Настройка клиентов WSUS групповыми политиками — пошаговое руководство

В данной статье мы рассмотрим пошаговую настройку клиентов WSUS с помощью групповых политик. WSUS (Windows Server Update Services) — это новом Windows-сервере, предназначенном для установки и управления обновлениями операционной системы и других компонентов. С его помощью можно централизованно устанавливать обновления на компьютеры в локальной сети.

Для начала работы с WSUS необходимо создать групповую политику, которая будет указывать клиентам, где искать обновления и какие именно устанавливать. Для этого открываем групповую политику (Group Policy Management) на сервере с WSUS, выбираем контейнер с компьютерами, на которых необходимо установить WSUS, и создаем новую политику (Create a GPO in this domain, and Link it here…).

В открывшемся окне указываем название политики, например, «Настройка клиентов WSUS», и нажимаем «OK». Далее открываем созданную политику и переходим в секцию «Computer Configuration» -> «Policies» -> «Administrative Templates» -> «Windows Components» -> «Windows Update». В данной секции находятся все настройки, связанные с обновлениями системы.

Назначаем политику WSUS на OU контейнер в Active Directory

Для настройки клиентов WSUS в групповых политиках требуется применить политику на соответствующий контейнер OU в Active Directory. Это позволит автоматически настроить клиентские компьютеры для получения обновлений от сервера WSUS на заданное расписание.

Шаги по настройке политики WSUS на OU контейнере включают:

1. Откройте групповые политики в «Центре администрирования групповых политик» на сервере Windows.
2. Откройте «Групповую политику объекта» для контейнера OU, к которому вы хотите применить политику WSUS.
3. В открывшемся окне выберите вкладку «Компьютеры» или «Пользователи» в зависимости от того, к каким объектам в контейнере вы хотите применить политику.
4. Добавьте новую групповую политику, нажав на кнопку «Добавить» в разделе «Настройка политики»
5. Введите имя политики, например «WSUS Policy», и нажмите «ОК».
6. В списке доступных политик найдите и выберите политику «Конфигурация компьютера» → «Шаблоны администрирования» → «Windows Компоненты» → «Windows Update».
7. Настройте необходимые параметры обновлений, используя доступные опции политики.
8. Измените настройки автоматического обновления на «Включено».
9. В поле «Установить расписание для автоматических установок обновлений» выберите «Включено» и укажите время и дни недели, когда компьютеры будут перезагружаться после установки обновлений.
10. Для настройки серверов WSUS в поле «Установка других обновлений» выберите «Включено».
11. В поле «Установить расписание для автоматического перезагрузить после установки обновлений» выберите «Включено» и запланируйте перезагрузку сервера на удобное время.
12. Снимите флажок с опции «Позволить пользователям настраивать параметры» для предотвращения изменения настроек обновлений пользователями.
13. Нажмите «ОК» для сохранения настроек политики.

После привязки политики WSUS к контейнеру OU, измененные настройки будут автоматически применены к клиентским компьютерам в этом контейнере при следующем обновлении групповой политики. Клиенты WSUS будут отображать выбранные настройки обновлений в разделе «Настройка автоматического обновления» в «Центре обновления Windows» на рабочих станциях. Компьютеры будут получать необходимые обновления в соответствии с заданным расписанием, автоматически перезагружаться и установка обновлений будет производиться на серверах WSUS при доступных обновлениях от Microsoft.

Wsus gpo windows 10

Настройка клиентов WSUS в Windows 10 с использованием групповых политик

WSUS (Windows Server Update Services) — это серверные компоненты Microsoft, которые позволяют администраторам централизованно управлять обновлениями операционных систем и других компонентов на клиентах и серверах в домене. В данном разделе мы рассмотрим, как использовать групповые политики для настройки клиентов WSUS в Windows 10.

1. Добавление компьютеров в групповую политику

Для начала необходимо привязать клиентов к групповой политике WSUS. Для этого открываем групповую политику в домене и переходим к разделу «Компьютеры». Нажимаем правой кнопкой мыши на контейнер, к которому хотим привязать клиентов, и выбираем «Создать групповую политику в этом контейнере и связанную с ним».

2. Настройка WSUS

В разделе «Компьютерная конфигурация» выбираем «Параметры Windows» -> «Параметры Security Settings» -> «Параметры Windows Update». В окне политики групповой политики WSUS настраиваем следующие параметры:

2.1 Настройка WSUS сервера

Компьютеры клиентов должны быть настроены на использование сервера WSUS для получения обновлений.

Выбираем «Настроить обновления: открыть доступ к через службу Windows Server Update Services», в поле «Укажите URL-адрес службы WSUS», указываем URL-адрес сервера WSUS.

2.2 Настройка периода проверки обновлений

Установка интервала, через который клиенты будут проверять наличие обновлений.

Выбираем «Настроить обновления: только запланированное время», указываем интервал проверки и устанавливаем галочку «Запрошенное пользователем очереди устанавливать установки».

2.3 Настройка режима установки обновлений

Выбор режима установки обновлений.

Выбираем «Настроить автоматическую установку обновлений: установка запланированных установок», чтобы клиенты автоматически устанавливали обновления в запланированное время.

3. Перезагрузка клиентов

После настройки групповой политики необходимо перезагрузить клиентские устройства, чтобы изменения вступили в силу.

Установка роли сервера WSUS

Перед началом настройки клиентов WSUS, вам необходимо установить и настроить роль сервера WSUS на сервере, который будет распределять обновления по всем компьютерам в вашей сети.

Для этого выполните следующие шаги:

1. Откройте Server Manager, нажав на значок на панели задач или щелкнув правой кнопкой мыши на значке «Start» в левом нижнем углу экрана и выбрав «Server Manager».
2. В окне Server Manager, наведите курсор мыши на пункт «Manage» в верхней панели навигации, а затем выберите «Add Roles and Features».
3. В открывшемся окне «Add Roles and Features Wizard» нажмите кнопку «Next».
4. Выберите «Role-based or feature-based installation» и нажмите «Next».
5. Укажите сервер, на котором будет установлена роль WSUS, и нажмите «Next».
6. На следующем экране выберите «Windows Server Update Services» и нажмите «Next».
7. Нажмите «Install» для установки роли WSUS на сервер.
8. После завершения установки, нажмите «Close».
9. Перезагрузите сервер, если это потребуется.

Теперь, когда роль WSUS установлена на вашем сервере, вы можете приступить к настройке клиентов для получения обновлений через WSUS.

Ввод сервера WSUS в домен

Для настройки клиентов WSUS групповыми политиками необходимо сначала ввести сервер WSUS в домен. В данном разделе мы рассмотрим шаги по установке и настройке сервера WSUS в домене.

Установка сервера WSUS

1. Установите сервер WSUS на новом сервере Windows, который будет выполнять роли WSUS. Убедитесь, что ваш сервер соответствует системным требованиям для установки WSUS.

2. Запустите установочный файл WSUS и следуйте инструкциям мастера установки.

3. В окне «Выбор компонентов» выберите компоненты, которые вы хотите установить. Оставьте выбранной опцию «Консоль для управления WSUS».

4. В разделе «Выбор серверов WSUS» выберите опцию «Создать новую базу данных на этом компьютере», чтобы создать новую базу данных WSUS.

5. Установите необходимые компоненты и нажмите «Далее».

6. В разделе «Указываем распределение обновлений» выберите опцию «Разрешить WSUS установку обновлений для других компьютеров» и отметьте компоненты, которые необходимо установить. Нажмите «Далее».

7. Установка WSUS будет выполнена, и сервер будет перезагружаться, чтобы применить изменения.

Настройка сервера WSUS

1. После перезагрузки сервера откройте «Консоль WSUS».

2. В окне «Основной сервер» щелкните правой кнопкой мыши на вашем сервере WSUS и выберите «Свойства».

3. Перейдите на вкладку «Обновления» и выберите опцию «Отображать только обновления с минимальным числом версий в данном разделе».

4. Перейдите на вкладку «Шаблоны» и установите необходимые шаблоны для WSUS.

5. Нажмите «ОК», чтобы сохранить изменения.

6. Если вы хотите позволить пользователям запускать обновления вручную, добавьте групповую политику активных обновлений.

7. Проверьте доступные групповые политики, в которых указываем клиента, для которого требуется установка WSUS.

8. В групповой политике перейдите на вкладку «Консоль управления», найдите раздел «Список устанавливаемых компонентов» и выберите опцию «WSUS» для установки WSUS.

9. Убедитесь, что политика по умолчанию «Обновления Windows» разрешена.

10. Перезагрузите компьютер клиента, чтобы применить изменения.

Теперь сервер WSUS введен в домен и готов к настройке клиентов с помощью групповых политик.

Установка дополнительных компонентов необходимых для работы отчетов WSUS

Для того чтобы получать отчеты о состоянии обновлений на клиентских станциях в системе WSUS, необходимо установить дополнительные компоненты.

В начале убедитесь, что все компьютеры в домене привязаны к нужной OU групповой политикой WSUS. Если данная настройка еще не выполнена, мыши на OU, в которой находятся рабочие станции домена, и выбираем нужную групповую политику WSUS. Далее нажимаем правой кнопкой и выбираем Связывание с OU. В появившемся окне выбираем нужную группу клиентов, на которых мы желаем применить групповую политику WSUS, и нажимаем ОК.

Затем открываем Групповую политику на доменном контроллере и в контейнере с настройками политики выбираем нужную политику WSUS (например, ‘D-WSUS-GPO-Win7’). В разделе Административные шаблоны — Windows Компоненты — Windows Update добавляем и включаем политику ‘Включить удаленную установку программ обновлений Windows Update’. Это даст возможность устанавливать обновления на клиентские станции из центра управления WSUS. Также добавляем и включаем политику ‘Завершать работу клиента WSUS, если обновления отключены’, которая позволит регламентировать доступные обновления для клиентов, отключивших службу WSUS. Снимаем флажок с политики ‘Запретить доступ к центру обновлений, если служба WSUS отключена’.

После настройки групповой политикой WSUS необходимо настроить рабочие станции для работы с WSUS. Для этого открываем Групповую политику на рабочем компьютере и в контейнере с настройками политики выбираем нужную политику WSUS (например, ‘D-WSUS-GPO-Win7’). В разделе Административные шаблоны — Windows Компоненты — Windows Update добавляем и включаем политику Настройка автоматического обновления. В настройках данной политики указываем способ получения обновлений, а также задаем регламентированное время и интервал получения обновлений.

Также необходимо добавить адрес WSUS сервера в разделе Настройка домена. Для этого в настройках Групповой политики открываем раздел Административные шаблоны — Windows Компоненты — Windows Update и задаем значение политики ‘Установить вручную список серверов обновлений для клиентов Windows Update’. В списке добавляем адрес WSUS сервера.

После всех настроек WSUS, клиенты будут получать доступные обновления через центр обновлений на рабочей станции. Если с помощью групповой политики вы изменяем данные настройки, то обновления будут устанавливаться в зависимости от измененной политики WSUS.

Для того чтобы получать отчеты по WSUS, необходимо установить компоненты в диспетчере серверов. Для этого на сервере WSUS откройте диспетчер серверов, в списке ролей выберите роль Windows Server Update Services, и вкладку WSUS. Нажмите правой кнопкой мыши на контейнер Updates и выберите Установка местного сервера отчетов. В открывшемся окне нажмите Далее и выберите данные настройки.

После установки дополнительных компонентов для отчетов WSUS, пользователи будут получать соответствующую статистику об обновлениях на своих рабочих станциях.

Видео:

Установка и удаление программ групповыми политиками Windows Server 2016

Установка и удаление программ групповыми политиками Windows Server 2016 by IT-спец. Денис Курец 22,289 views 5 years ago 19 minutes