Групові політики AD дозволяють адміністратору автоматично призначити комп'ютери в різні групи WSUS, позбавляючи його від необхідності ручного переміщення комп'ютерів між групами в консолі WSUS і підтримки цих груп в актуальному стані. Призначення клієнтів до різних цільових груп WSUS грунтується на мітках на самого клієнта (мітки задаються політикою або прямою модифікацією реєстру). Такий тип співвіднесення клієнтів до груп WSUS називається client side targeting (Орієнтування на стороні клієнта).
Передбачається, що в нашій мережі будуть використовуватися дві різні політики поновлення: для серверів (Servers) та для робочих станцій (Workstations).
Порада. Політика використання сервера WSUS клієнтами багато в чому залежить від організаційної структури OU Active Directory і правил установки оновлення в організації. У цій статті ми розглянемо лише окремий випадок, що дозволяє зрозуміти базові принципи використання політик AD для установки оновлень Windows.
В першу чергу необхідно вказати правило угруповання комп'ютерів в консолі WSUS (targeting). За замовчуванням в консолі WSUS комп'ютери розподіляються за групами вручну адміністратором сервера (server side targeting). Нас це не влаштовує, тому вкажемо, що комп'ютери розподіляються в групи на client side targeting (групових політик або параметрів реєстру). Для цього в консолі WSUS перейдіть в розділ Options і відкрийте параметр Computers. Поміняйте значення на Use Group Policy or registry setting on computers (Використовувати групові політики або значення в реєстрі).
Далі перейдемо безпосередньо до налаштування клієнтів WSUS за допомогою GPO. Відкрийте консоль управління груповими політиками (Group Policy Management) і створіть дві нові групові політики: ServerWSUSPolicy і WorkstationWSUSPolicy.
Серверна політика WSUS
Почнемо з опису серверної політики ServerWSUSPolicy.
Налаштування групових політик, що відповідають за роботу служби оновлень Windows знаходяться в розділі GPO: Computer Configuration -> Policies -> Administrative templates -> Windows Component -> Windows Update
У нашому середовищі ми припускаємо використовувати дану політику для установки оновлень WSUS на сервера Windows. Передбачається, що всі потрапляють під цю політику комп'ютери будуть ставитися до групи Servers в консолі WSUS. Крім того, ми хочемо заборонити автоматичну установку оновлень на серверах при їх отриманні. Клієнт WSUS повинен просто завантажити доступні оновлення, відобразити відповідне сповіщення в системному треї і очікувати підтвердження адміністратора для початку установки .Цим ми гарантуємо, що продуктивні серверу не будуть автоматично встановлювати оновлення і перезавантажуватися без відома адміністратора (зазвичай ці роботи виконуються системним адміністратором в рамках планових регламентних робіт). Для реалізації такої схеми задамо наступні політики:
Політика установки оновлень WSUS для робочих станцій (WorkstationWSUSPolicy)
Ми припускаємо, що поновлення на клієнтські робочі станції, на відміну від серверної політики, будуть встановлюватися автоматично вночі після отримання оновлень. Комп'ютери після установки оновлень перезавантажуються автоматично (попереджаючи користувача за 5 хвилин).
У цій політиці ми вказуємо:
Порада. Щоб поліпшити «рівень пропатченний» комп'ютерів в організації, в обох політиків можна налаштувати примусовий запуск служби оновлень (wuauserv) на клієнті. Для цього в розділі Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services знайдіть службу Windows Update і задайте для неї автоматичний запуск (Automatic).
Призначаємо політики WSUS на OU Active Directory
Наступний крок - призначити створені політики на відповідні контейнери (OU) Active Directory. У нашому прикладі структура OU максимально проста: є два контейнери - Servers (в ньому містяться всі сервера організації, крім контролерів домену) і WKS (Workstations -Комп'ютери користувачів).
Порада. Ми розглядаємо лише один досить простий варіант прив'язки політик WSUS до клієнтів. У реальних організаціях можливо як прив'язати одну політику WSUS на всі комп'ютери домену (GPO вішається на корінь домена), рознести різні комп'ютери на різні OU (як в нашому прикладі), для розподілених мереж варто прив'язувати різні WSUS сервера до сайтів AD. або ж призначати GPO на підставі фільтрів WMI. або скомбінувати перераховані способи.
Щоб призначити політику на OU, клацніть в консолі управління груповими політиками за потрібною OU, виберіть пункт меню Link as Existing GPO і виберіть відповідну політику.
Порада. Не забудьте про OU Domain Controllers, в більшості випадків на цей контейнер слід прив'язати «серверну» політику WSUS.
Точно таким же способом потрібно призначити політику WorkstationWSUSPolicy на контейнер AD з ім'ям WKS.
Залишилося відновити групові політики на клієнтах:
І через деякий час (залежить від кількості оновлень і пропускної здатності каналу до сервера WSUS) перевірити в треї наявність спливаючого сповіщень про наявність нових оновлень. В консолі WSUS у відповідних групах повинні з'явитися клієнти (в табличному вигляді відображається ім'я клієнта, IP, ОС, відсоток їх «пропатченний» і дата останнього оновлення статусу).
Примітка. Якщо на клієнті оновлення не з'являються, рекомендується уважно вивчити на проблемному клієнта лог служби оновлень Windows (C: \ Windows \ WindowsUpdate.log). Закачується поновлення зберігаються в папку C: \ Windows \ SoftwareDistribution \ Download. Можна спробувати запустити негайний опитування клієнтом сервера WSUS:
Також іноді доводиться примусово перереєструвати клієнта на сервері WSUS:
В особливо складних випадках можна спробувати полагодити службу wuauserv так.
У наступній статті ми опишемо особливості схвалення оновлень на сервері WSUS.
- Кешування групових політик в Windows 8.1
- Чому не варто задавати паролі через Group Policy Preferences
- Скидання локальних групових політик в Windows
- Блокування додатків Windows Store в Windows 8
- Фільтри в групових політиках