Реальные заметки Ubuntu & Mikrotik & Windows

Практика настройки Ubuntu, Практика настройки Windows, Как стать системным администратором от и до

Windows Server 2012 R2

Подключаем WSUS сервер через GPO

Отekzorchik

Ноя 27, 2017 #Server 2012 R2, #wsus, #wsus gpo, #настройка gpo wsus
Прочитано: 11 266

Задача: Разобрать настройки посредством которых будет осуществлять прописывание сервера WSUS на рабочие станции под управлением Windows дабы рабочие системы получали последние обновления не из интернета, а из локальной сети одобренные системным администратором.

После того, как установили роль WSUS на систему Windows Server 2012 R2 Std нужно в оснастке Update Services перейти в OptionsComputers где изменить дефолтную настройку с «Use the Update Services console» на «Use Group Policy or registry settings on computers» после нажать ApplyOk, т. е. Только через управление групповыми политиками назначение сервиса WSUS производить регистрацию на сервере WSUS.

Затем предопределяю (Approve) какие пакеты обновлений нужно устанавливать и нацеливаю их на группу или если удалить/отменить то (Decline).

Авторизуюсь на домен контроллере с правами пользователя входящим в группу Domain Admins

Запускаю оснастку Group Policy Management и создаю политику направленную на рабочие станции или группу рабочих станций:

Win +X → Control Panels — Administrative Tools (Администрирование) — Управление групповой политикой и в текущем домене создаю: GPO_WSUS

Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы:

  • Центр обновления Windows → ставлю галочку у «Определить следующий параметр политики» и «Выберите режим запуска службы» на «Автоматически» после чего нажимаю «Применить» и «ОК».

Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Центр обновления Windows

  • Указать размещение службы обновления Майкрософт в интрасети: Включено
  • Укажите службу обновлений в интрасети для поиска обновлений: http://srv-wsus.polygon.local:8530
  • Укажите сервер статистики в интрасети: http://srv-wsus.polygon.local:8530

и нажимаю Применить и OK.

  • Настройка автоматического обновления: Включено
  • Настройка автоматического обновления: 4 — авт. Загрузка и устан. По расписанию

Установка по расписанию — день: 0 – ежедневно

Установка по расписанию — время: 20.00

и нажимаю Применить и OK.

  • Разрешить клиенту присоединение к целевой группе: Включено
  • Имя целевой группы для данного компьютера: office2010

и нажимаю Применить и OK.

  • Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи: Включено
  • Включить рекомендуемые обновления через автоматическое обновление: Включено
  • Разрешить немедленную установку автоматических обновлений: Включено
  • Частота поиска автоматических обновлений: Включено (6часов)

На сервере с ролью WSUS я отметил для пакета Office 2010, что устанавливать мне необходимо (Products and Classifications): Critical Updates, Definition Updates, Feature Packs, Security Updates, Service Packs, Update Rollups.

После нужно добавить в политику вкладка «Делегирование» права для группу «Прошедшие проверку»: чтение, дабы рабочие станции не получали сообщение при формировании результирующей: «Отказано в доступе (фильтрация ограничений безопасности») через gpresult /f /h gp.html

Итог политики:

  • Связи: Размещение: OU=WSUS
  • Фильтры безопасности: Имя компьютера в домене
  • Фильтр WMI: опционально.

Как выглядит назначенная политика

Теперь переключаюсь к рабочей станции на которую назначена данная групповая политика, у меня это W7X64 с установленным пакетом Microsoft Office 2010 Pro Rus и дабы система вот прям сейчас получила данную политику в консоли командной строки хоть из под пользователя или администратора домена запускаю команду: gpupdate /force, а после отправить систему в перезагрузку (shutdown /r /t 3) или дождаться покуда рабочая станция перезагрузится.

На заметку: и вот что еще служба Windows Updates на рабочих станциях должна быть включена: sc config wuauserv start= auto, net start wuauserv

На заметку: Если политика не применяется, то следует обратиться к лог файлу: C:\Windows\WindowsUpdate.txt дабы разъяснить данную ситуацию.

Когда политика будет применена к рабочей станции, то открыв оснастку Update Services: Computer — All Computers — группа office2010, выставив фильтр: Status: any и нажав Refresh искомый компьютер(ы) отобразятся здесь и % отношение к установленным пакетам назначенных политикой.

На заметку: многие обновления могут не устанавливать на ПК, т. к. они зависят от установки предшествующих обновлений и покуда WSUS сервер не синхронизируется с сервером обновлений Майкрософта, а после обновления не будут назначены на группу, они не смогут установиться на ПК.

У меня все получилось, заметка полностью работоспособна. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.

От ekzorchik

Всем хорошего дня, меня зовут Александр. Я под ником - ekzorchik, являюсь автором всех написанных, разобранных заметок. Большинство вещей с которыми мне приходиться разбираться, как на работе, так и дома выложены на моем блоге в виде пошаговых инструкции. По сути блог - это шпаргалка онлайн. Каждая новая работа где мне случалось работать вносила новые знания и нюансы работы и соответственно я расписываю как сделать/решить ту или иную задачу. Это очень помогает. Когда сам разбираешь задачу, стараешься ее приподнести в виде структурированной заметки чтобы было все наглядно и просто, то процесс усвоения идет в гору. Также прошу на https://win.ekzorchik.ru https://lin.ekzorchik.ru https://net.ekzorchik.ru https://voip.ekzorchik.ru https;//home.ekzorchik.ru

Похожая запись

Active Directory Windows Server 2012 R2

Что есть LAPS в реале Active Directory

Июн 30, 2019 ekzorchik
Group Policy Management Windows Server 2012 R2

GPO: Делегированный администратор в домене

Янв 30, 2019 ekzorchik
Windows Server 2012 R2

TightVNC разворачиваем приложение в домене

Ноя 14, 2018 ekzorchik