Настройка групповых политик WSUS | Windows для системных администраторов

Настройка групповых политик WSUS

В одной из предыдущих статей мы подробно описали процедуру установки сервера WSUS на базе Windows Server 2012. Следующий этап настройки корпоративной системы установки обновлений  Windows – настройка клиентов на использование развернутого сервера WSUS. В этой статье мы рассмотрим процедуру настройки клиентов сервера WSUS с помощью групповых политик Active Directory.

Содержание:

Групповые политики AD позволяют администратору автоматически назначить  компьютеры в различные группы WSUS, избавляя его от необходимости ручного перемещения компьютеров между группами в консоли WSUS и поддержки этих групп в актуальном состоянии. Назначение клиентов к различным целевым группам WSUS основывается на метках на самом клиенте (метки задаются политикой или прямой модификацией реестра). Такой тип соотнесения клиентов к группам WSUS называется client side targeting (Таргетинг на стороне клиента).

Предполагается, что в нашей сети будут использоваться две различные политики обновления: для серверов (Servers) и для рабочих станций (Workstations).

Совет. Политика использования сервера WSUS клиентами во многом зависит от организационной структуры OU Active Directory и правил установки обновлении в организации. В этой статье мы рассмотрим всего лишь частный вариант, позволяющий понять базовые принципы использования политик AD для установки обновлений Windows.

В первую очередь необходимо указать правило группировки компьютеров в консоли WSUS (targeting). По умолчанию в консоли WSUS компьютеры распределяются по группам вручную администратором сервера (server side targeting). Нас это не устраивает, поэтому укажем, что компьютеры распределяются в группы на client side targeting (групповых политик или параметров реестра). Для этого в консоли WSUS перейдите в раздел Optionsи откройте параметр Computers. Поменяйте значение на Use Group Policy or registry setting on computers (Использовать групповые политики или значения в реестре). wsus таргетирование клиентов

Далее перейдем непосредственно к настройке клиентов WSUS с помощью GPO. Откройте консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy  и WorkstationWSUSPolicy.

Серверная политика WSUS


Начнем с описания серверной политики ServerWSUSPolicy.

Настройки групповых политик, отвечающих за работу службы обновлений Windows находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update

windows: групповые политики управления установкой обновлений

В нашем среде мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут относиться к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Клиент WSUS должен просто скачать доступные обновления, отобразить соответствующее оповещение в системном трее и ожидать подтверждения администратора для начала установки .Этим мы гарантируем, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без ведома администратора (обычно эти работы выполняются системным администратором в рамках плановых регламентных работ). Для реализации такой схемы зададим следующие политики:

  • Configure Automatic Updates: Enable. 3 – Auto download and notify for install – клиент автоматически скачивает новые обновлений и оповещает об их появлении
  • Specify Intranet Microsoft update service location: Enable.  Set the intranet update service for detecting updates: http://srv-wsus.winitpro.ru:8530, Set the intranet statistics server: http://srv-wsus.winitpro.ru:8530 – задаем адрес локального WSUS сервера и сервера статистики (обычно они совпадают)
  • No auto-restart with logged on users for scheduled automatic updates installations: Enable – запретить автоматическую перезагрузку при наличии сессии пользователя
  • Enable client-side targeting: Enable. Target group name for this computer: Servers – в консоли WSUS отнести клиенты к группе Servers
Примечание. При настройке политики обновления советуем внимательно познакомиться со всеми настройками, доступными в каждой из опций раздела GPO Windows Update и задать подходящие для вашей инфраструктуры и организации параметры.

Политика установки обновлений WSUS для рабочих станций (WorkstationWSUSPolicy)


Мы предполагаем, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью после получения обновлений. Компьютеры после установки обновлений перезагружаются автоматически (предупреждая пользователя за 5 минут).

В данной политике мы указываем:

  • Allow Automatic Updates immediate installation: Disabled - запрет на немедленную установку обновлений при их получении
  • Allow non-administrators to receive update notifications: Enabled - отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку
  • Configure Automatic Updates: Enabled.   Configure automatic updating: 4 — Auto download and schedule the install. Scheduled install day: 0 — Every day. Scheduled install time: 05:00 – клиент скачивает новые обновления и планирует их автоматическую установку на 5:00 утра
  • Target group name for this computer: Workstations – в консоли WSUS отнести клиентов к группе Workstations
  • No auto-restart with logged on users for scheduled automatic updates installations: Disabled - система автоматически перезагрузится через 5 минут после окончания установки обновлений
  • Specify Intranet Microsoft update service location: Enable.  Set the intranet update service for detecting updates: http://srv-wsus.winitpro.ru:8530, Set the intranet statistics server: http://srv-wsus.winitpro.ru:8530 –адрес корпоративного WSUS сервера

Групповая политика установки обновлений wsus на рабочих станциях

Совет. Чтобы улучшить «уровень пропатченности» компьютеров в организации, в обоих политиках можно настроить принудительный запуск службы обновлений (wuauserv) на клиенте. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).автозапуск службы обновлений windows

Назначаем политики WSUS на OU Active Directory

Следующий шаг – назначить созданные политики на соответствующие контейнеры (OU) Active Directory. В нашем примере структура OU максимально простая: имеются два контейнера – Servers (в нем содержаться все сервера организации, помимо контроллеров домена) и WKS (Workstations –компьютеры пользователей).

Совет. Мы рассматриваем лишь один довольно простой вариант привязки политик WSUS к клиентам. В реальных организациях возможно как привязать одну политику WSUS на все компьютеры домена (GPO вешается на корень домена), разнести различные компьютеры на разные OU (как в нашем примере), для распределенных сетей стоит привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные способы.

Чтобы назначить политику на OU, щелкните в консоли управления групповыми политиками по нужному OU, выберите пункт меню Link as Existing GPO и выберите соответствующую политику.

Привязка групповой политики wsus к OU Active Directory

Совет. Не забудьте про OU Domain Controllers, в большинстве случаев на этот контейнер следует привязать «серверную» политику WSUS.

Точно таким же способом нужно назначить политику WorkstationWSUSPolicy на контейнер AD с именем WKS.

Осталось обновить групповые политики на клиентах:

gpupdate /force

И через некоторое время (зависит от количества обновлений и пропускной способности канала до сервера WSUS) проверить в трее наличие всплывающего оповещений о наличии новых обновлений. В консоли WSUS в соответствующих группах должны появиться клиенты (в табличном виде отображается имя клиента, IP, ОС, процент их «пропатченности» и дата последнего обновлений статуса).

Клиенты в консоли обновлений wsus

Примечание. Если на клиенте обновления не появляются, рекомендуется внимательно изучить на проблемном клиенте лог службы обновлений Windows (C:\Windows\WindowsUpdate.log). Закачиваемые обновления сохраняются в папку C:\Windows\SoftwareDistribution\Download.  Можно попробовать запустить немедленный опрос клиентом сервера WSUS:

wuauclt /detectnow

Также иногда приходится принудительно перерегистрировать клиента на сервере WSUS:

wuauclt /detectnow /resetAuthorization

В особо сложных случаях можно попробовать починить службу wuauserv так.

В  следующей статье мы опишем особенности одобрения обновлений на сервере WSUS.

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 13

Оставить комментарий
  1. Jimka | 26.10.2014

    Добрый день. А где следующая статья?

    Ответить
  2. Александр | 07.11.2014

    Вы не могли бы не делать картинки кликабельными, тем более, что это полноценные скриншоты, а не уменьшенные превьюшки, которые надо рассматривать в увеличенном масштабе при клике на них? Очень неудобно, когда возвращаешься в окно браузера из другого приложения и случайно тыкаешь на картинку только для того, чтобы окно стало активным.
    Спасибо.

    Ответить
    • itpro | 07.11.2014

      Спасибо за конструктивный отзыв! Вы правы, такое поведение не очень удобное.

      Но совсем отказаться от кликабельных скриншотов не могу, довольно часто принудительно сжимаю ширину вставляемого изображения, чтобы можно было рассмотреть детали.

      Поэтому решил все-таки настроить плагин для группировки изображений в статье в галерею. Так удобнее?

       

      Ответить
      • Александр | 07.11.2014

        Честно говоря, лучше не стало. Да вы и сами видите :) Плагин — это здорово и удобно, когда нужно маленькую картинку разместить и полноразмерный просмотр при клике. Но у вас идет сразу полноразмерная картинка. Зачем ее делать кликабельной? Вставьте просто картинку, без плагина и тега <a> :)
        Сорри за оффтоп :)

        Ответить
    • Павел | 02.11.2016

      Вот что там рассматривать? И так все видно, не пудри голову автору! Прям как в картинной галерее.
      Автору большое спасибо!

      Ответить
  3. tyua | 19.06.2015

    Похожим образом настроен WSUS на Win Server 2012 R2,

    GPO выглядит следующим образом:
    Настройка автоматического обновления Включено
    Настройка автоматического обновления: 3 — авт. загрузка и уведом. об устан
    Разрешить клиенту присоединение к целевой группе Включено
    Имя целевой группы для данного компьютера Office
    Указать размещение службы обновлений Майкрософт в интрасети Включено
    Укажите службу обновлений в интрасети для поиска обновлений: _http://srv.local:8530
    Укажите сервер статистики в интрасети: _http://srv.local:8530

    Но клиенты ведут себя как-то странно, периодически на некоторых клиентах вываливается сообщение о том что компьютер будет перезагружен через 10 мин., и кнопка «отложить» заблокирована.
    Может быть знаете из за чего может быть такое поведение?

    Ответить
    • itpro | 19.06.2015

      Возможно пользователи сами запускают установку обновлений? Найдите в журнале системы событие установки обновлений и посмотрите кто его инициатор.

      Ответить
  4. Max | 28.07.2015

    Спасибо за статью.
    Почему политики AD для серверов и клиентских компьютеров не сделать разными за счет WMI фильтров по типу ОС. Таким образом сделать более простую схему управления без обязательной привязки к определенной OU ?

    Ответить
    • itpro | 28.07.2015

      В общем-то все верно, можно разделить таргетинг политик на клиенты и сервера за счет WMI фильтров GPO. С точки зрения управления это будет довольно удобно и универсально.
      Но для больших доменов с несколькими WSUS серверами и делегацией прав управления на разные контейнеры, такая схема не всегда будет эффективнее.

      Ответить
  5. Arsen | 12.12.2015

    Доброго времени суток!
    Спасибо за полезную статью, все разложено по полочкам и доступно для понимания начинающим!
    Проблема такого рода, после настройки GPO для серверов и клиентских машин не обновляется список компьютеров в WSUS. Компьютеры остаются в группе «неназначенные компьютеры», может что-то не донастроено?

    Ответить
    • itpro | 17.12.2015

      Как вы таргетируете клиентов? Через групповые политики или вручную?
      Учтите, что политики применяются не сразу, т.е. компьютеры появятся в нужной группе WSUS не сразу.
      Проверьте применяются ли политики на клиентов. Понять применилась ли политика и установлено ли правильное значение группы WSUS можно через реестр. Смотрите в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate] значение ключа «TargetGroup»

      Ответить
      • Arsen | 11.01.2016

        Добрый вечер!
        Таргетирование производится по политикам. На машине в домене по пути в регистре стоит группа для рабочих машин пользователей, но в в списке WSUS также по прежнему одна группа «Неназначенные».
        Подскажите, а влияет ли название группы каким алфавитом задано латынь или кириллица?
        Спасибо!

        Ответить
        • itpro | 12.01.2016

          Проверьте, что в настройках WSUS сервера указано как в статье Use Group Policy or registry setting on computers.
          На кириллице группы WSUS называть не приходилось, не знаю насколько корректно система будет их обрабатывать. Переименуйте их лучше в англ версии.

          Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.27MB/0.00112 sec