Politicile de grup AD permit unui administrator să atribuie automat computere diferitelor grupuri WSUS, eliminând necesitatea mutării manuală a computerelor între grupuri din consola WSUS și menținerea acestor grupuri actualizate. Atribuirea clienților la diferite grupuri țintă WSUS se bazează pe etichetele de pe client în sine (etichetele sunt stabilite prin politică sau prin modificarea directă a registrului). Acest tip de cartografiere a clientului către grupurile WSUS se numește direcționare către partea clientului.
Se presupune că în rețeaua noastră vor fi utilizate două politici diferite de actualizare: pentru servere (servere) și pentru stații de lucru (stații de lucru).
Consiliul. Politica de utilizare a serverului WSUS de către clienți depinde în mare măsură de structura organizațională a OU Active Directory și de regulile pentru instalarea actualizării în organizație. În acest articol, vom lua în considerare numai o versiune privată care vă permite să înțelegeți principiile de bază ale politicii AD pentru a instala actualizări Windows.
În primul rând, trebuie să specificați regula de grupare pentru computerele din consolă WSUS (direcționare). În mod implicit, în consola WSUS, computerele sunt grupate manual de direcționarea spre partea de server. Nu suntem mulțumiți de acest lucru, prin urmare, vom sublinia faptul că computerele sunt grupate în grupuri în direcționarea către client (politicile de grup sau setările de registry). Pentru aceasta, în consola WSUS, accesați secțiunea Opțiuni și deschideți opțiunea Calculatoare. Modificați valoarea pentru a utiliza Politica de grup sau setarea de registry pe computere (Utilizați politicile de grup sau valorile din registru).
Apoi, mergeți direct la configurarea clienților WSUS folosind GPO. Deschideți consola de gestionare a politicii de grup și creați două noi politici de grup: ServerWSUSPolicy și WorkstationWSUSPolicy.
WSUS Server Policy
Să începem cu o descriere a politicii serverului ServerWSUSPolicy.
Setările politicii de grup care sunt responsabile pentru serviciul Windows Update sunt localizate în GPO: Configurație computer -> Politici -> Șabloane administrative -> Componentă Windows -> Windows Update
În mediul nostru, ne așteptăm să folosim această politică pentru a instala actualizări WSUS pe un server Windows. Se presupune că toate computerele care se încadrează în această politică vor aparține grupului de servere din consola WSUS. În plus, dorim să împiedicăm instalarea automată a actualizărilor pe servere atunci când acestea sunt primite. Clientul WSUS trebuie pur și simplu descărcați actualizările disponibile, afișa o alertă în tava de sistem și așteaptă aprobarea administratorului pentru a începe instalarea .Etim să ne asigurăm că serverul de producție nu se va instala automat actualizări și repornire fără știrea administratorului (de obicei, aceste lucrări sunt efectuate de către administratorul de sistem, ca parte a rutinei planificate lucrări). Pentru a implementa o astfel de schemă, setați următoarele politici:
Politica de actualizare a stației de lucru WSUS pentru stațiile de lucru (WorkstationWSUSPolicy)
Presupunem că actualizările pentru stațiile de lucru client, spre deosebire de politicile de pe server, vor fi instalate automat noaptea după primirea actualizărilor. Computerele după instalarea actualizărilor sunt repornite automat (avertizarea utilizatorului în 5 minute).
În această politică, indicăm:
Consiliul. Pentru a îmbunătăți nivelul "patchiness" al computerelor din organizație, puteți configura ambele politici pentru a forța serviciul de actualizare (wuauserv) de pe client. Pentru a face acest lucru, în secțiunea Computer Configuration -> Policies -> Windows Setings -> Security Settings -> System Services, localizați serviciul Windows Update și setați-l la Automatic.
Atribuiți politicile WSUS către OU Active Directory
Următorul pas este să alocați politicile create containerelor corespunzătoare Active Directory (OU). În exemplul nostru, structura OU este cât se poate de simplă: există două containere - servere (conține toate serverele organizației, în plus față de controlorii de domeniu) și WKS (stații de lucru - utilizatori de computere).
Consiliul. Noi considerăm doar o versiune destul de simplu de WSUS politici cu caracter obligatoriu pentru clienți. În organizațiile reale pot dori să lege o politică unică WSUS pentru toate calculatoarele din domeniu (GPO atârnat pe rădăcină de domeniu), pentru a răspândi diferite calculatoare pe diferite OU (ca în exemplul nostru), rețea distribuită ar trebui să cravată alt server WSUS la site-urile AD. sau să atribuiți un GPO bazat pe filtrele WMI. sau combinați metodele listate.
Pentru a atribui o politică OU, faceți clic în Consola de gestionare a politicii de grup pe OU dorită, selectați Link as GPO existent și selectați politica corespunzătoare.
Consiliul. Nu uitați de controlorii de domeniu OU, în majoritatea cazurilor, trebuie să legați politica WSUS de la server la acest container.
În același mod, trebuie să alocați politica WorkstationWSUSPolicy containerului AD numit WKS.
Rămâne să actualizați politicile de grup pentru clienți:
Și după un timp (în funcție de numărul de actualizări și de lățimea de bandă a canalului de pe serverul WSUS), verificați în tavă pentru alerte pop-up despre disponibilitatea noilor actualizări. În consola WSUS, clienții ar trebui să apară în grupurile corespunzătoare (numele clientului, IP, OS, procentajul stadiului lor "patched" și data ultimei actualizări de stare sunt afișate în tabel).
Notă. Dacă actualizările nu apar pe client, este recomandat să examinați cu atenție jurnalul serviciului Windows Update (C: \ Windows \ WindowsUpdate.log) pe clientul cu probleme. Actualizările descărcate sunt salvate în dosarul C: \ Windows \ SoftwareDistribution \ Download. Puteți încerca să rulați un sondaj imediat de clientul serverului WSUS:
De asemenea, uneori trebuie să forțați clientul să se reînregistreze pe serverul WSUS:
În cazuri deosebit de dificile, puteți încerca să reparați serviciul wuauserv astfel.
În următorul articol, vom descrie caracteristicile aprobării actualizărilor pe serverul WSUS.
- Group Caching în Windows 8.1
- De ce nu stabiliți parole prin intermediul Preferințelor politicii de grup
- Resetarea politicilor locale de grup în Windows
- Blocați aplicațiile Windows Store în Windows 8
- Filtrează în Politicile de grup
Articole similare
-
Windows sfc și cheile de registry, ferestre pentru administratorii de sistem
-
Cum se semnează scriptul powershell cu un certificat, ferestre pentru administratorii de sistem
Trimiteți-le prietenilor: