuführen, bevor Sie eine der Techniken ausprobieren, die ich Ihnen zeigen werde.
Nachdem ich nun den Standard-Haftungsausschluss aus dem Weg geräumt habe, gibt es noch eine Sache, die ich Ihnen sagen muss, bevor ich anfange. Die Registry-Tweaks, die ich Ihnen jetzt zeige, sind für Computer gedacht, auf denen Windows XP läuft. Sie können die Tweaks direkt auf einzelne Rechner anwenden, oder Sie können die Änderungen als Teil eines Anmeldeskripts anwenden. Außerdem sind einige der Schlüssel, über die ich sprechen werde, möglicherweise nicht standardmäßig vorhanden. Wenn Sie einen Schlüssel verwenden möchten, der nicht existiert, müssen Sie ihn erstellen. Sie sollten auch bedenken, dass das Verhalten von Windows Update durch eine Gruppenrichtlinie gesteuert werden kann, und dass, wenn eine Gruppenrichtlinie in Kraft ist, sie dazu führen kann, dass Teile der Registrierung überschrieben werden, nachdem Sie Änderungen vorgenommen haben.
Erhöhung der Berechtigungen
Eines der Probleme beim Empfang von Updates von einem WSUS-Server besteht darin, dass Benutzer Updates nicht genehmigen oder ablehnen dürfen, wenn sie nicht Mitglied der lokalen Administratorengruppe sind. Sie können jedoch die Registrierung verwenden, um Benutzern eine Erhöhung der Berechtigungen zu geben, die es ihnen ermöglicht, Updates zu genehmigen oder abzulehnen, unabhängig davon, ob sie ein lokaler Administrator sind oder nicht. Umgekehrt können Sie Endbenutzern auch die Möglichkeit verweigern, Updates zu genehmigen, und dieses Recht für Administratoren reservieren.
Der Registrierungsschlüssel, der dieses Verhalten steuert, lautet: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins
Der Schlüssel ElevateNonAdmins hat zwei mögliche Werte. Der Standardwert 1 erlaubt es Nicht-Administratoren, Updates zu genehmigen oder zu verweigern. Wenn Sie diesen Wert auf 0 ändern, können nur Administratoren Updates genehmigen oder verweigern.
Zielgruppen
Eine der schönen Seiten von WSUS ist, dass es Ihnen erlaubt, client-seitiges Targeting zu verwenden. Die Idee hinter dem clientseitigen Targeting ist, dass Sie verschiedene Computergruppen einrichten können und Updates auf Gruppenbasis verteilen können. Die clientseitige Ausrichtung wird nicht standardmäßig verwendet, aber wenn Sie sich dafür entscheiden, müssen Sie zwei verschiedene Registrierungsschlüssel erstellen. Einer dieser Schlüssel aktiviert das clientseitige Targeting, während der andere den Namen der Zielgruppe angibt, zu der der Computer gehört. Diese beiden Registrierungsschlüssel müssen erstellt werden unter: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
Der erste Schlüssel ist ein DWORD-Schlüssel namens TargetGroupEnabled. Sie können diesem Schlüssel entweder den Wert 0 zuweisen, wodurch das clientseitige Targeting deaktiviert wird, oder den Wert 1, wodurch das clientseitige Targeting aktiviert wird.
Der andere Schlüssel, den Sie erstellen müssen, ist ein String-Wert namens TargetGroup. Der Wert, den Sie diesem Schlüssel zuweisen, ist der Name der Zielgruppe, der der Computer zugewiesen werden soll.
Zuweisung eines WSUS-Servers
Wenn Sie schon länger mit Netzwerken zu tun haben, dann wissen Sie wahrscheinlich, dass sich Netzwerkdesigns im Laufe der Zeit ändern. Dinge wie Unternehmenswachstum, neue Sicherheitsanforderungen und Unternehmensumstrukturierungen zwingen oft dazu, das zugrunde liegende Netzwerk zu ändern. Was hat das nun mit Windows Update zu tun? Nun, WSUS ist skalierbar und kann in einer hierarchischen Weise bereitgestellt werden. Das bedeutet, dass ein Unternehmen eine Vielzahl von WSUS-Servern bereitstellen kann. Wenn ein PC in einen anderen Teil des Unternehmens verlegt wird, ist der WSUS-Server, für den er ursprünglich konfiguriert war, möglicherweise nicht mehr für den neuen Standort geeignet. Glücklicherweise kann der WSUS-Server, von dem der PC seine Updates bezieht, mit ein paar einfachen Änderungen in der Registrierung geändert werden.
Es gibt zwei Registrierungsschlüssel, die bei der Angabe eines WSUS-Servers verwendet werden. Diese beiden Schlüssel befinden sich unter: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Der erste Schlüssel heißt WUServer. Dieser Registrierungsschlüssel enthält einen Zeichenfolgenwert, der als URL des WSUS-Servers eingegeben werden sollte (Beispiel: http://servername).
Der andere Schlüssel, den Sie ändern müssen, ist ein Zeichenfolgenwert namens WUStatusServer. Die Idee hinter diesem Schlüssel ist, dass der PC seinen Status an einen WSUS-Server melden muss, damit der WSUS-Server weiß, welche Updates auf den PC angewendet wurden. Der Schlüssel WUStatusServer hat normalerweise genau den gleichen Wert wie der Schlüssel WUServer (Beispiel: http://servername).
Der automatische Update-Agent
Bis jetzt habe ich darüber gesprochen, wie man den PC mit einem bestimmten WSUS-Server oder einer bestimmten Zielgruppe verbindet, aber das ist nur die Hälfte des Prozesses. Windows Update verwendet einen Update-Agenten, der die Updates tatsächlich installiert. Es gibt eine Reihe von Registrierungsschlüsseln unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU, die den automatischen Update-Agenten steuern.
Der erste dieser Schlüssel ist der Schlüssel AUOptions. Diesem DWORD-Wert kann ein Wert von entweder 2, 3, 4 oder 5 zugewiesen werden. Ein Wert von 2 bedeutet, dass der Agent den Benutzer vor dem Herunterladen von Updates benachrichtigen soll. Der Wert 3 bedeutet, dass die Updates automatisch heruntergeladen werden und der Benutzer über die Installation benachrichtigt wird. Ein Wert von 4 bedeutet, dass Updates automatisch heruntergeladen und nach einem Zeitplan installiert werden sollen. Damit diese Option funktioniert, müssen auch die Schlüssel ScheduledInstallDay und ScheduledInstallTime festgelegt werden. Auf diese Schlüssel werde ich später noch näher eingehen. Ein Wert von 5 schließlich bedeutet, dass automatische Updates erforderlich sind, aber von den Endbenutzern konfiguriert werden können.
Der nächste Schlüssel, über den ich sprechen möchte, ist der Schlüssel AutoInstallMinorUpdates. Dieser Schlüssel kann auf einen Wert von 0 oder 1 gesetzt werden. Wenn der Schlüssel auf 0 gesetzt ist, werden kleinere Aktualisierungen wie jede andere Aktualisierung behandelt. Wenn der Wert des Schlüssels auf 1 gesetzt ist, werden kleinere Updates stillschweigend im Hintergrund installiert.
Ein weiterer Schlüssel im Zusammenhang mit dem automatischen Update-Agenten ist der Schlüssel DetectionFrequency. Mit diesem Schlüssel können Sie festlegen, wie oft der Agent nach Updates sucht. Der Wert des Schlüssels muss eine ganze Zahl zwischen 1 und 22 sein und gibt die Anzahl der Stunden zwischen den einzelnen Erkennungsversuchen an.
Ein verwandter Registrierungsschlüssel ist der Schlüssel DetectionFrequencyEnabled. Wie der Name schon sagt, aktiviert oder deaktiviert dieser Schlüssel die Funktion „Erkennungsfrequenz“. Wenn dieser Schlüssel auf den Wert 0 gesetzt wird, wird der Schlüssel DetectionFrequency ignoriert, während er auf den Wert 1 gesetzt wird, damit der Agent den Wert DetectionFrequency verwendet.
Der nächste Schlüssel, über den ich sprechen möchte, ist der Schlüssel NoAutoUpdate. Wenn dieser Schlüssel auf den Wert 0 gesetzt ist, sind automatische Aktualisierungen aktiviert. Wenn der Wert des Schlüssels auf 1 gesetzt ist, sind automatische Updates deaktiviert.
Der letzte Registrierungsschlüssel, über den ich sprechen möchte, ist der Schlüssel NoAutoRebootWithLoggedOnUsers. Wie Sie wahrscheinlich wissen, können einige Updates nicht angewendet werden, ohne das System neu zu starten. Wenn ein Benutzer gerade angemeldet ist, kann ein vom System erzwungener Neustart sehr störend sein. Dies gilt insbesondere dann, wenn der Benutzer seinen Arbeitsplatz verlassen hat, ohne seine Arbeit zu speichern. An dieser Stelle kommt der Schlüssel NoAutoRebootWithLoggedOnUsers ins Spiel. Dem Schlüssel kann entweder ein Wert von 0 oder 1 zugewiesen werden. Wenn der Wert auf 0 gesetzt ist, erhalten die Benutzer eine fünfminütige Warnung und das System wird automatisch neu gestartet. Ist der Wert auf 1 gesetzt, erhalten die Benutzer lediglich eine Meldung, in der sie aufgefordert werden, ihr System neu zu starten, aber sie können den Neustart nach Belieben durchführen.
Abschluss
Es gibt noch eine ganze Reihe weiterer Registrierungsschlüssel, die mit Windows Update zusammenhängen. Auf die restlichen werde ich in Teil 2 dieser Artikelserie eingehen.
Wenn Sie den zweiten Teil dieser Artikelserie lesen möchten, gehen Sie bitte zu Registrierungsschlüssel zur Optimierung von Windows Update (Teil 2).