Man sollte m. E. Security-Fixes, normale Fixes, größere Funktionsupdates und Office Updates trennen.
Auch Updates und Fixes von 3rd-Party-Treibern sollte man irgendwie anders bündeln.
Dann könnte man Security-Fixes sofort, normale Fixes und Funktionsupdates mit unterschiedlichem Delay automatisch installieren lassen.
Microsoft könnte noch dafür sorgen, dass zwischen diesen Updates immer noch genug Raum ist.
Nach einem Security-Update möchte man erst einmal nicht zu viele andere Änderungen dazu haben.
Und falls das fehlgeschlagen sein sollte, sollte sich nicht zu viel an den Kisten ändern, bis das valide gefixed ist.
Dann hätte man auch kleinere, möglicherweise "leicht verdauliche" Häppchen, nicht so viele Änderungen auf einmal. Security-Fixes sind ja auch durchaus "bedeutend", da möchte man erst einmal sehen, ob die anziehen und nicht noch gleichzeitig zig Sachen mitändern. Denn falls irgendwas schiefläuft weiß man bei sehr vielen Änderungen gleichzeitig nicht mehr genau, ob es nun der security fix oder ein anderer Fix war, der das verursachte.
Wegen „Bad Patch“-Problematik habe ich Updates und größere Funktionsupdates über Policies um 10 bzw. 180 Tage delayed. Für Security-Patches ist es natürlich nicht so dolle, 10 Tage delayed zu werden, ist mir aber lieber als ein Bad Patch. Daher wäre es besser, Security-Patches wieder separat auszurollen.