Gpo windows update server — Ваш верный помощник с OS Windows

Для централизованной настройки параметров получения и установки обновлений на рабочих станциях и серверах Windows можно использовать групповые политики. В этой статье мы рассмотрим базовые параметры GPO, которые позволяют управлять установкой обновлений на компьютерах, получающих обновления от локального сервера WSUS или напрямую с серверов Windows Update в интернете.

Содержание:

Настройка параметров получения обновлений клиентам WSUS через GPO
Назначить групповые политики WSUS на OU с компьютерами
Применение групповых политик Windows Update на клиентах
GPO для получения и установки обновлений Windows Update через Интернет

Настройка параметров получения обновлений клиентам WSUS через GPO

Если у вас развернут собственный сервер обновлений Windows Server Update Services (WSUS), вы должны настроить рабочие стации и сервера в вашем домене AD для получения обновлений с него (а не с серверов Microsoft Update через Интернет).

В нашем случае мы хотим создать две разные политики установки обновлений для рабочих станций и серверов. Для этого откройте консоль управления WSUS (
wsus.msc
) на сервере и создайте в разделе Computers -> All Computers две группы компьютеров:

Workstations
Servers

Затем перейдите в раздел настройки сервера WSUS (Options), и в параметре Computers измените значение Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).

Настройка параметров клиентов wsus через GPO

Эта опция включает client side targeting для клиентов WSUS (таргетинг на стороне клиента). Благодаря этому вы сможете автоматически распределить компьютеры по группам обновлений в консоли WSUS по специальной метке в реестре клиента (такая метка создается через GPO или напрямую в реестре.

Теперь откройте консоль управления доменные групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Начнем с описания серверной политики ServerWSUSPolicy.

Настройки параметров службы обновлений Windows, находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows).

групповая политика для настройки wsus клиентов

Мы хотим, чтобы продуктивные сервера не устанавливали обновления автоматически и не перезагружались без подтверждения администратора. Для этого настроим GPO так, чтобы сервера автоматически скачивали доступные обновления, но не устанавливали их. Администраторы будут запускать установку обновлений вручную (из панели управления или с помощью модуля PSWindowsUpdate) в согласованные окна обслуживания.

Настроим следующие параметры политики:

Configure Automatic Updates (Настройка автоматического обновления):
Enable
.
3 – Auto download and notify for install
(Автоматически загружать обновления и уведомлять об их готовности к установке) – клиент автоматически скачивает новые обновлений и оповещает об их наличии;
Specify Intranet Microsoft update service location (Указать размещение службы обновлений Майкрософт в интрасети): Enable. Set the intranet update service for detecting updates (Укажите службу обновлений в интрасети для поиска обновлений):
http://srv-wsus.winitpro.ru:8530
, Set the intranet statistics server (Укажите сервер статистики в интрасети):
http://srv-wsus.winitpro.ru:8530
– здесь нужно указать адрес вашего сервера WSUS и сервера статистики (обычно они совпадают);
No auto-restart with logged on users for scheduled automatic updates installations (Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователя):
Enable
– запретить автоматическую перезагрузку при наличии сессии пользователя;
Enable client-side targeting (Разрешить клиенту присоединение к целевой группе):
Enable
. Target group name for this computer (Имя целевой группы для данного компьютера):
Servers
– в консоли WSUS отнести клиенты к группе Servers

Для рабочих станций мы хотим включить автоматическую загрузку и установку Windows Update сразу после получения новых обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически в нерабочее время (с предварительным предупреждением пользователей).

В настройках WorkstationWSUSPolicy указываем:

Allow Automatic Updates immediate installation (Разрешить немедленную установку автоматических обновлений):
Disabled
— запрет на немедленную установку обновлений при их получении;
Allow non-administrators to receive update notifications (Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях):
Enabled
— отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку;
Configure auto-restart reminder notifications for updates и Configure auto-restart warning notifications schedule for updates – показывать пользователям уведомления о перезагрузке
Configure Automatic Updates:
Enabled
. Configure automatic updating:
4 — Auto download and schedule the install
. Scheduled install day:
0 — Every day
. Scheduled install time:
05:00
– при получении новых обновлений клиент скачивает в локальный кэш и планирует их автоматическую установку на 5:00 утра;
Enable client-side targeting:
Workstations
– в консоли WSUS отнести клиента к группе Workstations;
No auto-restart with logged on users for scheduled automatic updates installations:
Disabled
— система автоматически перезагрузится через 5 минут после окончания установки обновлений;
Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates:
http://srv-wsus.winitpro.ru:8530
, Set the intranet statistics server:
http://srv-wsus.winitpro.ru:8530
–адрес WSUS сервера.
Включите опции Do not allow update deferral policies to cause scans against Windows Update (ссылка) и Do not connect to any Windows Update Internet locations. Это позволит предотвратить обращение клиента к серверам Windows Update в интернете.
Turn off auto-restart for updates during active hours –
Enabled
. Отключить авто перезагрузку после установки обновлений в рабочее время (задать интервал рабочего времени в политике Active Hours Start и Active Hours End. Например, с 8 AM до 5 PM)

Групповая политика установки обновлений wsus на рабочих станциях

В обеих GPO включите принудительный запуск службы Windows Update (
wuauserv
) на компьютерах. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).

Назначить групповые политики WSUS на OU с компьютерами

Затем в консоли управления GPO прилинкуйте созданные вами политики к соответствующим контейнерам (подразумевается что для серверов и рабочих станций в AD созданы отдельные контейнеры OU).

Совет. Мы рассматриваем лишь один довольно простой вариант привязки политик WSUS к клиентам. В реальных организациях возможно привязать одну политику WSUS на все компьютеры домена (GPO с настройками WSUS вешается на корень домена), разнести различные виды клиентов по разным OU (как в нашем примере – мы создали разные политики WSUS для серверов и рабочих станций). В больших распределенных доменах можно привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные способы.

Щелкните в консоли GPMC по нужному OU, выберите пункт меню Link as Existing GPO и привяжите нужную политику WSUS.

Привязка групповой политики wsus к OU Active Directory

Совет. Также привяжите серверную политику WSUS к OU Domain Controllers.

Аналогично назначьте политику для компьютеров на OU с рабочими станциями.

Применение групповых политик Windows Update на клиентах

Дождитесь применения новых настроек GPO на клиентах или обновите их вручную:

gpupdate /force

Чтобы с клиента ускорить процесс регистрации и сканирования состояния на сервере WSUS, выполните команды:

$updateSession = new-object -com "Microsoft.Update.Session"; $updates=$updateSession.CreateupdateSearcher().Search($criteria).Updates wuauclt /reportnow

Все настройки Windows Update, которые мы задали групповыми политиками должны появится на клиентах в ветке реестре HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Настройки из этой ветки можно экспортировать в REG файл и использовать его для переноса настроек WSUS на другие компьютеры, на которых нельзя задать параметры обновления с помощью GPO (компьютеры в рабочей группе, изолированных сегментах, DMZ и т.д.)

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"="http://srv-wsus.winitpro.ru:8530" "WUStatusServer"="http://srv-wsus.winitpro.ru:8530" "UpdateServiceUrlAlternate"="" "TargetGroupEnabled"=dword:00000001 "TargetGroup"="Servers" "ElevateNonAdmins"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAutoUpdate"=dword:00000000 – "AUOptions"=dword:00000003 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:00000003 "ScheduledInstallEveryWeek"=dword:00000001 "UseWUServer"=dword:00000001 "NoAutoRebootWithLoggedOnUsers"=dword:00000001

reg файл для настройки клиента на WSUS сервер

Через некоторое время все клиенты появятся в назначенных группах компьютеров в консоли WSUS. Здесь будут видны имена компьютеров, IP адреса, версии ОС, процент их пропатченности и дата последнего сканирования.

Клиенты скачивают CAB файлы обновлений в каталог
%windir%\SoftwareDistribution\Download
. Логи сканирования, загрузки и установки обновлений можно получить из файлов WindowsUpdate.log.

Папка SoftwareDistribution Download кэш скачанных обновлений Windows на компьютере

GPO для получения и установки обновлений Windows Update через Интернет

Если у вас отсутствует собственный сервер WSUS, вы можете использовать рассмотренные выше групповые политики для настройки параметров получения и установки обновлений на компьютеры из интернета (с серверов Windows Update).

В этом случае задайте в Not configured все параметры GPO, которые задают получение обновлений с WSUS:

Specify Intranet Microsoft update service location: Not set
Target group name for this computer: Not Set
Do not allow update deferral policies to cause scans against Windows Update: Disabled
Do not connect to any Windows Update Internet locations: Disabled

При таких настройках через GPO вы можете управлять тем, как компьютеры скачивают и устанавливают обновления Windows.

Такоие настройки GPO позволяет вам управлять тем, как компьютеры скачивают и устанавливают обновления Windows.

Источник

Настройка клиентов WSUS с помощью групповых политик

После того, как вы настроили сервер, нужно настроить Windows-клиентов (сервера и рабочие станции) на использование сервера WSUS для получения обновлений, чтобы клиенты получали обновления с внутреннего сервера обновлений, а не с серверов Microsoft Update через Интернет. В этой статье мы рассмотрим процедуру настройки клиентов на использование сервера WSUS с помощью групповых политик домена Active Directory.

Групповые политики AD позволяют администратору автоматически назначить компьютеры в различные группы WSUS, избавляя его от необходимости ручного перемещения компьютеров между группами в консоли WSUS и поддержки этих групп в актуальном состоянии. Назначение клиентов к различным целевым группам WSUS основывается на метке в реестре на клиенте (метки задаются групповой политикой или прямым редактированием реестра). Такой тип соотнесения клиентов к группам WSUS называется client side targeting (Таргетинг на стороне клиента).

Предполагается, что в сети будут использоваться две различные политики обновления — отдельная политика установки обновлений для серверов (Servers) и для рабочих станций (Workstations). Эти две группы нужно создать в консоли WSUS в секции All Computers.

Совет. Политика использования сервера обновлений WSUS клиентами во многом зависит от организационной структуры OU в Active Directory и правил установки обновлении в организации. В этой статье мы рассмотрим всего лишь частный вариант, позволяющий понять базовые принципы использования политик AD для установки обновлений Windows.

В первую очередь необходимо указать правило группировки компьютеров в консоли WSUS (targeting). По умолчанию в консоли WSUS компьютеры распределяются администратором по группам вручную (server side targeting). Нас это не устраивает, поэтому укажем, что компьютеры распределяются в группы на основе client side targeting (по определенному ключу в реестре клиента). Для этого в консоли WSUS перейдите в раздел Options и откройте параметр Computers. Поменяйте значение на Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).

Теперь можно создать GPO для настройки клиентов WSUS. Откройте доменную консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групповая политика WSUS для серверов Windows

Начнем с описания серверной политики ServerWSUSPolicy.

Настройки групповых политик, отвечающих за работу службы обновлений Windows, находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows).

В данной организации мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут отнесены к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Клиент WSUS должен просто скачать доступные обновления на диск, отобразить оповещение о наличии новых обновлений в системном трее и ожидать запуска установки администратором (ручной или удаленной с помощью модуля PSWindowsUpdate) для начала установки. Это значит, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без подтверждения администратора (обычно эти работы выполняются системным администратором в рамках ежемесячных плановых регламентных работ). Для реализации такой схемы зададим следующие политики:

Configure Automatic Updates (Настройка автоматического обновления): Enable. 3 – Auto download and notify for install (Автоматически загружать обновления и уведомлять об их готовности к установке) – клиент автоматически скачивает новые обновлений и оповещает об их появлении;
Specify Intranet Microsoft update service location (Указать размещение службы обновлений Майкрософт в интрасети): Enable. Set the intranet update service for detecting updates (Укажите службу обновлений в интрасети для поиска обновлений): http://srv-wsus.itoservice.ru:8530, Set the intranet statistics server (Укажите сервер статистики в интрасети): http://srv-wsus.itoservice.ru:8530 – здесь нужно указать адрес вашего сервера WSUS и сервера статистики (обычно они совпадают);
No auto-restart with logged on users for scheduled automatic updates installations (Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователя): Enable – запретить автоматическую перезагрузку при наличии сессии пользователя;
Enable client-side targeting (Разрешить клиенту присоединение к целевой группе): Enable. Target group name for this computer (Имя целевой группу для данного компьютера): Servers – в консоли WSUS отнести клиенты к группе Servers.

Примечание. При настройке политики обновления советуем внимательно познакомиться со всеми настройками, доступными в каждой из опций раздела GPO Windows Update и задать подходящие для вашей инфраструктуры и организации параметры.

Политика установки обновлений WSUS для рабочих станций

Предполагается, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью сразу после получения обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически (предупреждая пользователя за 5 минут).

В данной GPO (WorkstationWSUSPolicy) мы указываем:

Allow Automatic Updates immediate installation (Разрешить немедленную установку автоматических обновлений): Disabled — запрет на немедленную установку обновлений при их получении;
Allow non-administrators to receive update notifications (Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях): Enabled — отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку;
Configure Automatic Updates: Enabled. Configure automatic updating: 4 — Auto download and schedule the install. Scheduled install day: 0 — Every day. Scheduled install time: 05:00 – при получении новых обновлений клиент скачивает в локлаьный кэш и планирует их автоматическую установку на 5:00 утра;
Target group name for this computer: Workstations – в консоли WSUS отнести клиента к группе Workstations;
No auto-restart with logged on users for scheduled automatic updates installations: Disabled — система автоматически перезагрузится через 5 минут после окончания установки обновлений;
Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: http://srv-wsus.itoservice.ru:8530, Set the intranet statistics server: http://srv-wsus.itoservice.ru:8530 –адрес корпоративного WSUS сервера.

В Windows 10 1607 и выше, несмотря на то, что вы указали им получать обновления с внутреннего WSUS, все еще могут пытаться обращаться к серверам Windows Update в интернете. Эта «фича» называется Dual Scan. Для отключения получения обновлений из интернета нужно дополнительно включать политику Do not allow update deferral policies to cause scans against Windows Update .

Совет. Чтобы улучшить «уровень пропатченности» компьютеров в организации, в обоих политиках можно настроить принудительный запуск службы обновлений (wuauserv) на клиентах. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).

Назначаем политики WSUS на OU Active Directory

Следующий шаг – назначить созданные политики на соответствующие контейнеры (OU) Active Directory. В рассматриваемом примере структура OU в домене AD максимально простая: имеются два контейнера – Servers (в нем содержаться все сервера организации, помимо контроллеров домена) и WKS (Workstations –компьютеры пользователей).

Совет. Рассматривается лишь один довольно простой вариант привязки политик WSUS к клиентам. В реальных организациях возможно привязать одну политику WSUS на все компьютеры домена (GPO с настройками WSUS вешается на корень домена), разнести различные виды клиентов по разным OU (как в примере – создали разные политики WSUS для серверов и рабочих станций), в больших распределенных доменах можно привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные способы.

Чтобы назначить политику на OU, щелкните в консоли управления групповыми политиками по нужному OU, выберите пункт меню Link as Existing GPO и выберите соответствующую политику.

Совет. Не забудьте про отдельную OU с контроллерами домена (Domain Controllers), в большинстве случаев на этот контейнер следует привязать «серверную» политику WSUS.

Точно таким же способом нужно назначить политику WorkstationWSUSPolicy на контейнер AD WKS, в котором находятся рабочие станции Windows.

Осталось обновить групповые политики на клиентах для привязки клиента к серверу WSUS:

gpupdate /force

Все настройки системы обновлений Windows, которые мы задали групповыми политиками должны появится в реестре клиента в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Данный reg файл можно использовать для переноса настроек WSUS на другие компьютеры, на которых не удается настроить параметры обновлений с помощью GPO (компьютеры в рабочей группе, изолированных сегментах, DMZ и т.д.)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
«WUServer»=»http://srv-wsus.winitpro.ru:8530»
«WUStatusServer»=»http://srv-wsus.winitpro.ru:8530»
«UpdateServiceUrlAlternate»=»»
«TargetGroupEnabled»=dword:00000001
«TargetGroup»=»Servers»
«ElevateNonAdmins»=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
«NoAutoUpdate»=dword:00000000 –
«AUOptions»=dword:00000003
«ScheduledInstallDay»=dword:00000000
«ScheduledInstallTime»=dword:00000003
«ScheduledInstallEveryWeek»=dword:00000001
«UseWUServer»=dword:00000001
«NoAutoRebootWithLoggedOnUsers»=dword:00000001

Также удобно контролировать применённые настройки WSUS на клиентах с помощью rsop.msc.

И через некоторое время (зависит от количества обновлений и пропускной способности канала до сервера WSUS) нужно проверить в трее наличие всплывающего оповещений о наличии новых обновлений. В консоли WSUS в соответствующих группах должны появиться клиенты (в табличном виде отображается имя клиента, IP, ОС, процент их «пропатченности» и дата последнего обновлений статуса). Т.к. мы политиками привязали компьютеры и серверы к различным группам WSUS, они будут получать только обновления, одобренные к установке на соответствующие группы WSUS.

Примечание. Если на клиенте обновления не появляются, рекомендуется внимательно изучить на проблемном клиенте лог службы обновлений Windows (C:\Windows\WindowsUpdate.log). Обратите внимание, что в Windows 10 (Windows Server 2016) используется другой формат журнала обновлений WindowsUpdate.log. Клиент скачивает обновления в локальную папку C:\Windows\SoftwareDistribution\Download. Чтобы запустить поиск новых обновлений на WSUS сервере, нужно выполнить команду:

wuauclt /detectnow

Также иногда приходится принудительно перерегистрировать клиента на сервере WSUS:

wuauclt /detectnow /resetAuthorization

В особо сложных случаях можно попробовать починить службу wuauserv. При возникновении ошибки 0x80244010 при получении обновлений на клиентах, попробуйте изменить частоту проверки обновлений на сервере WSUS с помощью политики Automatic Update detection frequency.

Источник

In the previous articles, we have described the steps on How to Install and Configure the WSUS server role on Windows Server 2019. In this post, we will configure the group policy settings to deploy automatic updates for client computers.

Overview:

After installing and configure the WSUS server role, the next step is to configure group policy settings to determine how WSUS clients will receive the updates.

We need to direct each client to communicate with WSUS Server to check for new updates instead of using Microsoft Update over the Internet. Using group policy, you can point your client machines to use the local WSUS server instead of Microsoft Update Server.

With an active directory environment, you can use Group Policy to specify the WSUS server. You can create the group policy and apply it at the domain level. You can also apply the GPO to a specific OU if you want to target specific computers only.

Steps to create a new GPO:

From Server Manager, click on Tools. Then select Group Policy Management.

Expand your domain name. Then expand the Group Policy Objects container.

To create a new GPO, Right-click on the Group Policy Objects and select new.

Give a meaningful name to the new GPO. For example, Test WSUS GPO. Click on OK.

Steps to setup the WSUS group policy settings:

Right-click on newly created GPO and select edit.

Navigate to Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update.

There are several policies related to WSUS settings. Of course, you do not have to enable all of them.

Locate and double-click a policy name “Specify Intranet Microsoft Update Service Location”.

To enable the policy, select the Enabled radio button.

Specify the intranet update service and intranet statistics server. In our case, the location will be http://ws2k19-wsus.mylab.local:8530. Click Apply and OK.

Locate and double-click on a “Configure Automatic Updates policy”.

Click Enabled and select one of the following options:

Notify for download and auto-install: This option notifies a logged-on administrative user before the download and before the installation of the updates.

Auto download and notify for install: This option automatically begins downloading updates and then notifies a logged-on administrative user before installing the updates.

Auto download and schedule the install: If Automatic Updates is configured to perform a scheduled installation, you must also set the day and time for the recurring scheduled installation.

Allow local admin to choose setting: With this option, the local administrators are allowed to use Automatic Updates in Control Panel to select a configuration option of their choice. For example, they can choose their own scheduled installation time. Local administrators are not allowed to disable Automatic Updates.

Once you ready, click on Apply and OK.

Automatic Update detection frequency policy specifies the hours that Windows will use to determine how long to wait before checking for available updates.

Double click on “Automatic Update detection frequency” policy.

Set the option as per your requirement. Click on Apply and OK.

15_enable_the_policy_and_save_the_changes

Close the group policy editor console.

At a minimum, we need to configure these three policies for WSUS server.

Link the GPO to the OU containing computer accounts.

Steps to link the WSUS GPO to OU:

For this article, we have created one OU name TestServerAccounts. Under the OU we have stored the computer account of our member server WS2K19-SRV01. For testing purposes, we will link the GPO to this OU and check the result on the WS2K19-SRV01 server.

Right click on TestServerAccounts OU and select Link an existing GPO option.

Select the GPO which we have created earlier. Click on OK.

Test the GPO settings:

It will take about 20 minutes after Group Policy refreshes the new settings to the client computer. By default, Group Policy refreshes in the background every 90 minutes, with a random offset of 0 to 30 minutes. If you want to refresh Group Policy sooner, you can go to a command prompt on the client computer and type: “gpupdate /force”.

If you’ve followed this article, you should see your servers or computers under the Unassigned Computers group.

22_verify_computer_account_in_wsus_console

In case, your computer account does not appears in WSUS console, you can run command “wuauclt /detectnow” and “wuauclt /reportnow” on client PCs.

That command will force client PC to contact the WSUS server immediately.

This completes the steps to configure the Group Policy Settings for WSUS in Windows Server 2019. I am sure this guide will help you to set up the WSUS.

Install and Configure WSUS on Windows Server 2019 – Part 1
Install and Configure WSUS on Windows Server 2019 – Part 2
Configure client-side targeting in WSUS server 2019

Post Views: 6,413

Источник

Прочитано: 11 971

Задача: Разобрать настройки посредством которых будет осуществлять прописывание сервера WSUS на рабочие станции под управлением Windows дабы рабочие системы получали последние обновления не из интернета, а из локальной сети одобренные системным администратором.

После того, как установили роль WSUS на систему Windows Server 2012 R2 Std нужно в оснастке Update Services перейти в Options — Computers где изменить дефолтную настройку с «Use the Update Services console» на «Use Group Policy or registry settings on computers» после нажать Apply — Ok, т. е. Только через управление групповыми политиками назначение сервиса WSUS производить регистрацию на сервере WSUS.

Затем предопределяю (Approve) какие пакеты обновлений нужно устанавливать и нацеливаю их на группу или если удалить/отменить то (Decline).

Авторизуюсь на домен контроллере с правами пользователя входящим в группу Domain Admins

Запускаю оснастку Group Policy Management и создаю политику направленную на рабочие станции или группу рабочих станций:

Win +X → Control Panels — Administrative Tools (Администрирование) — Управление групповой политикой и в текущем домене создаю: GPO_WSUS

Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы:

Центр обновления Windows → ставлю галочку у «Определить следующий параметр политики» и «Выберите режим запуска службы» на «Автоматически» после чего нажимаю «Применить» и «ОК».

Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Центр обновления Windows

Указать размещение службы обновления Майкрософт в интрасети: Включено
Укажите службу обновлений в интрасети для поиска обновлений: http://srv-wsus.polygon.local:8530
Укажите сервер статистики в интрасети: http://srv-wsus.polygon.local:8530

и нажимаю Применить и OK.

Настройка автоматического обновления: Включено
Настройка автоматического обновления: 4 — авт. Загрузка и устан. По расписанию

Установка по расписанию — день: 0 – ежедневно

Установка по расписанию — время: 20.00

и нажимаю Применить и OK.

Разрешить клиенту присоединение к целевой группе: Включено
Имя целевой группы для данного компьютера: office2010

и нажимаю Применить и OK.

Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи: Включено
Включить рекомендуемые обновления через автоматическое обновление: Включено
Разрешить немедленную установку автоматических обновлений: Включено
Частота поиска автоматических обновлений: Включено (6часов)

На сервере с ролью WSUS я отметил для пакета Office 2010, что устанавливать мне необходимо (Products and Classifications): Critical Updates, Definition Updates, Feature Packs, Security Updates, Service Packs, Update Rollups.

После нужно добавить в политику вкладка «Делегирование» права для группу «Прошедшие проверку»: чтение, дабы рабочие станции не получали сообщение при формировании результирующей: «Отказано в доступе (фильтрация ограничений безопасности») через gpresult /f /h gp.html

Итог политики:

Связи: Размещение: OU=WSUS
Фильтры безопасности: Имя компьютера в домене
Фильтр WMI: опционально.

Теперь переключаюсь к рабочей станции на которую назначена данная групповая политика, у меня это W7X64 с установленным пакетом Microsoft Office 2010 Pro Rus и дабы система вот прям сейчас получила данную политику в консоли командной строки хоть из под пользователя или администратора домена запускаю команду: gpupdate /force, а после отправить систему в перезагрузку (shutdown /r /t 3) или дождаться покуда рабочая станция перезагрузится.

На заметку: и вот что еще служба Windows Updates на рабочих станциях должна быть включена: sc config wuauserv start= auto, net start wuauserv

На заметку: Если политика не применяется, то следует обратиться к лог файлу: C:\Windows\WindowsUpdate.txt дабы разъяснить данную ситуацию.

Когда политика будет применена к рабочей станции, то открыв оснастку Update Services: Computer — All Computers — группа office2010, выставив фильтр: Status: any и нажав Refresh искомый компьютер(ы) отобразятся здесь и % отношение к установленным пакетам назначенных политикой.

На заметку: многие обновления могут не устанавливать на ПК, т. к. они зависят от установки предшествующих обновлений и покуда WSUS сервер не синхронизируется с сервером обновлений Майкрософта, а после обновления не будут назначены на группу, они не смогут установиться на ПК.

У меня все получилось, заметка полностью работоспособна. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.

Источник

Group Policies allow centrally configuring Windows Update settings that determine how updates are received and installed on workstations and servers in a domain network. In this article, we’ll look at the basic GPO options that you can use to manage Windows Update settings on computers that receive updates from an intranet WSUS server or directly from Windows Update servers on the Internet.

Contents:

Configure Windows Update GPO Settings for WSUS Clients
Assign the Windows Update GPOs to the WSUS Clients
Applying Windows Update Group Policy to Client Computers
Configure Clients to Receive Updates from the Internet via GPO

Configure Windows Update GPO Settings for WSUS Clients

Once you have installed the local Windows Server Update Services (WSUS) host, configure the workstations and servers in your Active Directory to receive updates from it (instead of from Microsoft Update servers over the Internet).

In our example, we want to create two different update installation policies for workstations and servers. To do this, open the WSUS management console (wsus.msc) on the server and create two computer groups under the Computers -> All Computers section.

Workstations
Servers

Then open the WSUS Options and in the Computers parameter, change the value to Use Group Policy or registry setting on computers.

This option enables client-side targeting for WSUS clients. This allows computers to be automatically assigned to update groups using a special registry parameter that contains the WSUS computer group name (this registry parameter is set by GPO or by direct registry modification).

Then open the Group Policy Management console (gpmc.msc) and create two new GPOs: ServerWSUSPolicy and WorkstationWSUSPolicy.

Let’s start with the description of the server update policy, named ServerWSUSPolicy.

The settings for the Windows Update service are located in this GPO section: Computer Configuration -> Policies –> Administrative Templates -> Windows Component-> Windows Update.

Windows Update Settings for servers using GPO

The server update policy should prevent production servers from automatically installing updates or restarting without the administrator’s approval. Let’s configure the GPO so that the servers automatically download available updates, but do not install them. During scheduled maintenance windows, administrators can manually initiate the installation of updates (from the Settings app or using the PSWindowsUpdate module).

Configure the following policy options:

Configure Automatic Updates: Enable. 3 – Auto download and notify for install – client automatically downloads new updates and notifies about them;
Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: http://hq-wsus.woshub.com:8530, Set the intranet statistics server: http://hq-wsus.woshub.com:8530 – set the address of the local WSUS server and the statistics server (they are usually the same)
No auto-restart with logged on users for scheduled automatic updates installations: Enable – disable the automatic restart if there are active user sessions
Enable client-side targeting: Enable. Target group name for this computer: Servers – assign clients to the Servers group in the WSUS console.

For workstations, we want to enable Windows Update to automatically download and install new updates as they become available. Users’ computers should be automatically rebooted (with user notification) after installing updates during non-working hours.

Configure the following settings in the WorkstationWSUSPolicy GPO:

Allow Automatic Updates immediate installation Disabled —prevent updates from being installed as soon as they are received;
Allow non-administrators to receive update notifications Enabled — show non-admin users a notification about new updates and allow manual installation;
Configure auto-restart reminder notifications for updates and Configure auto-restart warning notifications schedule for updates: Enabled – display reboot notifications to users
Configure Automatic Updates: Enabled . Configure automatic updating: 4 — Auto download and schedule the install . Scheduled install day: 0 — Every day . Scheduled install time: 05:00AM – client downloads new updates and schedules them to install automatically at 5:00 am;
Enable client-side targeting: Workstations – this will assign the client to the Workstations group in the WSUS console;
No auto-restart with logged on users for scheduled automatic update installations: Disabled
Specify Intranet Microsoft update service location: Enabled. Set the intranet update service for detecting updates: http://hq-wsus.woshub.com:8530, Set the intranet statistics server: http://hq-wsus.woshub.com:8530</emcode– is the address of the internal WSUS server.
Enable Do not allow update deferral policies to cause scans against Windows Update (so-called Dual Scan) and Do not connect to any Windows Update Internet locations. This prevents the client from contacting Windows Update servers on the Internet.
Turn off auto-restart for updates during active hours – Enabled Disable automatic restart after installing updates during working hours (set the working time interval in the Active Hours Start and Active Hours End options. For example, from 8 AM to 5 PM

Force the Windows Update service (wuauserv) to start automatically on domain computers in both GPOs. To do this, go to Computer Configuration -> Policies-> Windows Settings -> Security Settings -> System Services, find the Windows Update service, and set it to start automatically.

Assign the Windows Update GPOs to the WSUS Clients

Then link the policies you have created to the appropriate containers (OUs) in the GPO management console (It is assumed that separate Organizational Units are created in AD for server and workstation objects).

Tip. We considered only one fairly simple strategy for linking WSUS update policies to clients. In real-world organizations, it is possible to link a single WSUS policy to all domain computers (GPO with WSUS settings attached to a domain root) or to distribute different types of clients across different OUs (as in our example, we have created different WSUS policies for the server and the workstations.). In large distributed domains, you may want to link different WSUS servers to AD sites, link GPOs based on WMI filters, or use a combination of the above methods.

In the Group Policy Management console, click on the required OU, select Link an Existing GPO, and select ServerWSUSpolicy.

Tip. Also, link the WSUS server policy to the Domain Controllers OU.

Similarly, assign the Workstation Update policy to the OU containing the users’ computers.

Applying Windows Update Group Policy to Client Computers

Wait for the new GPO settings to be applied to the clients, or update them manually:
gpupdate /force
To force the clients to check in and report their status to the WSUS server, run:

$updateSession = new-object -com "Microsoft.Update.Session"; $updates=$updateSession.CreateupdateSearcher().Search($criteria).Updates wuauclt /reportnow

Any Windows Update settings set through Group Policy should appear on the client in the registry key HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. This reg key can be exported to a REG file and used to apply WSUS update settings to other computers that cannot be configured via GPO (computers in workgroups, isolated segments, DMZ, etc.)

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"="http://hq-wsus.woshub.com:8530" "WUStatusServer"="http://hq-wsus.woshub.com:8530" "UpdateServiceUrlAlternate"="" "TargetGroupEnabled"=dword:00000001 "TargetGroup"="Servers" "ElevateNonAdmins"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAutoUpdate"=dword:00000000 – "AUOptions"=dword:00000003 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:00000003 "ScheduledInstallEveryWeek"=dword:00000001 "UseWUServer"=dword:00000001 "NoAutoRebootWithLoggedOnUsers"=dword:00000001

After a while, clients will appear in their assigned computer groups in the WSUS console. Here you can see computer names, IP addresses, OS versions, the percentage of assigned patches they have installed, and the date of the last scan.

Client computers download the CAB update files to the %windir%\SoftwareDistribution\Download directory. The WindowsUpdate.log files provide detailed logs of how the client scans for updates against WSUS, downloads, and installs them.

If you encounter error 0x80244010 when getting updates on clients, try changing the frequency of checking for updates on the WSUS server using the Automatic Update detection frequency policy option.

Configure Clients to Receive Updates from the Internet via GPO

Suppose you don’t have an intranet WSUS server. In that case, you can use the GPO settings discussed above to configure the settings for automatically receiving and installing updates on client computers from the Internet (from Windows Update servers).

In this case, set any GPO parameters that set receiving updates from WSUS to Not Configured:

Specify Intranet Microsoft update service location: Not Configured
Target group name for this computer: Not Configured
Do not allow update deferral policies to cause scans against Windows Update: Disabled
Do not connect to any Windows Update Internet locations: Disabled