Ich packe mal einige Informationen in einen Blog-Beitrag ein, der für Administratoren von Windows 11 von Interesse sein kann. Ein Leser hatte mich vor längerer Zeit auf Probleme bei der Auswahl der Update-Quellen bei WSUS unter Windows 11 hingewiesen. Und Advanced Group Policy Management (AGPM) ist demnächst End of Life (EOL).
Kurz zum Hintergrund. Blog-Leser Markus K. ist beim Rollout von Windows 11 in seiner Umgebung in Probleme mit WSUS und Gruppenrichtlinien (GPOs) gelaufen, wenn er bestimmte Sachen "anfasst". Markus hatte mir die Information rund um diese Windows 11 -Probleme bereits im Januar 2024 geschickt, ist mir aber durchgerutscht. Ich hatte jetzt nachgefragt, ob die Thematik noch aktuell ist, und bekam Hinweise, was man möglichst "nicht tun solle", um Ärger zu vermeiden. Und es kam der Hinweis, dass Advanced Group Policy Management (AGPM) bald nicht mehr unterstützt wird. Ich dachte deshalb: "Packe es mal alles in einen Sammelbeitrag", vielleicht kann da der eine oder andere Administrator noch Honig saugen oder Tipps für Dritte geben, wie das gelöst wird.
WSUS, GPOs und Windows Update Error 0x800f0950
Markus K. administriert Windows Client in einer Organisation und hatte Anfang 2024 in der patchmanagement.org-Mailing-Liste folgendes gepostet:
Few days ago I made new W11 GPOs for different OUs.
Seems setting "Specify source service for the following classes of Windows Update" in combination with WSUS isn't a good idea.Even setting "Other Updates" and "Features" to "Windowsupdate" end in 0x800f0950 when trying to install SNMP feature via PowerShell.
Setting the GPO to "Not configured" makes the error go away.
Er ist also mit einer GPO "Specify settings for optional component installation and component repair" ziemlich auf die Nase gefallen. Sobald er die GPO setzt, können die Windows 11-Clients beispielsweise das SNMP-Feature nicht mehr per PowerShell über WSUS beziehen. Der Versuch endet in einem Fehlercode 0x800f0950.
Markus K. schrieb mir damals dazu, dass sie gerade die Produktivumgebung für Windows 11 (damals noch 23H2) vorbereiten. Dazu wollte er per GPO für die einzelnen Klassen eine Update Source festlegen. Was wie eine gute Idee aussah, entpuppte sich als schwerer Fehler. Wie oben erwähnt, konnten die Windows 11-Clients keine neuen Features mehr über den WSUS beziehen und scheiterten mit der Fehleranzeige.
Markus hatte mich auf den Microsoft Support-Beitrag Use Windows Update client policies and WSUS together mit den entsprechenden Erläuterungen hingewiesen. Seine Aussage lautete: "Normal reicht es, zum WSUS die GPO "Specify settings for optional component installation and component repair" zu setzen, damit die optionalen Komponenten tatsächlich von Microsoft geladen werden können." Im aktuellen Fall hat er mit Windows 11 aber Schiffbruch erlitten. In seiner Antwort vom 12. September 2025 schrieb Markus:
Seit wir das setting "Specify source service for the following classes of Windows Update" auf "not configured" haben ist alles in Ordnung.
Er ergänzte, dass er dazu aber durchaus sagen kann, es reicht, auch nur ein Setting, das mit WUfB zu tun hat, anzugreifen, um sich mächtig Ärger am und mit dem WSUS einzuhandeln. Habt ihr auch diese Erfahrung gemacht oder das anders gelöst?
Problem des AGPM-EOL
In seiner Mail schrieb mir Markus K.: "Wir stehen allerdings akuter vor dem Problem des AGPM-EOL". AGPM ist die Abkürzung für Advanced Group Policy Management (also eine erweiterte Gruppenrichtlinienverwaltung). AGPM ist Teil des Microsoft Desktop Optimization Pack (MDOP), das ein Zusatz zu dem mit SA abgeschlossenen Unternehmensvertrag ist.
Aber der MDOP ist längst abgekündigt (siehe mein Beitrag End of Life für Microsoft Desktop Optimization Pack (MDOP), sowie den Microsoft Beitrag von September 2019). Am 14. April 2026 erreicht das Microsoft Desktop Optimization Pack (MDOP) in verschiedenen Produkten sein End of Life.
Markus K. schrieb dazu: "Ich meine, es wird auch nicht von heute auf morgen aufhören zu funktionieren. Aber bei knapp 1300 GPOs in der Produktiv-Umgebung macht man sich halt so seine Gedanken was man denn nun machen soll. Anscheinend gibt es ja nur vernünftige Bezahl-Lösungen und sonst nichts. On-premises scheint jedenfalls nachhaltig ausgemerzt zu werden." Wie löst ihr dieses EOL-Thema in euren Umgebungen?
MVP: 2013 – 2016
afaik wurde
"Specify settings for optional component installation and component repair"
in letzter zeit verändert. Dort fehlen jetzt 2 Checkboxen.
Ggf kollidieren diese (fall noch gesetzt) mit der anderen Option?
AGPM:
der Kollege macht sich Gedanken, nachdem das Produkteam GPO 2016 beerdigt wurde?
das Werkzeug nutzt native GPMC Scripting Schnittstellen, die auch von der Powershell genutzt werden, ehemals VB/WSH. die integrierte Rollenverwaltung (Creator, Reviewer, Appover, Admin) hat in D nicht stattgefunden, das sind max 2 Personen, keine 4.
mit anderen Worten, es gibt keinen Grund, warum es nicht in 10 Jahren noch funktionieren sollte.
es gibt und es wird in Bereich GPO keine Neuentwicklungen in der Infrastruktur mehr geben.
AGPM automatisiert den Ablauf:
– Kopie einer GPO
– Kopie GPO bearbeiten
– Backup Kopie und Delete
– Import Backup Kopie in Original
diese Schritte werden immer funktionieren und das Rollen Modelle ist simple Delegation. 25 jahre alte Rechte im AD