Настройка групповых политик WSUS

В одной из предыдущих статей мы подробно описали процедуру установки сервера WSUS на базе Windows Server 2012. Следующий этап настройки корпоративной системы установки обновлений  Windows – настройка клиентов на использование развернутого сервера WSUS. В этой статье мы рассмотрим процедуру настройки клиентов сервера WSUS с помощью групповых политик Active Directory.

Содержание:

Групповые политики AD позволяют администратору автоматически назначить  компьютеры в различные группы WSUS, избавляя его от необходимости ручного перемещения компьютеров между группами в консоли WSUS и поддержки этих групп в актуальном состоянии. Назначение клиентов к различным целевым группам WSUS основывается на метках на самом клиенте (метки задаются политикой или прямой модификацией реестра). Такой тип соотнесения клиентов к группам WSUS называется client side targeting (Таргетинг на стороне клиента).

Предполагается, что в нашей сети будут использоваться две различные политики обновления: для серверов (Servers) и для рабочих станций (Workstations).

Совет. Политика использования сервера WSUS клиентами во многом зависит от организационной структуры OU Active Directory и правил установки обновлении в организации. В этой статье мы рассмотрим всего лишь частный вариант, позволяющий понять базовые принципы использования политик AD для установки обновлений Windows.

В первую очередь необходимо указать правило группировки компьютеров в консоли WSUS (targeting). По умолчанию в консоли WSUS компьютеры распределяются по группам вручную администратором сервера (server side targeting). Нас это не устраивает, поэтому укажем, что компьютеры распределяются в группы на client side targeting (групповых политик или параметров реестра). Для этого в консоли WSUS перейдите в раздел Optionsи откройте параметр Computers. Поменяйте значение на Use Group Policy or registry setting on computers (Использовать групповые политики или значения в реестре). wsus таргетирование клиентов

Далее перейдем непосредственно к настройке клиентов WSUS с помощью GPO. Откройте консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy  и WorkstationWSUSPolicy.

Серверная политика WSUS

Начнем с описания серверной политики ServerWSUSPolicy.

Настройки групповых политик, отвечающих за работу службы обновлений Windows находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update

windows: групповые политики управления установкой обновлений

В нашем среде мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут относиться к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Клиент WSUS должен просто скачать доступные обновления, отобразить соответствующее оповещение в системном трее и ожидать подтверждения администратора для начала установки .Этим мы гарантируем, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без ведома администратора (обычно эти работы выполняются системным администратором в рамках плановых регламентных работ). Для реализации такой схемы зададим следующие политики:

  • Configure Automatic Updates: Enable. 3 – Auto download and notify for install – клиент автоматически скачивает новые обновлений и оповещает об их появлении
  • Specify Intranet Microsoft update service location: Enable.  Set the intranet update service for detecting updates: http://srv-wsus.winitpro.ru:8530, Set the intranet statistics server: http://srv-wsus.winitpro.ru:8530 – задаем адрес локального WSUS сервера и сервера статистики (обычно они совпадают)
  • No auto-restart with logged on users for scheduled automatic updates installations: Enable – запретить автоматическую перезагрузку при наличии сессии пользователя
  • Enable client-side targeting: Enable. Target group name for this computer: Servers – в консоли WSUS отнести клиенты к группе Servers
Примечание. При настройке политики обновления советуем внимательно познакомиться со всеми настройками, доступными в каждой из опций раздела GPO Windows Update и задать подходящие для вашей инфраструктуры и организации параметры.

Политика установки обновлений WSUS для рабочих станций (WorkstationWSUSPolicy)

Мы предполагаем, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью после получения обновлений. Компьютеры после установки обновлений перезагружаются автоматически (предупреждая пользователя за 5 минут).

В данной политике мы указываем:

  • Allow Automatic Updates immediate installation: Disabled — запрет на немедленную установку обновлений при их получении
  • Allow non-administrators to receive update notifications: Enabled — отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку
  • Configure Automatic Updates: Enabled.   Configure automatic updating: 4 — Auto download and schedule the install. Scheduled install day: 0 — Every day. Scheduled install time: 05:00 – клиент скачивает новые обновления и планирует их автоматическую установку на 5:00 утра
  • Target group name for this computer: Workstations – в консоли WSUS отнести клиентов к группе Workstations
  • No auto-restart with logged on users for scheduled automatic updates installations: Disabled — система автоматически перезагрузится через 5 минут после окончания установки обновлений
  • Specify Intranet Microsoft update service location: Enable.  Set the intranet update service for detecting updates: http://srv-wsus.winitpro.ru:8530, Set the intranet statistics server: http://srv-wsus.winitpro.ru:8530 –адрес корпоративного WSUS сервера

Групповая политика установки обновлений wsus на рабочих станциях

Совет. Чтобы улучшить «уровень пропатченности» компьютеров в организации, в обоих политиках можно настроить принудительный запуск службы обновлений (wuauserv) на клиенте. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).автозапуск службы обновлений windows

Назначаем политики WSUS на OU Active Directory

Следующий шаг – назначить созданные политики на соответствующие контейнеры (OU) Active Directory. В нашем примере структура OU максимально простая: имеются два контейнера – Servers (в нем содержаться все сервера организации, помимо контроллеров домена) и WKS (Workstations –компьютеры пользователей).

Совет. Мы рассматриваем лишь один довольно простой вариант привязки политик WSUS к клиентам. В реальных организациях возможно как привязать одну политику WSUS на все компьютеры домена (GPO вешается на корень домена), разнести различные компьютеры на разные OU (как в нашем примере), для распределенных сетей стоит привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные способы.

Чтобы назначить политику на OU, щелкните в консоли управления групповыми политиками по нужному OU, выберите пункт меню Link as Existing GPO и выберите соответствующую политику.

Привязка групповой политики wsus к OU Active Directory

Совет. Не забудьте про OU Domain Controllers, в большинстве случаев на этот контейнер следует привязать «серверную» политику WSUS.

Точно таким же способом нужно назначить политику WorkstationWSUSPolicy на контейнер AD с именем WKS.

Осталось обновить групповые политики на клиентах:

gpupdate /force

И через некоторое время (зависит от количества обновлений и пропускной способности канала до сервера WSUS) проверить в трее наличие всплывающего оповещений о наличии новых обновлений. В консоли WSUS в соответствующих группах должны появиться клиенты (в табличном виде отображается имя клиента, IP, ОС, процент их «пропатченности» и дата последнего обновлений статуса).

Клиенты в консоли обновлений wsus

Примечание. Если на клиенте обновления не появляются, рекомендуется внимательно изучить на проблемном клиенте лог службы обновлений Windows (C:\Windows\WindowsUpdate.log). Закачиваемые обновления сохраняются в папку C:\Windows\SoftwareDistribution\Download.  Можно попробовать запустить немедленный опрос клиентом сервера WSUS:

wuauclt /detectnow

Также иногда приходится принудительно перерегистрировать клиента на сервере WSUS:

wuauclt /detectnow /resetAuthorization

В особо сложных случаях можно попробовать починить службу wuauserv так.

В  следующей статье мы опишем особенности одобрения обновлений на сервере WSUS.


Предыдущая статья Следующая статья


Комментариев: 22 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)