U prethodnom smo članku detaljno opisali postupak instaliranja WSUS poslužitelja na temelju sustava Windows Server 2012 R2 / 2016. Nakon što ste konfigurirali poslužitelj, morate konfigurirati Windows klijente (poslužitelje i radne stanice) za korištenje WSUS poslužitelja za primanje ažuriranja tako da klijenti primao ažuriranja s internog poslužitelja ažuriranja, a ne s poslužitelja Microsoft Update putem Interneta. U ovom ćemo članku pogledati kako konfigurirati klijente da koriste WSUS pomoću pravila grupe domena Active Directory..
sadržaj:
- WSUS Group Policy za Windows poslužitelje
- WSUS Ažurira instalacijsku politiku za radne stanice
- Dodijelite WSUS pravila za Active Directory OU
Pravila AD grupa omogućuju administratoru da automatski dodijeli računala različitim WSUS grupama, eliminirajući potrebu za ručnim premještanjem računala između grupa na WSUS konzoli i ažuriranje tih grupa. Dodjeljivanje klijenata različitim WSUS ciljnim skupinama temelji se na oznaci u registru na klijentu (naljepnice se postavljaju prema grupnim pravilima ili izravnim uređivanjem registra). Naziva se ova vrsta preslikavanja klijenta u WSUS klijent strana ciljanje (Ciljanje na strani klijenta).
Pretpostavlja se da će naša mreža koristiti dva različita pravila ažuriranja - zasebna pravila za instaliranje ažuriranja za poslužitelje (Poslužitelji) i za radne stanice (Radne stanice). Te dvije skupine moraju biti kreirane u WSUS konzoli u odjeljku Sva računala..
vijeće. Pravila za korištenje klijenata poslužitelja ažuriranja WSUS uvelike ovise o organizacijskoj strukturi OU-a u Active Directoryu i pravilima za instaliranje ažuriranja u organizaciji. U ovom ćemo članku samo pogledati privatnu opciju koja vam pomaže razumjeti osnovne principe korištenja AD pravila za instaliranje ažuriranja za Windows..Prije svega, trebate odrediti pravilo grupiranja računala u WSUS konzoli (ciljanje). U WSUS konzoli računalo administrator zadaje grupama ručno (ciljanje na strani poslužitelja). To nam ne odgovara, stoga pokazujemo da su računala raspoređena u skupinama na temelju ciljanja na strani klijenta (određenim ključem u registru klijenta). Da biste to učinili, u WSUS konzoli idite na Opcije i otvorite opciju računala. Promijenite vrijednost u Koristite postavke grupe ili postavke registra na računalima (Koristite postavke grupe ili postavke registra na računalima).
Sada možete stvoriti GPO za konfiguriranje WSUS klijenata. Otvorite konzolu domene Grupno upravljanje politikama i stvorite dvije nove grupe pravila: ServerWSUSPolicy i WorkstationWSUSPolicy.
WSUS Group Policy za Windows poslužitelje
Započnimo s opisom pravila poslužitelja. ServerWSUSPolicy.
Postavke grupnih pravila odgovornih za rad usluge Windows Update nalaze se u odjeljku GPO: računalo konfiguracija -> politika-> upravni predlošci-> Windows sastavni dio-> Windows ažuriranje (Konfiguracija računala -> Administrativni predlošci -> Komponente sustava Windows -> Ažuriranje sustava Windows).
U našoj organizaciji namjeravamo koristiti ovo pravilo za instaliranje WSUS ažuriranja na Windows poslužitelje. Pretpostavlja se da će sva računala koja potpadaju pod ovo pravilo dodijeliti grupi poslužitelja u WSUS konzoli. Pored toga, želimo zabraniti automatsku instalaciju nadogradnji na poslužitelje nakon primitka. Klijent WSUS trebao bi samo preuzeti raspoloživa ažuriranja na disk, prikazati obavijest o dostupnosti novih ažuriranja u programskoj traci i pričekati da administrator pokrene instalaciju (ručno ili daljinski pomoću PSWindowsUpdate modula) da započne instalaciju. To znači da produktivni poslužitelji neće automatski instalirati ažuriranja i ponovno pokrenuti sustav bez potvrde administratora (obično te zadatke izvršava administrator sustava kao dio mjesečnih redovnih radova održavanja). Za provođenje takve sheme postavit ćemo sljedeće politike:
- Konfiguracija automatski Ažuriranja (Konfiguriranje automatskih ažuriranja): omogućiti. 3 - Automatski preuzimanje i obavijestiti za instalirati (Automatski preuzmite ažuriranja i obavijestite o njihovoj spremnosti za instalaciju) - klijent automatski preuzima nova ažuriranja i obavještava ih o svom izgledu;
- Navedite Intranet Microsoft ažuriranje usluga lokacija (Navedite lokaciju Microsoftove usluge ažuriranja na intranetu): omogućiti. Postavite uslugu ažuriranja intraneta za otkrivanje ažuriranja (Navedite uslugu ažuriranja intraneta za traženje ažuriranja): http://srv-wsus.winitpro.ru:8530, Postavljanje poslužitelja statistike intraneta (Navedite poslužitelja statistike na intranetu): http://srv-wsus.winitpro.ru:8530 - ovdje trebate navesti adresu svog WSUS poslužitelja i poslužitelja statistike (obično se podudaraju);
- Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za instaliranje predviđenih automatskih ažuriranja (Ne restartujte automatski kada se ažuriranja automatski instaliraju ako korisnik radi na sustavu): omogućiti - zabraniti automatsko ponovno pokretanje u prisutnosti korisničke sesije;
- omogućiti klijent-strana ciljanje (Dopustite klijentu da se pridruži ciljnoj skupini): omogućiti. Naziv ciljne grupe za ovo računalo: Poslužitelji - u WSUS konzoli dodjeljuju klijente grupi Poslužitelji.
WSUS Ažurira instalacijsku politiku za radne stanice
Pretpostavljamo da će se ažuriranja klijentskih radnih stanica, za razliku od pravila poslužitelja, instalirati automatski noću odmah nakon primanja ažuriranja. Računala nakon instaliranja ažuriranja trebala bi se automatski pokrenuti (upozoriti korisnika u 5 minuta).
U ovom GPO-u (WorkstationWSUSPolicy) specificiramo:
- dopustiti automatski Ažuriranja neposredan instalacija (Dopustite odmah instaliranje automatskih ažuriranja): onesposobljen - zabrana trenutne instalacije ažuriranja po primitku;
- dopustiti ne-administratori u dobiti ažuriranje obavijesti (Dopustite ne-administratorima da primaju obavijesti o ažuriranju): Omogućeno - Pokažite ne-administratorima upozorenje o novim ažuriranjima i dopustite njihovu ručnu instalaciju;
- Konfiguriranje automatskih ažuriranja: Omogućeno. Konfiguriranje automatskog ažuriranja: 4 - Automatsko preuzimanje i zakazivanje instalacije. Zakazani dan instalacije: 0 - svaki dan. Planirano vrijeme instalacije: 05:00 - nakon primitka novih ažuriranja, klijent preuzima u lokalnu predmemoriju i planira ih automatski instalirati u 5:00 ujutro;
- Naziv ciljne grupe za ovo računalo: Radne stanice - u konzoli WSUS dodijelite klijenta grupi Radnih stanica;
- Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za instaliranje predviđenih automatskih ažuriranja: onesposobljen - sustav će se automatski ponovno pokrenuti 5 minuta nakon instaliranja ažuriranja;
- Navedite mjesto servisa za ažuriranje Microsofta Intranet: Omogući. Postavite uslugu ažuriranja intraneta za otkrivanje ažuriranja: http://srv-wsus.winitpro.ru:8530, Postavljanje poslužitelja statistike intraneta: http://srv-wsus.winitpro.ru:8530 -adresa WSUS-a tvrtke.
U sustavu Windows 10 1607 i novijim, iako ste im rekli da primaju ažuriranja od internog WSUS-a, oni će ipak moći pokušati pristupiti poslužiteljima Windows Update na Internetu. Ta se "značajka" naziva dual skenirati. Da biste onemogućili primanje ažuriranja s Interneta, morate dodatno omogućiti pravilo Do nije dopustiti ažuriranje odgoda politika u uzrok skenira protiv Windows ažuriranje (Referenca).
vijeće. Da biste poboljšali "zakrpanu razinu" računala u organizaciji, u oba pravila možete konfigurirati prisilno pokretanje usluge ažuriranja (wuauserv) na klijentima. Za to, u odjeljku Konfiguracija računala -> Politike-> Postavke sustava Windows -> Sigurnosne postavke -> Usluge sustava pronađite uslugu Windows Update i postavite je da se automatski pokrene (automatski).
Dodijelite WSUS pravila za Active Directory OU
Sljedeći je korak dodijeliti kreirana pravila odgovarajućim spremnicima Active Directory-a (OU). U našem primjeru OU struktura u AD domeni je što je jednostavnija: postoje dva spremnika - poslužitelji (sadrži sve poslužitelje organizacije, pored kontrolera domena) i WKS (računala sa korisničkim radnim stanicama).
vijeće. Razmatramo samo jednu prilično jednostavnu mogućnost povezivanja WSUS pravila prema klijentima. U stvarnim organizacijama moguće je vezati jednu WSUS politiku na sva računala u domeni (GPO s WSUS postavkama je obješen u korijenu domene), distribuirati različite vrste klijenata u različite OU (kao u našem primjeru, stvorili smo različite WSUS politike za poslužitelje i radne stanice) distribuirane domene mogu vezati različite WSUS poslužitelje na AD web mjesta, dodijeliti GPO na temelju WMI filtara ili kombinirati gore navedene metode.Za dodjeljivanje pravila OU-u kliknite željeni OU u konzoli za upravljanje grupnim politikama i odaberite stavku izbornika Poveznica kao postojeći GPO i odaberite odgovarajuću politiku.
Na potpuno isti način, radnu stanicu WSUSPolicy morate dodijeliti AD WKS spremniku u kojem se nalaze radne stanice sustava Windows..
Ostaje ažurirati grupna pravila za klijente kako bi ih klijent vezao za WSUS poslužitelj:
gpupdate / force
Sve postavke sustava ažuriranja za Windows koje smo postavili prema grupnim pravilima trebale bi se pojaviti u registru klijenta u podružnici HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate.
Ova reg datoteka može se koristiti za prijenos WSUS postavki na druga računala na kojima nije moguće konfigurirati postavke ažuriranja pomoću GPO-a (računala u radnoj skupini, izolirani segmenti, DMZ itd.)
Verzija uređivača registra Windows 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Politike \ Microsoft \ Windows \ WindowsUpdate]
"WUServer" = "http://srv-wsus.winitpro.ru:8530"
"WUStatusServer" = "http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate" = ""
"TargetGroupEnabled" = dword: 00000001
"TargetGroup" = "Poslužitelji"
"ElevateNonAdmins" = dword: 00000000
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Politike \ Microsoft \ Windows \ WindowsUpdate \ AU]
"NoAutoUpdate" = dword: 00000000 -
"AUOptions" = dword: 00000003
"ScheduledInstallDay" = dword: 00000000
"ScheduledInstallTime" = dword: 00000003
"ScheduledInstallEveryWeek" = dword: 00000001
"UseWUServer" = dword: 00000001
"NoAutoRebootWithLoggedOnUsers" = dword: 00000001
Također je prikladno pratiti primijenjene postavke WSUS-a na klijentima pomoću rsop.msc.
Nakon nekog vremena (ovisno o broju ažuriranja i propusnosti kanala na WSUS poslužitelju), u ladici trebate provjeriti skočna upozorenja za nova ažuriranja. Klijenti bi se trebali pojaviti na WSUS konzoli u odgovarajućim skupinama (tablica prikazuje ime klijenta, IP, OS, postotak njihovih "zakrpa" i datum zadnjeg ažuriranja statusa). jer političari smo dodijelili računala i poslužitelje različitim WSUS grupama, oni će primati samo ažuriranja odobrena za instaliranje na odgovarajuće WSUS grupe.
wuauclt / detectnow
Također, ponekad morate prisiliti klijenta da se ponovno registrira na WSUS poslužitelju:
wuauclt / detectnow / resetAutorizacija
U posebno teškim slučajevima, možete pokušati popraviti ovakvu uslugu wuauserv. Ako se pogreška 0x80244010 dogodi tijekom primanja ažuriranja klijentima, pokušajte promijeniti učestalost provjeravanja ažuriranja na WSUS poslužitelju pomoću pravila učestalosti automatskog ažuriranja otkrivanja.
U sljedećem članku opisujemo značajke odobravanja ažuriranja na WSUS poslužitelju. Također preporučujemo da pročitate članak o prijenosu odobrenih ažuriranja između grupa na WSUS poslužitelju..
