Viele IT-Abteilungen installieren Software noch manuell auf jedem Rechner. Das Open-Source-Tool OPSI ersetzt diese Praxis durch ein zentrales, automatisiertes System für Installation, Update und Inventarisierung von Windows- und Linux-Clients. Open Source, effizient und ohne Lizenzkosten.
OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38).
OPSI automatisiert Softwareverteilung und Betriebssysteminstallation in gemischten IT-Umgebungen. Das System stammt von der uib GmbH in Mainz und steht unter der AGPLv3-Lizenz. Es läuft auf einem Linux-Server, verwaltet Windows-, Linux- und macOS-Clients und ersetzt zunehmend klassische Werkzeuge wie den inzwischen veralteten Windows Server Update Services. Microsoft hat WSUS im September 2024 offiziell abgekündigt, wodurch viele Unternehmen nach einer eigenständigen, zukunftssicheren Lösung suchen. OPSI bietet diese Option ohne Lizenzkosten und mit offener Architektur.
Zentrale Verwaltung und automatische Installation
Im Zentrum steht der OPSI-Server. Er übernimmt Softwareverteilung, Patch-Management, Betriebssystem-Deployment und Inventarisierung. Die Verwaltung erfolgt über eine zentrale Datenbank und webbasierte oder Java-basierte Konsolen. Von hier aus lassen sich Betriebssysteme per PXE-Boot oder Boot-CD bereitstellen, Software-Pakete installieren oder aktualisieren und bestehende Konfigurationen anpassen. Jeder Client erhält dafür einen eigenen Agent, der die Verbindung zum Server hält und Befehle automatisch ausführt. Damit lassen sich auch mehrere Standorte mit einer einzigen Oberfläche steuern, die Installationsdateien liegen verteilt auf Depot-Servern.
Der OPSI-Server basiert auf Linux und nutzt MariaDB sowie Samba für die Kommunikation mit Windows-Clients. Die Installation erfolgt wahlweise manuell oder über vorbereitete Pakete. Im praktischen Aufbau empfiehlt sich eine virtuelle Maschine, zum Beispiel unter VMware vSphere. Auch der kostenlose VMware ESXi-Server genügt für Tests und kleinere Netze. Das System läuft bereits mit 2 CPUs und 4 GB RAM stabil. Der Speicherbedarf hängt vom Umfang der Software-Pakete ab, die im Verzeichnis "/var/lib/opsi/repository" abgelegt werden. Debian/Ubuntu gilt als bevorzugte Plattform. Für die Grundinstallation werden wget, Samba, MariaDB und einige Basiswerkzeuge eingerichtet. Nach der Datenbankkonfiguration folgen die OPSI-Pakete aus dem offiziellen Repository.
Paketierung und Automatisierung
OPSI verwendet für die Softwareverteilung ein eigenes Skriptsystem namens "opsi-script". Darüber lassen sich Standardinstallationen in automatisierte Abläufe übersetzen. Die Werkzeuge "Setup Detector" und "Package Builder" helfen, bestehende MSI- oder EXE-Installer zu analysieren und paketfähig zu machen. So entsteht eine konsistente, wiederverwendbare Sammlung von Installationsroutinen, die zentral gesteuert werden.
Der Administrator weist die Pakete über die OPSI-Konsole zu, wählt die Zielgeräte aus und definiert, ob Installation, Update oder Deinstallation erfolgen soll. Nach dem Speichern übernimmt der Client-Agent den Auftrag beim nächsten Neustart oder auf Abruf. Der Status jeder Installation wird in Echtzeit zurückgemeldet und farblich gekennzeichnet.
Jeder PC oder jedes Notebook benötigt den OPSI-Client-Agent. Dieser lässt sich lokal über die Freigabe "\opsiserver\opsi_depot" installieren oder vom Server aus über eine vorhandene c$-Freigabe ausrollen. Nach der Einrichtung verbindet sich der Client automatisch mit dem Server und erscheint in der Verwaltungsoberfläche. Danach können Softwarepakete, Updates oder ganze Betriebssysteme automatisch verteilt werden. Auch DHCP-basierte PXE-Installationen sind möglich, wenn der Server als Boot-Quelle im Netzwerk hinterlegt wird.
Einsatzmöglichkeiten und Erweiterungen
OPSI eignet sich für Unternehmen, Behörden und Bildungseinrichtungen, die viele Systeme einheitlich verwalten möchten, ohne in teure Lizenzen zu investieren. Neben Standardfunktionen stehen Erweiterungen für Reporting, LDAP-Integration und Mandantenverwaltung zur Verfügung. Die Inventarisierung erfasst Hardware- und Softwarestände automatisch, was Patch-Management und Compliance-Kontrolle erleichtert. Die Community liefert über das Forum und das Wiki regelmäßig neue Paketvorlagen und Skriptbeispiele. Dokumentation und API-Referenzen sind vollständig öffentlich. Mit python-opsi lässt sich die Steuerung auch in eigene Verwaltungswerkzeuge integrieren.
Wie bereits beschrieben, ist die Einrichtung von OPIS am einfachsten über eine vordefinierte VM möglich. Diese lässt sich, neben VMware vSphere/ESXi auch mit Virtualbox und VMware Workstation nutzen und mit etwas Konfiguration auch mit Proxmox VE. Wir zeigen nachfolgend die Einrichtung mit VMware vSphere. Unabhängig vom eingesetzten Virtualisierer erfolgt immer zuerst der Download des Archivs. Nach dem Entpacken der ZIP-Datei stehen die notwendigen Daten zur Verfügung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Im vSphere Web-Client erfolgt ein Rechtsklick auf "Host -> Verwalten" und die Auswahl von "VM erstellen". Im Assistenten wird danach "Eine virtuelle Maschine aus einer OVF- oder OVA-Datei…". Nach der Eingabe des Namens zieht man aus dem Download-Verzeichnis den Inhalt des VM-Archivs in das Fenster. danach erfolgt der Abschluss des Assistenten und die Anpassung der Festplattenbreitstellung sowie die Zuordnung an ein virtuelles Netzwerk. Im Anschluss werden die jeweiligen Dateien auf den Server geladen und die VM wird gestartet.
Wenn der Import der OPSI-VM abgeschlossen ist, erfolgt deren Start. Hier führt die VM ein Skript aus, das die Einbindung im Netzwerk erledigt. Im Fenster legt man den Namen des Servers fest, die Sprache, Domäne und die IP-Konfiguration. Auch das Root-Kennwort und das Kennwort für den Adminuser werden hier gesteuert. Danach wird der Assistent abgeschlossen. der OPSI-Server startet danach neu und lässt sich danach verwalten. Die Anmeldung erfolgt mit dem Benutzer "adminuser" und dem Kennwort, das bei der Einrichtung festgelegt wurde. Danach steht auch die Weboberfläche zur Verfügung. Diese lässt sich auch über das Netzwerk aufrufen, nicht nur in der Konsole von ESXi. Der Port ist zu sehen, wenn nach dem Start der OPSI-VM auf dem Desktop die Weboberfläche startet. Danach lässt sich die Lösung einrichten und im Netzwerk nutzen. Bei der Installation der VM handelt es sich um eine Debian 12-Installation (oder neuer). Es ist sinnvoll diese bei einem produktiven Einsatz möglichst aktuell zu halten. Im Terminal wird die installierte Version über den Befehl "lsb_release -A" angezeigt. Eine Aktualisierung kann mit dem üblichen "sudo apt update 66 sudo apt upgrade" erfolgen. Auf dem Desktop des Servers befinden sich aber auch verschiedene Tools, mit denen der Server aktualisiert werden kann.
Client an OPSI anbinden
Clients werden über einen Agenten an OPSI angebunden. Dieser lässt sich über den Link https://<opsi-server>:4447/public/opsi-client-agent herunterladen. Ist hier kein Agent verfügbar, lassen sich diese auch direkt auf der Webseite von OPSI herunterladen. Die Bereitstellung lässt sich auch über Gruppenrichtlinien vornehmen. Um jetzt eigene Software bereitzustellen, erfolgt die Integration direkt auf dem Server. In der Dokumentation wird das schrittweise erläutert. Für die automatisierte Installation lassen sich im Übrigen auch AutoIT-Skripte direkt einbinden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1a/79/1a79408090b0b1ea320553319528a2ed/0125179019v2.jpeg "So kann man den WSUS-Nachfolger Azure Upate Manager für die Patchbereitstellung nutzen. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/d8/21d8a950f76cc2665617578759386adb/0129101134v1.jpeg "OPSI lässt sich schnell und einfach als VM auf Proxmox, vSphere/ESXi und Virtualbox betreiben.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/7b/da/7bda97dfdc6ec82b00ea44d2e0c0985b/0129101140v1.jpeg "Im Rahmen der Bereitstellung kann auch die VM angepasst werden, auf der OPSI betrieben wird.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/11/87/1187ee10c8c8e94afc58518804680f94/0129101137v1.jpeg "Einrichten von OPSI nach der Inbetriebnahme der VM.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/28/9a/289a72e0335b206123b4946547caf895/0129101136v1.jpeg "OPSI mit dem Erst-Einrichtungs-Skript an die eigenen Anforderungen anpassen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a3/ec/a3ec11b9e86fea4d2ef9e49a0a69f316/0127251360v2.jpeg "Wir haben die wichtigsten Fakten zum Support-Ende von Windows 10 zusammengetragen, mit Experten mögliche Sicherheitsmaßnahmen für den Weiterbetrieb bewertet und ein alternatives Betriebssystem vorgestellt. Das Ergebnis ist diese Podcast-Reihe, die Sie durch diese Woche begleitet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c8/33/c833a06970856013bb27b11ffcc17132/0128167799v1.jpeg "Zentrale Update-Verwaltung unter Windows: Die Windows Update Orchestration Platform bündelt Updates in einem einheitlichen Patch-Prozess und verschafft Administratoren mehr Kontrolle. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/c2/6ec2d20bdbdabec3078fcaf1e80975f2/0112936548v3.jpeg "Mit kostenlosen Tools wie Windows Update Mini Tool und Co bekommen Admins mehr Kontrolle über Updates in Windows. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/57/5b578151a4fe8f1e725af42722317d11/0125497476v2.jpeg "In diesem Video-Tipp zeigen wir, wie man mit dem quelloffenen PowerShell-Modul „Harden Windows Security“ Windows-11-PCs einfach und schnell sicherer macht. (Bild: © Alexej - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/fc/5dfcff5ea17bc1fddd64551d2baa174c/0125904037v3.jpeg "In diesem Video-Tipp zeigen wir, wie man mit dem Azure Update Manager Updates zentral über die Cloud bereitstellt und sogar über den Browser installiert. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/71/b171d1c2c4d5137d07619f41e9b26711/0123150889v1.jpeg "Eine der von Microsoft empfohlenen Alternativen für WSUS ist der Azure Update Manager. (Bild: Joos - Microsoft)")