Softwareverteilung unter Windows: WSUS, Intune, PDQ

Softwareverteilung unter Windows

Im Unternehmens-Alltag muss Software auf hunderten oder tausenden Windows-Geräten installiert, aktualisiert oder entfernt werden. Manuelles Herumlaufen mit USB-Sticks und Setup-Dateien? Undenkbar. Stattdessen gibt es spezialisierte Tools für die Softwareverteilung (englisch: Software Distribution oder „Endpoint Management"). Diese Tools sind das tägliche Brot vieler FISI-Stellen.

Diese Lektion zeigt die drei wichtigsten Werkzeuge im Windows-Umfeld: WSUS (Microsoft, kostenlos, klassisch), Intune (Microsoft, Cloud-basiert, modern) und PDQ Deploy (Drittanbieter, einfach, beliebt im Mittelstand). Dazu noch Group Policy als klassische Variante.

1) Was ist „Software-Verteilung"?

Softwareverteilung beantwortet die Frage: wie bekomme ich Software-Pakete (siehe L3) automatisiert auf viele Computer? Klassische Anforderungen:

Massen-Installation: ein Klick → 500 Rechner haben die neue Software
Updates: Sicherheitsupdates schnell und einheitlich ausrollen
Updates rückgängig: bei Problemen alle Geräte wieder zurückrollen
Gruppen: nur bestimmte Abteilungen oder Standorte bekommen Software X
Reporting: wer hat was installiert? Wer fehlt noch?
Inventarisierung: Übersicht aller installierten Programme
Compliance: prüfen ob Geräte vorgeschriebene Software haben

Ohne diese Werkzeuge wäre IT-Operations in mittleren bis großen Unternehmen unmöglich. Du brauchst eine Plattform – und davon gibt's mehrere.

2) Die drei wichtigsten Tools im Vergleich

Hier eine Schnellübersicht – die drei großen werden im Folgenden vertieft:

Software-Verteilungs-Tools für Windows

WSUS

on-premises · kostenlos

Windows Server Update Services – Microsofts klassisches Tool für Windows-Updates und einfache Software-Verteilung. Eigener Server im LAN.

✓ Klassische AD-Umgebung

Intune

cloud · lizenzpflichtig

Microsoft Cloud-Lösung. Modernes Endpoint-Management auch für mobile Geräte (Smartphone, Tablet, Mac, iOS). Teil von Microsoft 365.

✓ Cloud-First, hybride Geräte

PDQ Deploy

on-premises · kommerziell

Beliebtes Tool im Mittelstand. Einfacher als WSUS/Intune, gute UI, viele vorgefertigte Pakete. Mit PDQ Inventory kombiniert.

✓ Mittelstand, einfacher Einstieg

Daneben gibt's noch viele weitere: SCCM/MECM (Microsofts schwerere Enterprise-Lösung), BigFix (IBM/HCL), ManageEngine Endpoint Central, Baramundi (deutsche Lösung). Im Bewerbungsgespräch werden meist WSUS, Intune und SCCM erwartet zu kennen.

3) WSUS – Windows Server Update Services

WSUS ist Microsofts klassisches Tool für Windows-Updates. Es ist kostenlos bei jedem Windows Server dabei. Funktionsweise:

WSUS-Server (im eigenen Netzwerk) holt Updates von Microsoft
Admin entscheidet welche Updates freigegeben werden
Client-Rechner (per Group Policy konfiguriert) holen Updates vom WSUS-Server statt von Microsoft
WSUS reportet welcher Rechner welche Updates installiert hat

Vorteile: Bandbreite sparen (Updates werden nur einmal heruntergeladen), Kontrolle (Admin entscheidet wann welcher Patch ausgerollt wird), Reporting. So sieht eine typische WSUS-Konsole aus:

WSUS-Konsole (Mockup)

Update Services Console

SERVER01 / Updates / All Updates

156 Updates

487

Up-to-Date

Pending

Failed

514

Total Clients

Update

Status

Released

Severity

2024-05 Cumulative Update Win11

approved

2026-05-14

Critical

Defender Definition KB23456

approved

2026-05-17

Important

Office 365 Security Update

pending

2026-05-15

Critical

Edge Browser Update

declined

2026-05-13

Moderate

In der WSUS-Konsole entscheidet der Admin pro Update: approved (wird ausgerollt), declined (nicht installieren), oder pending (zu prüfen). Updates können auch für Test-Gruppen approved werden – erst auf 10 Test-PCs, dann breit ausrollen. WSUS für Software-Verteilung nutzen ist möglich aber umständlich – primär ist es für Microsoft-Updates gedacht.

4) Intune – die Cloud-Lösung

Intune (offiziell Microsoft Intune, Teil von „Microsoft Endpoint Manager") ist Microsofts modernes Cloud-Tool. Es ersetzt zunehmend WSUS und SCCM in modernen Unternehmen. Vorteile gegenüber WSUS:

Cloud-basiert: kein eigener Server nötig
Funktioniert ohne VPN: Geräte können von überall aus verwaltet werden (Home Office!)
Multi-Platform: Windows, iOS, Android, macOS – alles in einer Konsole
Mobile Device Management (MDM): für Smartphones und Tablets
Compliance-Policies: Geräte müssen Sicherheitsanforderungen erfüllen
Conditional Access: nur „gesunde" Geräte dürfen aufs Firmen-Netz
Apps: MSI, MSIX, EXE, Win32 Apps, Store Apps – alles deploybar

Intune Workflow: App ausrollen

App in Intune hochladen: MSI, MSIX, oder Win32-App (.intunewin-Format) ins Admin Center

Install-Parameter definieren: silent install command, detection rules (wie erkennt man dass App schon installiert ist?)

Assignment: an welche Gruppen ausgerollt – „Required" (zwingend) oder „Available" (im Company Portal verfügbar)

Auto-Deployment: Geräte holen die App ab nächstem Sync (etwa alle 8 Stunden, oder manuell triggerbar)

Reporting: pro Gerät sieht man Installation-Status (success/failed/pending) mit Fehlermeldungen

Intune erfordert eine Microsoft 365 Business Premium- oder EMS E3/E5-Lizenz. Pro User ca. 10-15€/Monat. Klingt teuer, ersetzt aber WSUS, SCCM, AntiVirus und mehr. In modernen Cloud-First-Unternehmen Standard.

5) PDQ Deploy

PDQ Deploy (von PDQ.com) ist ein populäres Tool im Windows-Mittelstand. Die Stärke: Einfachheit und vorgefertigte Pakete. PDQ hat über 250 Standard-Programme im „Package Library" – Adobe Reader, 7-Zip, Notepad++, Chrome, Firefox, etc. Mit einem Klick auf alle Rechner deployen.

Funktionsweise:

PDQ Deploy installiert sich auf Admin-PC oder Server
Liest Active Directory aus – kennt alle Computer im Netzwerk
Admin wählt Software aus der Library oder eigene Pakete
Zielcomputer werden gewählt (Einzel, Gruppe, AD-OU)
Deploy startet – PDQ kontaktiert die Computer per SMB+RPC und führt Installation aus
Realtime-Status in der Konsole

Vorteile: einfacher als WSUS/SCCM/Intune, schnelle Ergebnisse (man sieht sofort was passiert), Package Library spart viel Arbeit. Nachteile: nur Windows, nur on-prem (im LAN), kommerziell.

Oft kombiniert mit PDQ Inventory – das tracked welche Software auf welchem Rechner installiert ist. Zusammen ein starkes Duo für mittlere IT-Abteilungen.

6) Group Policy: der Klassiker

Eine ältere, aber immer noch genutzte Variante: Group Policy (Gruppenrichtlinien, GPO). Teil von Active Directory. Software kann über GPO ausgerollt werden:

Group Policy für Software-Installation

📁 Computer Configuration └── 📁 Policies └── 📁 Software Settings └── 📄 Software installation ├── 📦 Adobe Reader DC (Assigned) ├── 📦 7-Zip 21.07 (Assigned) └── 📦 Notepad++ 8.5 (Published)

Zwei Modi: Assigned = automatisch installiert. Published = User kann in „Programs and Features" selbst installieren. Beim Login oder Boot prüft Windows ob alle zugewiesenen Pakete vorhanden sind. Einschränkung: GPO unterstützt nur MSI-Pakete. Für EXE-Installer brauchst du Skript-Tricks oder andere Tools.

GPO ist heute weniger im Einsatz für Software-Verteilung – meist nur noch für Konfiguration. Software kommt über WSUS, Intune oder PDQ. Aber als FISI musst du GPO trotzdem kennen, es ist in vielen klassischen Unternehmen noch im Einsatz.

7) Silent Installation per Skript

Eine weitere Option: PowerShell-Skripte die zentral ausgeführt werden. Über PowerShell kannst du auch ohne spezielles Tool Software ausrollen:

deploy.ps1PowerShell

1# Liste von Computern aus AD
2$computers = Get-ADComputer -Filter * -SearchBase "OU=Marketing,DC=firma,DC=de"
3
4# MSI auf jedem Rechner installieren
5foreach ($comp in $computers) {
6    Invoke-Command -ComputerName $comp.Name -ScriptBlock {
7        Start-Process "msiexec.exe" -ArgumentList "/i \\share\setup.msi /quiet /norestart" -Wait
8    }
9    Write-Host "$($comp.Name): Installation gestartet"
10}

Dieses Skript läuft AD-Computer der OU „Marketing" durch und installiert das MSI auf jedem. Schnell und billig – aber kein Reporting, kein Retry bei Fehler, keine GUI für Nicht-Admins. Für ad-hoc-Aktionen okay, für regelmäßige Verteilung lieber WSUS/Intune/PDQ.

8) Detection Rules – „ist schon installiert?"

Ein wichtiges Konzept aller Tools: Detection Rules. Bevor eine Software ausgerollt wird, prüft das Tool: ist sie schon installiert? Wenn ja: nichts tun. Das ist die Idempotenz aus K55 L7 Ansible übersetzt auf Windows.

Typische Detection-Methoden:

File existence: Datei C:\Program Files\MyApp\app.exe muss existieren
File version: Datei vorhanden UND Version >= X
Registry value: bestimmter Registry-Wert vorhanden
MSI product code: GUID des Pakets in der Installierte-Programme-Liste
Custom script: PowerShell-Skript prüft per beliebiger Logik

Intune und PDQ haben das eingebaut. Bei eigenen Skripten muss man's selbst programmieren. Ohne Detection würde bei jedem Sync-Lauf neu installiert – unnötiger Traffic, Server-Last, User-Störung.

9) Best Practices für Windows-Verteilung

Aus der Praxis – was du beachten solltest:

Test-Gruppe: nie direkt auf 1000 Geräte deployen. Erst auf 10 Test-PCs, dann breit ausrollen.
Wartungsfenster: kritische Updates nachts oder am Wochenende
Silent Installation: nutzen wenn möglich – User nicht stören
Reboot-Steuerung: /norestart Parameter, dann kontrolliert neustarten
Reporting prüfen: nach Deploy schauen wie viele erfolgreich, wie viele failed
Fallback-Plan: was wenn 30% der Installationen scheitern? Rollback-Skript bereit?
Inventory: regelmäßig Bestandsaufnahme aller Geräte und Software
Patch-Management-Zyklus: feste Termine, z.B. zweiter Dienstag im Monat (Patch Tuesday)
Compliance-Reports: für Audits dokumentieren wer was hat
License Management: nicht mehr Lizenzen verteilen als gekauft – sonst Audit-Problem

10) Welches Tool wann?

Konkrete Empfehlungen aus der Praxis:

Szenario	Empfehlung
Kleines Unternehmen, <50 Geräte	WSUS für Windows-Updates + GPO/PDQ für Software
Mittelstand, 100-500 Geräte, on-prem AD	PDQ Deploy + PDQ Inventory (Top-Combo)
Cloud-First, Microsoft 365	Intune (alles aus einer Hand)
Großkonzern mit komplexen Apps	SCCM/MECM mit Intune-Anbindung (Co-Management)
Hybride Umgebung (on-prem + cloud)	WSUS + Intune oder SCCM + Intune
BYOD (Bring Your Own Device)	Intune mit App-Protection-Policies
Public Sector, Schulen	WSUS klassisch (Datenschutz, Budget)

11) Trends: Wohin geht die Reise?

Die Software-Verteilung im Windows-Umfeld ändert sich gerade stark. Wichtige Trends:

Cloud-First: Intune verdrängt WSUS und SCCM zunehmend
Modern Management: MDM-Protokolle statt Group Policy für viele Aufgaben
Autopilot: neue Windows-PCs aus dem Karton, einschalten, in Cloud-Domain joinen – fertig konfiguriert
Winget: Microsofts Paketmanager als CLI (ähnlich apt/dnf), erlaubt skript-basierte Installation
Container-Apps (MSIX): isolierte Apps, sauberer Deinstall
Self-Service: User installiert selbst aus dem Company Portal, ohne IT zu fragen

Wer heute in eine FISI-Stelle einsteigt, sollte sich besonders mit Intune und Autopilot beschäftigen – das ist die Zukunft.

Zusammenfassung

Software-Verteilung unter Windows umfasst Massen-Installation, Updates, Inventarisierung. WSUS = klassischer Microsoft-Server für Windows-Updates, kostenlos, on-prem, Admin entscheidet was approved wird. Intune = Cloud-basiert, modern, multi-platform (Win/iOS/Android/macOS), lizenzpflichtig, verdrängt WSUS/SCCM. PDQ Deploy = einfaches Drittanbieter-Tool mit Package Library, beliebt im Mittelstand. Group Policy = klassisch via AD, nur MSI, heute weniger für Software. PowerShell-Skripte für ad-hoc-Aktionen. Detection Rules verhindern doppelte Installation (Idempotenz). Best Practices: Test-Gruppe vor breitem Rollout, Wartungsfenster, Reporting prüfen, License Management. Trends: Cloud-First mit Intune, Autopilot für Zero-Touch-Setup, Winget als moderner CLI-Paketmanager.