29.09.2021

Настройка клиентов WSUS групповыми политиками

Главная Форумы ОС, сети, софт, настройка, hack Семейство Windows windows server Настройка клиентов WSUS групповыми политиками

  • Эта тема пуста.
Просмотр 1 сообщения - с 1 по 1 (всего 1)
  • Автор
    Сообщения
  • #1436
    Аноним
    Неактивированный

    В статье показано как настроить клиентов средствами групповых политик на получение обновлений посредством сервера WSUS под управлением Windows 2012 R2 Server.

    Итак, подразумевается что у Вас имеется установленный Wsus сервер, Групповые политики Active Directory (далее GPO) позволяют системным администраторам автоматически указать клиентов в различные группы WSUS сервера, избавляя от необходимости ручного перемещения компьютеров между группами в WSUS консоли. Такое назначение клиентов к различным группам основывается на основе меток на клиенте, такие метки задаются политикой или простой модификацией реестра. Данный тип соотнесения клиентов к группам WSUS называется Таргетинг на стороне клиента (client side targeting).

    Обычно используются две различные политики обновления: для рабочих станций (workstations) и для серверов (Servers). Сначала указываем правило группировки клиентских компьютеров в WSUS консоли. По умолчанию в консоли компьютеры распределяются по группам вручную (server side targeting). Укажем, что клиенты распределяются в группы на основе client side targeting (групповых политик или параметров реестра). Для этого в WSUS консоли перейдите в раздел Options откройте параметр Computers и замените значение на Use Group Policy or registry setting on computers (Использовать групповые политики или значения в реестре, см скрин).

    [img]http://holpa.ru/img/img/2018-10/15/6ce1vi2j2l7g27cm7qa1nh150.jpg[/img]

    После этого начнем непосредственную настройку клиентов WSUS с помощью групповых политик (GPO). Откройте консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

    Групповая политика установки обновлений WSUS для рабочих станций (WorkstationWSUSPolicy)


    Логика политики интуитивно понятна, в нашем случаем мы планируем устанавливать обновления автоматически ночью после их получения. Клиенты после установки обновлений перезагружаются автоматически (предупреждая пользователя за 10 минут). Открываем консоль редактирования GPO (gpmc.msc), переходим в Настройки групповых политик:

    Code:

    Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows (Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update)

    В политике указываем:

    Allow Automatic Updates immediate installation: Disabled — запрещаем немедленную установку обновлений при их получении

    Allow non-administrators to receive update notifications: Enabled — отображать пользователям предупреждение о появлении новых обновлений и разрешить их ручную установку

    Configure Automatic Updates: Enabled. Configure automatic updating: 4 — Auto download and schedule the install. Scheduled install day: 0 — Every day. Scheduled install time: 03:00 – клиентский ПК скачивает новые обновления и планирует их автоматическую установку на 3:00 утра

    Target group name for this computer: Workstations – в консоли WSUS отнести клиентов к группе Workstations

    No auto-restart with logged on users for scheduled automatic updates installations: Disabled — система автоматически перезагрузится через 10 минут после окончания установки обновлений

    Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: http://wsus:8530, Set the intranet statistics server: http://wsus:8530 –адрес корпоративного WSUS сервера

    Если Вы указываете адрес http://wsus, убедитесь что данный адрес разрешается ДНС (ping wsus), если нет то добавите адрес в ДНС сервер.

    Групповая политика установки обновлений WSUS для серверов (ServerWSUSPolicy)

    Напоминаем, что настройки групповых политик отвечающих за работу службы обновлений Windows находятся в разделе GPO:

    Code:

    Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Window).


    [img]http://holpa.ru/img/img/2018-10/15/levuvg604iubwqlsgp5fqk0jp.jpg[/img]

    Данная политика предназначена для серверов, доступность которых нам нужна непрерывная, по крайней мере в рабочее время. Для этого мы запрещаем автоматическую установку обновлений на целевых серверах при их получении. Предпологается, что клиент WSUS сервера должен просто скачать доступные обновления, после чего отобразить оповещение и ожидать подтверждения системного администратора для начала его установки .Таким образом мы гарантируем, что боевые сервера не будут автоматически устанавливать обновления и перезагружаться без контроля администратора.

    В политике указываем:

    Не отображать параметр «Установить обновления и завершить работу» — Отключена. (Если данный параметр отключен, то уведомление при завершении работы появиться)

    Всегда автоматически перезагружаться в запланированное время — Отключена. (Если не настроить данный параметр политики, то Центр обновления не меняет стандартные правила перезагрузки)

    Указать размещение службы обновлений Microsoft во внутренней сети: Включена. Один из ключевых параметров: – задаем адрес локального WSUS сервера и сервера статистики (обычно они совпадают), http://wsus:8530.

    Разрешить клиенту присоединение к целевой группе. — Включена.

    [img]http://holpa.ru/img/img/2018-10/15/zcekirqwlusf6qk809rxhrfnu.jpg[/img]

    Совет. Рекомендуем в обоих политиках настроить принудительный запуск службы обновлений (wuauserv) на клиенте, чтобы быть уверенным что обновления дойдут до целевого сервера. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services (в русской локализации: Конфигурация компьютера -> Политики ->Параметры безопасности->Системные службы), найдите службу Центр обновления Windows (wuauserv) и задайте для нее тип запуска «Автоматически».

    Назначаем политику WSUS на OU (контейнер) в Active Directory

    Далее назначим стандартным способом политику на имеющиеся у нас контейнеры, в нашем случае это два контейнера для рабочих станций (workstations) и для серверов (Servers). В данном примере мы рассматриваем самый простой вариант привязки политик WSUS к компьютерам. В реальных условиях можно распространить одну политику WSUS на всех доменах (GPO привязывается к корню домена) или разнести различных клиентов на разные контейнеры. Для больших и распределенных сетей стоит привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные выше способы.

    Чтобы привязать созданную политику к контейнеру запустите оснастку редактирования групповых политик (gpmc.msc), нажмите правой кнопкой на контейнер -> Привязать существующий обьект групповой политики, и указать контейнер с серверами, в нашем примере сервера в контейнере Servers. Также это можно сделать перетащив групповую политику drag&drop в контейнер, автоматически создастся ссылка на политику (черная стрелка), что означает политика привязана к контейнеру. Далее нажмите на контейнере правой кнопкой и -> обновление групповой политики.

    Для ускорения получения политики на клиенте можно выполнить команду: gpupdate /force, данная команда инициирует немедленное применение групповой политики.

    И через небольшой промежуток времени можно проверить клиентов на наличие всплывающего оповещений о наличии новых обновлений. В WSUS консоли в соответствующих группах должны появиться клиенты (в таблице отображается имя клиента, IP, ОС, процент их «обновленности» и дата последнего обновлений статуса).

    [img]http://holpa.ru/img/img/2018-10/15/uqk3py42atj456rnjp7bn7nos.jpg[/img]

    Для управления Windows Server Update Services (WSUS) и службой Wuauclt имеется ряд команд, самые распространенные из них:

    /DetectNow — поиск обновлений

    /ResetAuthorization — запрос на обновление авторизации

    runas /user:admin «wuauclt /detectnow» — поиск обновлений под определенным пользователем

    /ReportNow — сформировать отчет

Просмотр 1 сообщения - с 1 по 1 (всего 1)
  • Для ответа в этой теме необходимо авторизоваться.