Конфигурирайте WSUS клиенти, използвайки групови политики

В предишна статия описахме подробно процедурата за инсталиране на WSUS сървър на базата на Windows Server 2012 R2 / 2016. След като сте конфигурирали сървъра, трябва да конфигурирате Windows клиенти (сървъри и работни станции), за да използват WSUS сървъра за получаване на актуализации, така че клиентите получавате актуализации от вътрешния сървър за актуализация, а не от сървърите на Microsoft Update чрез Интернет. В тази статия ще разгледаме как да конфигурирате клиентите да използват WSUS, използвайки политиките за групови домейни на Active Directory..

Съдържание:

  • Групова политика на WSUS за Windows сървъри
  • WSUS актуализира политиката за инсталиране на работни станции
  • Присвойте WSUS политики на Active Directory OU

Политиките за AD групи позволяват на администратора автоматично да назначи компютри на различни WSUS групи, като елиминира необходимостта от ръчно преместване на компютри между групи в конзолата WSUS и да поддържа тези групи актуални. Назначаването на клиенти в различни целеви групи на WSUS се основава на етикет в регистъра на клиента (етикетите се задават чрез групова политика или чрез директно редактиране на системния регистър). Извиква се този тип картографиране на WSUS клиент страна насочването (Насочване от страна на клиента).

Предполага се, че нашата мрежа ще използва две различни политики за актуализиране - отделна политика за инсталиране на актуализации за сървъри (Сървъри) и за работни станции (Работни станции). Тези две групи трябва да бъдат създадени в конзолата WSUS в секцията Всички компютри..

съвет. Политиката за използване на клиенти на сървъра за актуализиране на WSUS зависи до голяма степен от организационната структура на OU в Active Directory и правилата за инсталиране на актуализацията в организацията. В тази статия ще разгледаме само частна опция, която ви помага да разберете основните принципи за използване на AD политики за инсталиране на актуализации на Windows..

На първо място, трябва да посочите правилото за групиране на компютри в конзолата WSUS (насочване). По подразбиране в конзолата WSUS компютрите са назначени от администратора на групи ръчно (насочване от страна на сървъра). Това не ни устройва, затова показваме, че компютрите се разпределят в групи въз основа на насочването от страна на клиента (чрез конкретен ключ в клиентския регистър). За да направите това, в конзолата WSUS отидете на Опции и отворете опцията Компютри. Променете стойността на Използвайте групови правила или настройки на регистъра на компютрите (Използвайте групови правила или настройки на регистъра на компютрите). 

Сега можете да създадете GPO за конфигуриране на WSUS клиенти. Отворете конзолата за домейни за управление на групови политики и създайте две нови групови правила: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групова политика на WSUS за Windows сървъри

Нека започнем с описание на политиката на сървъра. ServerWSUSPolicy.

Настройките на груповите политики, отговорни за работата на услугата за актуализиране на Windows, са разположени в секцията за GPO: компютър Конфигурация -> политики-> административен шаблони-> Windows компонент-> Windows Актуализация (Конфигурация на компютъра -> Административни шаблони -> Компоненти на Windows -> Актуализация на Windows).

В нашата организация възнамеряваме да използваме тази политика за инсталиране на WSUS актуализации на сървъри на Windows. Предполага се, че всички компютри, попадащи под това правило, ще бъдат причислени към групата сървъри в конзолата WSUS. В допълнение, искаме да забраним автоматичното инсталиране на актуализации на сървърите, когато те са получени. Клиентът WSUS трябва просто да изтегли наличните актуализации на диска, да покаже известие за наличността на нови актуализации в системната област и да изчака администратора да започне инсталацията (ръчно или дистанционно с помощта на модула PSWindowsUpdate), за да започне инсталацията. Това означава, че производителните сървъри няма да инсталират автоматично актуализации и да рестартират без потвърждение на администратора (обикновено тези задачи се изпълняват от системния администратор като част от месечните планирани работи по поддръжката). За да приложим такава схема, ще зададем следните политики:

  • Конфигуриране автоматичен Актуализациите (Конфигурирайте автоматичните актуализации): Активиране. 3 - Автоматично изтегляне и уведомява за инсталирам (Изтегляйте автоматично актуализации и уведомявайте за готовността им за инсталиране) - клиентът автоматично изтегля нови актуализации и ги уведомява за тяхната поява;
  • Посочете Интранет Microsoft актуализация обслужване местоположение (Посочете местоположението на Microsoft Update Service в интранета): Активиране.  Задайте услугата за актуализиране на интранет за откриване на актуализации (Посочете услуга за актуализиране на интранет, за да търсите актуализации): http://srv-wsus.winitpro.ru:8530, Задайте интранет статистически сървър (Посочете статистическия сървър в интранета): http://srv-wsus.winitpro.ru:8530 - тук трябва да посочите адреса на вашия WSUS сървър и статистически сървър (обикновено те съвпадат);
  • Без автоматично рестартиране с влезли в профила си потребители за планирани автоматични актуализации (Не рестартирайте автоматично, когато актуализациите се инсталират автоматично, ако потребителят работи в системата): Активиране - забранява автоматично рестартиране в присъствието на потребителска сесия;
  • Активиране клиент-страна насочването (Разрешете на клиента да се присъедини към целевата група): Активиране. Име на целевата група за този компютър: Сървъри - в конзолата WSUS задайте клиенти на групата сървъри.
забележка. Когато настройвате правилата за актуализиране, ви съветваме внимателно да се запознаете с всички настройки, налични във всяка от опциите в секцията за GPO Windows Актуализация и задайте подходящите параметри за вашата инфраструктура и организация.

WSUS актуализира политиката за инсталиране на работни станции

Предполагаме, че актуализациите на клиентските работни станции, за разлика от правилата за сървъра, ще бъдат инсталирани автоматично през нощта веднага след получаване на актуализации. Компютрите след инсталиране на актуализации трябва да се рестартират автоматично (предупреждаване на потребителя след 5 минути).

В този GPO (WorkstationWSUSPolicy) уточняваме:

  • Позволете автоматичен Актуализациите непосредствен монтаж (Разрешаване незабавно инсталиране на автоматични актуализации): За хора с увреждания - забрана за незабавно инсталиране на актуализации при получаване;
  • Позволете нестопанска-администраторите за получавам актуализация известия (Разрешаване на не-администраторите да получават известия за актуализация): Enabled - Покажете на не-администраторите предупреждение за нови актуализации и позволете ръчната им инсталация;
  • Конфигуриране на автоматичните актуализации: Enabled.   Конфигурирайте автоматично актуализиране: 4 - Автоматично изтегляне и планиране на инсталирането. Планиран ден за инсталиране: 0 - всеки ден. Планирано време за инсталиране: 05:00 - след получаване на нови актуализации, клиентът изтегля в локалния кеш и планира автоматично да ги инсталира в 5:00 сутринта;
  • Име на целевата група за този компютър: Работни станции - в конзолата WSUS задайте клиента на групата Workstations;
  • Няма автоматично рестартиране с влезли от потребителите за инсталирани автоматични актуализации инсталации: За хора с увреждания - системата автоматично ще се рестартира 5 минути след инсталирането на актуализациите;
  • Посочете местоположението на услугата за актуализиране на Microsoft в Intranet: Активиране. Задайте услугата за актуализиране на интранет за откриване на актуализации: http://srv-wsus.winitpro.ru:8530, Задаване на интранет статистическия сървър: http://srv-wsus.winitpro.ru:8530 -адрес на корпоративния WSUS сървър.

В Windows 10 1607 и по-нови версии, въпреки че сте им казали да получават актуализации от вътрешния WSUS, те все още могат да се опитат да осъществят достъп до сървърите на Windows Update в Интернет. Тази "функция" се нарича двоен преглеждане. За да деактивирате получаването на актуализации от интернет, трябва допълнително да активирате правилата Do не позволи актуализация отлагане политики за кауза сканиране срещу Windows Актуализация (Референтен).

съвет. За да подобрите "кръпканото ниво" на компютрите в организацията, и в двете политики можете да конфигурирате принудителното стартиране на услугата за актуализиране (wuauserv) на клиенти. За това в раздела Конфигурация на компютъра -> Политики-> Настройки на Windows -> Настройки за защита -> Системни услуги намерете услугата за актуализиране на Windows и я настройте да се стартира автоматично (автоматичен).

Присвойте WSUS политики на Active Directory OU

Следващата стъпка е да присвоите създадените правила към подходящите контейнери на Active Directory (OU). В нашия пример структурата на OU в AD домейна е възможно най-проста: има два контейнера - сървъри (съдържа всички сървъри на организацията, в допълнение към контролерите на домейни) и WKS (компютри, работещи с потребителски станции).

съвет. Ние обмисляме само един доста прост вариант за обвързване на WSUS политики към клиентите. В реални организации е възможно да се обвърже една политика на WSUS към всички компютри в даден домейн (GPO с WSUS настройки е окачен в основата на домейна), да се разпространяват различни видове клиенти в различни ОУ (както в нашия пример създадохме различни WSUS политики за сървъри и работни станции), като цяло разпределените домейни могат да свързват различни WSUS сървъри към AD сайтове, или да назначават GPO, базирани на WMI филтри, или да комбинират горните методи.

За да присвоите политика на OU, щракнете върху желания OU в конзолата за управление на групови политики, изберете елемента от менюто Връзка като съществуващ GPO и изберете подходящата политика.

съвет. Не забравяйте за отделен OU с контролери на домейни (Domain Controllers), в повечето случаи правилата на WSUS сървъра трябва да бъдат зададени на този контейнер.

По абсолютно същия начин трябва да присвоите политиката WorkstationWSUSPolicy на контейнера AD WKS, в който са разположени работните станции на Windows.

Остава да актуализираме груповите политики на клиентите, за да обвържем клиента със WSUS сървъра:

gpupdate / force

Всички настройки на системата за актуализиране на Windows, които сме задали чрез групови правила, трябва да се показват в клиентския регистър в клона HKEY_LOCAL_MACHINE \ SOFTWARE \ Политики \ Microsoft \ Windows \ WindowsUpdate.

Този reg файл може да се използва за прехвърляне на WSUS настройки на други компютри, на които не е възможно да се конфигурират настройки за актуализиране с помощта на GPO (компютри в работна група, изолирани сегменти, DMZ и т.н.)

Версия на редактора на системния регистър на Windows 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Политики \ Microsoft \ Windows \ WindowsUpdate]
"WUServer" = "http://srv-wsus.winitpro.ru:8530"
"WUStatusServer" = "http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate" = ""
"TargetGroupEnabled" = dword: 00000001
"TargetGroup" = "Сървъри"
"ElevateNonAdmins" = dword: 00000000
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Политики \ Microsoft \ Windows \ WindowsUpdate \ AU]
"NoAutoUpdate" = dword: 00000000 -
„AUOptions“ = dword: 00000003
"ScheduledInstallDay" = dword: 00000000
"ScheduledInstallTime" = dword: 00000003
"ScheduledInstallEveryWeek" = dword: 00000001
"UseWUServer" = dword: 00000001
"NoAutoRebootWithLoggedOnUsers" = dword: 00000001

Също така е удобно да наблюдавате приложените WSUS настройки на клиенти, използвайки rsop.msc.

И след известно време (в зависимост от броя на актуализациите и честотната лента на канала към WSUS сървъра), трябва да проверите в тавата изскачащите предупреждения за нови актуализации. Клиентите трябва да се появят в конзолата WSUS в съответните групи (таблицата показва името на клиента, IP, OS, процентът на тяхното „кръпка“ и датата на последната актуализация на състоянието). защото ние сме назначили компютри и сървъри на различни групи от WSUS от политиците, те ще получават само актуализации, одобрени за инсталиране на съответните групи WSUS.

забележка. Ако на клиента не се появяват актуализации, препоръчително е внимателно да проучите дневника на услугата за актуализиране на Windows на проблемния клиент (C: \ Windows \ WindowsUpdate.log). Имайте предвид, че Windows 10 (Windows Server 2016) използва различен формат на дневника за актуализиране на WindowsUpdate.log. Клиентът изтегля актуализации в локалната папка C: \ Windows \ SoftwareDistribution \ Download. За да започнете търсенето на нови актуализации на WSUS сървъра, трябва да стартирате командата:

wuauclt / detectnow

Също така понякога се налага да принуждавате клиента да се пререгистрира на WSUS сървъра:

wuauclt / detectnow / resetAuthorization

В особено трудни случаи можете да опитате да поправите услугата wuauserv по този начин. Ако възникне грешка 0x80244010 по време на получаване на актуализации от клиенти, опитайте да промените честотата на проверка за актуализации на WSUS сървъра, като използвате политиката за автоматично установяване на автоматично актуализиране.

В следващата статия описваме характеристиките на одобряването на актуализации на WSUS сървър. Препоръчваме ви също да прочетете статията за прехвърляне на одобрени актуализации между групите на WSUS сървъра..