Zajištění včasné instalace aktualizací v pracovních skupinách. Konfigurace klientů WSUS pomocí zásad skupiny Kde v registru jsou aktualizace systému Windows

Automatické aktualizace jsou důležitou funkční funkcí každého operačního systému. Díky němu dostává počítač včas důležité aktualizace, díky čemuž je systém stabilnější a bezpečnější. Ve Windows 7 je funkce aktivována zpočátku. To znamená, že pokud existuje spojení se servery společnosti Microsoft, aktualizační služba zkontroluje dostupnost nových balíčků, stáhne je a nainstaluje. Obvykle všechny procesy probíhají prakticky bez povšimnutí uživatele, ale když se objeví neustálé nabídky na upgrade na 10, je to už přehnané.

Teoreticky není potřeba zakazovat automatické stahování aktualizací. Je to užitečné, protože uzavírá bezpečnostní mezery, optimalizuje provoz operačního systému a přidává do něj nové funkce (pokud jde o „desítky“). Existuje také seznam důvodů, proč by měla být služba automatických aktualizací zakázána:

  1. Uživateli se nelíbí, že při aktualizaci klesá rychlost internetu a/nebo nejde PC delší dobu vypnout.
  2. Počítač má drahý nebo omezený bezdrátový internet.
  3. Problémy po spuštění aktualizovaného OS.
  4. Selhání během instalace aktualizačních balíčků.
  5. Na systémovém svazku není dostatek místa, aby se přizpůsobil nárůstu objemu Windows 7, který roste s každou aktualizací.

Druhy

Přesto, než zakážete aktualizaci Windows 7, přemýšlejte o tom, zda je to opravdu nutné. Kromě deaktivace služby ji lze přepnout do následujících provozních režimů.

  1. Plně automatické - operace probíhají bez zásahu uživatele, pouze upozorní uživatele, že instalace balíčků je dokončena.
  2. Vyhledávejte a stahujte nejnovější opravy podle plánu a instalaci balíčků provádí uživatel.
  3. Automatická kontrola a upozornění uživatele na dostupnost aktualizací.
  4. Vlastní aktualizace je zakázána. Vše se provádí ručně.

Možnosti se vybírají v součásti Centrum aktualizací.

Metody odpojení

Nastavení libovolného systému Windows jsou uložena v jeho registru. Ke klíči odpovědnému za nastavení Centra aktualizací můžete přistupovat několika jednoduchými a několika složitějšími způsoby. Pojďme se na ně všechny podívat.

Změňte nastavení Centra aktualizací

Začněme nastavením služby pro sebe. Pro přístup do konfiguračního rozhraní musíte otevřít „Centrum aktualizací“ jedním z následujících způsobů.

Systém

  1. Prostřednictvím kontextové nabídky Tento počítač vyvolejte jeho „Vlastnosti“.
  1. V levém svislém menu klikněte na odpovídající odkaz umístěný ve spodní části okna.

  1. Přejděte na „Ovládací panely“.
  2. Otevřete sekci „Systém, zabezpečení“.
  1. Zavolejte stejnojmenný prvek.

Pokud jsou položky ovládacího panelu vykresleny jako ikony, nikoli jako kategorie, zobrazí se v hlavním okně odkaz na položku.

  1. Poté, co se dostanete do požadovaného okna, klikněte na „Parametry nastavení“.
  1. Přejděte do části „Důležité aktualizace“ a vyberte příslušnou možnost z rozevíracího seznamu.

Jediný způsob, jak úplně zakázat přijímání aktualizací na počítači se systémem Windows 7, je zastavit službu.

Deaktivace služby

Správa služeb v „sedmičce“ probíhá prostřednictvím:

  • přímá editace klíčů registru, což je velmi nepohodlné;
  • programy třetích stran pro konfiguraci operačního systému (tuto možnost přeskočte);
  • snap-in konzole MMC;
  • konfigurace systému;
  • příkazový řádek;
  • Editor zásad skupiny (přítomný ve Windows 7 Ultimate, Enterprise).

Odebrání služby z automatického spuštění

Nejrychlejší způsob, jak zakázat aktualizace, je přes systémový konfigurátor.

  1. Spusťte „msconfig“ v okně příkazového interpretu, které se otevře po podržení kláves Win + R nebo kliknutí na tlačítko „Spustit“ v nabídce Start.
  1. Přejděte na kartu „Služby“.
  2. Najděte „Windows Update“ (možná Windows Update) a zrušte zaškrtnutí políčka vedle něj.
  1. Uložte nová nastavení.

Až do konce aktuální relace bude služba fungovat a řádně plnit úkoly, které jsou jí přiděleny. Chcete-li použít novou konfiguraci, musí být systém Windows 7 restartován.

Použijme modul snap-in konzoly MMC

Modul snap-in systémové konzoly se stejným názvem poskytuje přístup ke správě všech služeb na počítači. Začíná to takhle.

  1. Otevřete kontextovou nabídku adresáře „Tento počítač“.
  2. Vyvolejte příkaz „Spravovat“.
  1. V levém svislém menu rozbalte položku „Služby a aplikace“. Dále klikněte na odkaz „Služby“.

Jednodušší možností pro volání stejného okna by bylo spuštění příkazu „services.msc“ prostřednictvím dialogu „Spustit“.

  1. Přejděte na úplný konec seznamu služeb a otevřete „Vlastnosti“ služby Windows Update.
  1. V rozevíracím seznamu „Typ spouštění“ vyberte „Zakázáno“ místo „Automaticky“, abyste se navždy rozloučili s automatickými aktualizacemi. Pokud nyní potřebujete službu deaktivovat, klikněte na „Stop“. Uložte nové nastavení tlačítkem „Použít“ a zavřete všechna okna.

Pro použití nastavení není nutné restartovat počítač.

Editor zásad skupiny

Další modul snap-in konzoly MMC s názvem Editor místních zásad skupiny vám pomůže nakonfigurovat jakýkoli systémový parametr.

V domácím vydání Sedmičky není k dispozici!

  1. Nástroj se spouští spuštěním příkazu „gpedit.msc“ v okně „Spustit“.
  1. V podsekci „Konfigurace PC“ rozbalte větev „Šablony pro správu“.
  1. Otevřete „Součásti systému Windows“ a vyhledejte Centrum aktualizací.
  2. Na pravé straně okna najdeme parametr, jehož název začíná „Nastavení automatických aktualizací“.
  3. Vyvolejte jeho nastavení.
  1. Přesuňte zaškrtávací políčko do pozice „Zakázat“ a kliknutím na „OK“ zavřete okno a uložte změny.

Použijme příkazový řádek

Prostřednictvím příkazového řádku se provádějí všechny stejné operace jako pomocí grafického rozhraní a ještě více, ale v textovém režimu. Hlavní je znát jejich syntaxi a parametry.

Příkaz „cmd“ je zodpovědný za volání příkazového řádku.

  1. Otevřete interpret příkazů a spusťte jej.


Tento článek shrnuje známé metody pro opravu agenta WSUS.

1. První skript je nejjednodušší a ve skutečnosti se ani nepoužívá k léčbě, ale k násilnému spuštění kontroly aktualizací a zároveň vyčistí složku, ve které se hromadí distribuce již nainstalovaných aktualizací:

wsus_detect_manual.cmd

net stop wuauserv && net stop bity && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow výstup

2. Druhý skript je nutný k „oživení“ nečinné služby WSUS. Vyčistí staré aktualizace, po kterých dojde k přejmenování složek SoftwareDistribution a Catroot2, což povede k jejich opětovnému vytvoření při restartu služby. Poté se znovu zaregistrují systémové dll knihovny.

fix_wsus_service.cmd

čisté zastavovací bity
síťová zastávka wuauserv
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

čisté startovací bity
čistý start wuauserv
net start cryptsvc

wuauclt/detectnow

výstup

3. Tento skript se používá v případech, kdy byl počítač nedávno klonován, nebo v případech, kdy se počítač nikdy nezaregistroval u služby WSUS. Od předchozího se liší pouze v předposledním řádku, ve kterém se resetuje autorizace a regeneruje se identifikátor. Budu jen citovat tento řádek:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo zapnuto
síťová zastávka wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
čistý start wuauserv
wuauclt /resetauthorization /detectnow

5. Někdy, aby vše fungovalo, je potřeba znovu nainstalovat agenta WSUS. Nejprve si musíte stáhnout nejnovější Windows Update Agent a poté nainstalovat příslušnou edici

pro x32 verze systému Windows

windowsupdateagent30-x86.exe /wuforce

pro x64 verze systému Windows

windowsupdateagent30-x64.exe /wuforce

Jestli jste šťastným majitelem Itanium, můžete hádat sami :-)

Po instalaci agenta musíte restartovat.

6. K „ošetření“ chyb 0x80070005, tzn. chyby přístupu, může být užitečný skript níže. Obnovuje administrátorský a systémový přístup k registru a systémovým složkám.

Ke spuštění tohoto skriptu budete potřebovat nástroj Microsoft subinacl.exe. Je součástí sady prostředků pro Windows Server 2003, ale neměli byste používat verzi, která je tam zahrnuta, protože Jsou tam nějaké nepříjemné chyby. Měli byste si stáhnout subinacl.exe verze 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo vypnuto
REM Použít pro chyby 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /podadresáře %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /podadresáře %SystemDrive% /grant=system=f

Všechny tyto skripty lze v případě problémů spustit téměř automaticky. Pokud se v důsledku toho problém nevyřeší, musíte se na to blíže podívat. A zde budeme potřebovat stejný windowsupdate.log, který je v kořenové složce Windows. Pokud je počítač problematický, pak je tento soubor velký. Pro jednoduchost je vhodné jej před spuštěním skriptů odstranit. Téměř všechny skripty poskytují příkaz k jeho odstranění, ale ne vše je tak jednoduché. I přes zastavení služby wuauserv je obvykle nadále otevřena v IE atd. Proto existuje záludný způsob. spouštím

notepad.exe %windir%\windowsupdate.log

Vyberu veškerý text, smažu ho a uložím místo starého souboru (nezapomeňte v dialogovém okně pro uložení změnit typ souboru na *.*, jinak je výchozí *.txt)

Stojí za zmínku, že existují případy, kdy není možné donutit klienta k aktualizaci z wsus. Mám precedenty s několika Windows Server 2003 R2, které se mi nepodařilo překonat. Proto je aktualizuji přes internet :-)

Nové operační systémy jako Windows 7, Windows 2008 mají někdy potíže se spuštěním. Pro takové případy, empiricky, algoritmus jako:
1. První aktualizace z webu společnosti Microsoft s aktualizací agenta
2. Poté provedeme aktualizaci agenta lokálně
3. A pak vše začne fungovat

Doufám, že plody naší práce někomu pomohou.

Pro jednoduchost zveřejňuji všechny tyto skripty v hotové podobě:

Ahoj všichni, dnes ještě poznámka pro sebe, konkrétně seznam serverů Windows Update. Proč by to mohlo být užitečné, například pokud se vám při instalaci role WSUS zobrazila chyba Aktualizace nebyla nalezena, nebo naopak z nějakého důvodu je chcete zakázat, abyste ušetřili provoz, pokud nemáte WSUS, protože ne všechny Windows aktualizace jsou dobré a zvláště ve svých moderních verzích si myslím, že nemá smysl chybu připomínat, i když v tomto seznamu lze pokračovat velmi dlouho. Důvod není důležitý, hlavní je vědět, že existuje a dá se s tím nějak pracovat. Níže vám ukážu způsoby blokování adres aktualizačních serverů Microsoft, a to jak univerzálních, vhodných pro jednotlivý počítač, tak pro centralizovanou správu v rámci podniku.

Proč se aktualizace systému Windows nenainstalují?

Zde je snímek obrazovky s chybou, pokud adresa vašeho aktualizačního serveru Microsoft není k dispozici. Jak vidíte, chyba není příliš informativní. Mám to na serveru, který hraje roli WSUS, pro ty, kteří si nepamatují, co to je, pak je to místní aktualizační centrum pro podniky, aby se ušetřil provoz, a tady se aktualizace Windows neinstalují kvůli nedostatečná dostupnost serverů společnosti Microsoft.

Co dělat, pokud nejsou nainstalovány aktualizace systému Windows

  • Nejprve byste měli zkontrolovat, zda máte internet, protože jeho přítomnost je pro většinu lidí povinná, pokud samozřejmě nemáte doménu Active Directory a stahujete je ze svého WSUS
  • Dále, pokud existuje internet, podívejte se na chybový kód, protože pomocí něj musíte hledat informace o řešení problému (z nedávných problémů mohu uvést příklad, jak se řeší chyba 0x80070422 nebo chyba c1900101), ale seznam lze také uchovávat velmi dlouhou dobu.
  • Na našem proxy serveru zkontrolujeme, zda neexistuje zákaz na následujících adresách aktualizačních serverů společnosti Microsoft.

Samotný seznam aktualizačních serverů společnosti Microsoft

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

S rozvojem internetu se neustálá aktualizace operačního systému stala samozřejmostí. Nyní mohou vývojáři opravovat a vylepšovat systém po celou dobu jeho podpory. Ale časté aktualizace Windows 10 nejsou vždy pohodlné. Proto by bylo dobré umět je vypnout.

Důvody pro vypnutí automatických aktualizací

Důvody mohou být velmi odlišné a pouze vy se můžete rozhodnout, jak moc potřebujete aktualizace zakázat. Stojí za zvážení, že spolu s vylepšeními určitých schopností jsou dodávány důležité opravy zranitelností systému. A přesto dochází poměrně často k situacím, kdy by měly být nezávislé aktualizace zakázány:

  • placený internet – někdy je aktualizace poměrně velká a její stažení může být drahé, pokud platíte za provoz. V takovém případě je lepší stažení odložit a stáhnout později za jiných podmínek;
  • nedostatek času - po stažení se aktualizace začne instalovat při vypnutém počítači. To může být nepohodlné, pokud potřebujete rychle vypnout práci, například na notebooku. Ale co je ještě horší je, že dříve nebo později bude systém Windows 10 vyžadovat restartování počítače, a pokud to neuděláte, po nějaké době bude restart vynucen. To vše odvádí pozornost a překáží v práci;
  • zabezpečení – ačkoli samotné aktualizace často obsahují důležité systémové změny, nikdo nikdy nemůže předvídat vše. V důsledku toho mohou některé aktualizace otevřít váš systém virovému útoku, zatímco jiné jej jednoduše rozbijí hned po instalaci. Rozumným přístupem v této situaci je aktualizovat nějaký čas po vydání další verze po předchozím prostudování recenzí.

Zakažte automatické aktualizace systému Windows 10

Existuje mnoho způsobů, jak vypnout aktualizace Windows 10. Některé z nich jsou pro uživatele velmi jednoduché, jiné jsou složitější a další vyžadují instalaci programů třetích stran.

Deaktivace přes Centrum aktualizací

Použití Update k jeho zakázání není nejlepší možností, i když to vývojáři Microsoftu nabízejí jako oficiální řešení. Automatické stahování aktualizací můžete skutečně vypnout prostřednictvím jejich nastavení. Problém je v tom, že toto řešení bude tak či onak dočasné. Vydání velké aktualizace Windows 10 toto nastavení změní a vrátí aktualizace systému. Ale stále budeme studovat proces vypnutí:

Po těchto změnách se již nebudou instalovat drobné aktualizace. Toto řešení vám ale nepomůže navždy se zbavit stahování aktualizací.

V jednom z předchozích článků jsme postup podrobně popsali. Po konfiguraci serveru je třeba nakonfigurovat klienty Windows (servery a pracovní stanice), aby používali server WSUS k přijímání aktualizací, aby klienti dostávali aktualizace z interního aktualizačního serveru, nikoli ze serverů Microsoft Update přes Internet. V tomto článku si projdeme postup pro konfiguraci klientů pro použití serveru WSUS pomocí zásad skupiny domény Active Directory.

Zásady skupiny AD umožňují správci automaticky přiřazovat počítače k ​​různým skupinám WSUS, čímž odpadá nutnost ručně přesouvat počítače mezi skupinami v konzole WSUS a udržovat tyto skupiny aktuální. Přiřazení klientů do různých cílových skupin WSUS je založeno na štítku registru na klientovi (štítky se nastavují zásadami skupiny nebo přímou úpravou registru). Tento typ přiřazení klientů ke skupinám WSUS se nazývá klientabočnícílení(Cílení na straně klienta).

Předpokládá se, že naše síť bude používat dvě různé zásady aktualizace – samostatnou zásadu instalace aktualizací pro servery ( servery) a pro pracovní stanice ( Pracovní stanice). Tyto dvě skupiny je třeba vytvořit v konzole WSUS v části Všechny počítače.

Rada. Zásady, jak klienti používají aktualizační server WSUS, do značné míry závisí na organizační struktuře organizační jednotky ve službě Active Directory a na pravidlech instalace aktualizací organizace. V tomto článku se podíváme pouze na konkrétní možnost, která vám umožní pochopit základní principy používání zásad AD k instalaci aktualizací systému Windows.

Nejprve musíte určit pravidlo seskupování počítačů v konzole WSUS (cílení). Ve výchozím nastavení v konzole WSUS rozděluje počítače ručně do skupin správce (cílení na straně serveru). S tím nejsme spokojeni, proto upozorníme, že počítače jsou rozděleny do skupin na základě cílení na straně klienta (konkrétním klíčem v registru klientů). Chcete-li to provést, přejděte v konzole WSUS do části Možnosti a otevřete parametr Počítače. Změňte hodnotu na Použijte zásady skupiny nebo nastavení registru v počítačích(Použijte zásady skupiny nebo nastavení registru v počítačích).

Nyní můžete vytvořit GPO pro konfiguraci klientů WSUS. Otevřete konzolu Správa zásad skupiny domény a vytvořte dvě nové zásady skupiny: ServerWSUSPolicy a WorkstationWSUSPolicy.

Zásady skupiny WSUS pro servery Windows

Začněme popisem zásad serveru ServerWSUSPolicy.

Nastavení zásad skupiny zodpovědná za provoz služby Windows Update se nachází v sekci GPO: PočítačKonfigurace -> Opatření-> Správníšablony-> OknaKomponent-> OknaAktualizace(Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows -> Windows Update).

V naší organizaci očekáváme, že tuto zásadu použijeme k instalaci aktualizací služby WSUS na servery Windows. Očekává se, že všechny počítače, na které se vztahuje tato zásada, budou přiřazeny do skupiny Servery v konzole WSUS. Kromě toho chceme zabránit automatické instalaci aktualizací na servery po jejich přijetí. Klient WSUS si musí jednoduše stáhnout dostupné aktualizace na disk, zobrazit upozornění na nové aktualizace na systémové liště a počkat, až správce zahájí instalaci (buď ručně, nebo vzdáleně pomocí ), aby mohla zahájit instalaci. To znamená, že produktivní servery nebudou automaticky instalovat aktualizace a restartovat se bez souhlasu správce (tyto práce obvykle provádí správce systému v rámci měsíční plánované údržby). Pro implementaci takového schématu nastavíme následující zásady:

  • KonfigurovatAutomatickýAktualizace(Nastavení automatické aktualizace): Umožnit. 3 – AutostaženíaoznámitproNainstalujte(Automaticky stahovat aktualizace a upozornit vás, až budou připraveny k instalaci)– klient automaticky stahuje nové aktualizace a informuje o jejich dostupnosti;
  • UpřesněteintranetMicrosoftAktualizaceservisumístění(Uveďte intranetové umístění Microsoft Update): Umožnit. Nastavte intranetovou aktualizační službu pro zjišťování aktualizací: http://srv-wsus.site:8530, Nastavte intranetový statistický server: http://srv-wsus.site:8530– zde musíte zadat adresu vašeho serveru WSUS a statistického serveru (obvykle jsou stejné);
  • Žádné automatické restartování s přihlášenými uživateli pro plánované instalace automatických aktualizací(Nerestartujte automaticky při automatické instalaci aktualizací, pokud v systému běží uživatelé): Umožnit– zakázat automatické restartování při uživatelské relaci;
  • Umožnitklienta-bočnícílení ( Povolit klientovi připojit se k cílové skupině): Umožnit. Název cílové skupiny pro tento počítač: servery– v konzole WSUS přiřaďte klienty do skupiny Servery.

Poznámka. Při nastavování zásad aktualizací doporučujeme pečlivě se seznámit se všemi dostupnými nastaveními v každé z možností v sekci GPO OknaAktualizace a nastavte parametry, které vyhovují vaší infrastruktuře a organizaci.

Zásady instalace aktualizace WSUS pro pracovní stanice

Předpokládáme, že aktualizace na klientských stanicích, na rozdíl od zásad serveru, budou instalovány automaticky v noci ihned po obdržení aktualizací. Po instalaci aktualizací by se měly počítače automaticky restartovat (upozornění uživatele 5 minut předem).

V tomto GPO (WorkstationWSUSPolicy) specifikujeme:

  • DovolitAutomatickýAktualizacebezprostředníinstalace(Umožnit okamžitou instalaci automatických aktualizací): Zakázáno- zákaz okamžité instalace aktualizací po jejich obdržení;
  • Dovolitne-správcinadostávatAktualizaceoznámení(Povolit uživatelům, kteří nejsou správci, přijímat upozornění na aktualizace): Povoleno- zobrazit upozornění pro neadministrátory o nových aktualizacích a umožnit jejich ruční instalaci;
  • Konfigurace automatických aktualizací:Povoleno. Konfigurace automatické aktualizace: 4 - Automatické stahování a plánování instalace. Plánovaný den instalace: 0 - Každýden. Plánovaná doba instalace: 05:00 – když jsou přijaty nové aktualizace, klient je stáhne do místní mezipaměti a naplánuje jejich automatickou instalaci na 5:00;
  • Název cílové skupiny pro tento počítač: Pracovní stanice– v konzole WSUS přiřaďte klienta do skupiny Workstations;
  • Žádné automatické restartování s přihlášenými uživateli pro plánované instalace automatických aktualizací: Zakázáno- systém se automaticky restartuje 5 minut po dokončení instalace aktualizace;
  • Zadejte umístění intranetové služby Microsoft Update: Povolit. Nastavte intranetovou aktualizační službu pro zjišťování aktualizací: http://srv-wsus.site:8530, Nastavte intranetový statistický server: http://srv-wsus.site:8530– adresa podnikového serveru WSUS.

V systému Windows 10 1607 a novějším, i když jste jim řekli, aby získávali aktualizace z interní služby WSUS, mohou se přesto pokusit kontaktovat servery Windows Update na internetu. Tato "funkce" se nazývá DvojíSkenovat. Chcete-li zakázat přijímání aktualizací z Internetu, musíte navíc povolit zásady DělatnedovolitAktualizaceodloženíopatřenínazpůsobitskenujeprotiOknaAktualizace ().

Rada. Pro zlepšení „úrovně záplatování“ počítačů v organizaci lze obě zásady nakonfigurovat tak, aby vynutily spuštění aktualizační služby (wuauserv) na klientech. Chcete-li to provést, v sekci Konfigurace počítače -> Zásady-> Nastavení systému Windows -> Nastavení zabezpečení -> Systémové služby Najděte službu Windows Update a nastavte její automatické spouštění ( Automatický).

Přiřazení zásad WSUS organizačním jednotkám služby Active Directory

Dalším krokem je přiřazení vytvořených zásad k příslušným kontejnerům Active Directory (OU). V našem příkladu je struktura organizační jednotky v doméně AD co nejjednodušší: jsou zde dva kontejnery – servery (obsahuje kromě doménových řadičů všechny servery organizace) a WKS (pracovní stanice – uživatelské počítače).

Rada. Zvažujeme pouze jednu poměrně jednoduchou možnost vazby zásad WSUS na klienty. Ve skutečných organizacích je možné svázat jednu zásadu WSUS na všechny počítače v doméně (GPO s nastavením WSUS je připojen ke kořenovému adresáři domény), distribuovat různé typy klientů napříč různými organizačními jednotkami (jako v našem příkladu – my vytvořili různé zásady WSUS pro servery a pracovní stanice), ve velkých distribuovaných doménách lze propojovat nebo přiřazovat GPO na základě výše uvedených metod nebo jejich kombinací.

Chcete-li přiřadit zásadu organizační jednotce, klikněte na požadovanou organizační jednotku v konzole pro správu zásad skupiny a vyberte položku nabídky Propojit jako existující GPO a vyberte vhodnou politiku.

Rada. Nezapomeňte na samostatnou organizační jednotku s řadiči domény (řadiče domény ve většině případů by tomuto kontejneru měla být přiřazena zásada „serveru“ WSUS).

Úplně stejným způsobem je potřeba přiřadit zásadu WorkstationWSUSPolicy kontejneru AD WKS, ve kterém jsou umístěny pracovní stanice Windows.

Zbývá pouze aktualizovat zásady skupiny na klientech, aby se klient svázal se serverem WSUS:

Všechna nastavení systému aktualizace Windows, která nastavíme pomocí zásad skupiny, by se měla objevit v registru klientů ve větvi HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Tento soubor reg lze použít k přenosu nastavení WSUS do jiných počítačů, které nemohou konfigurovat nastavení aktualizace pomocí GPO (počítače v pracovní skupině, izolované segmenty, DMZ atd.)

Editor registru systému Windows verze 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Je také vhodné ovládat použitá nastavení WSUS na klientech pomocí rsop.msc.

A po nějaké době (v závislosti na počtu aktualizací a šířce pásma kanálu k serveru WSUS) musíte v zásobníku zkontrolovat vyskakovací oznámení o přítomnosti nových aktualizací. Klienti by se měli objevit v konzole WSUS v příslušných skupinách (v tabulce je uveden název klienta, IP adresa, operační systém, procento z nich „opravených“ a datum poslední aktualizace stavu). Protože Počítače a servery jsme přiřadili různým skupinám WSUS podle zásad, budou dostávat pouze aktualizace schválené pro instalaci v odpovídajících skupinách WSUS.

Poznámka. Pokud se aktualizace na klientovi neobjeví, doporučujeme pečlivě prozkoumat protokol služby Windows Update Service na problematickém klientovi (C:\Windows\WindowsUpdate.log). Upozorňujeme, že Windows 10 (Windows Server 2016) používá . Klient stáhne aktualizace do místní složky C:\Windows\SoftwareDistribution\Download. Chcete-li začít hledat nové aktualizace na serveru WSUS, musíte spustit příkaz:

wuauclt/detectnow

Někdy také musíte nuceně znovu zaregistrovat klienta na serveru WSUS:

wuauclt /detectnow /resetAuthorization

Ve zvláště obtížných případech se můžete pokusit opravit službu wuauserv. Pokud k tomu dojde, zkuste změnit frekvenci kontroly aktualizací na serveru WSUS pomocí zásady frekvence zjišťování automatických aktualizací.

V příštím článku si popíšeme funkce. Doporučujeme také přečíst si článek mezi skupinami na serveru WSUS.