Töörühmades värskenduste õigeaegse installimise tagamine. WSUS-i klientide konfigureerimine rühmapoliitika abil Kus registris on Windowsi värskendused

Automaatsed värskendused on iga operatsioonisüsteemi oluline funktsionaalne funktsioon. Tänu sellele saab arvuti olulised uuendused õigeaegselt, muutes süsteemi stabiilsemaks ja turvalisemaks. Operatsioonisüsteemis Windows 7 aktiveeritakse funktsioon algselt. See tähendab, et kui on olemas ühendus Microsofti serveritega, kontrollib värskendusteenus värskete pakettide saadavust, laadib need alla ja installib. Tavaliselt kulgevad kõik protsessid kasutajale praktiliselt märkamatult, kuid kui ilmuvad pidevad pakkumised versioonile 10 uuendada, on see juba üle jõu käiv.

Teoreetiliselt pole uuenduste automaatset allalaadimist vaja keelata. See on kasulik, kuna see sulgeb turvalüngad, optimeerib OS-i tööd ja lisab sellele uusi funktsioone (seoses "kümnetega"). Samuti on nimekiri põhjustest, miks automaatse värskenduse teenus tuleks keelata:

1. Kasutajale ei meeldi, et uuendamise ajal interneti kiirus langeb ja/või arvutit ei saa pikemaks ajaks välja lülitada.
2. Arvutil on kallis või piiratud traadita internet.
3. Probleemid pärast värskendatud OS-i käivitamist.
4. Tõrked värskenduspakettide installimisel.
5. Süsteemi helitugevusel pole piisavalt ruumi, et mahutada Windows 7 mahu kasvu, mis iga värskendusega kasvab.

Liigid

Enne Windows 7 värskenduse keelamist mõelge siiski, kas see on tõesti vajalik. Lisaks teenuse väljalülitamisele saab selle lülitada järgmistele töörežiimidele.

1. Täisautomaatne – toimingud toimuvad ilma kasutaja sekkumiseta, teavitades viimast vaid pakettide installimise lõpetamisest.
2. Otsige ja laadige alla uusimad parandused ajakava järgi ning pakettide installimise teostab kasutaja.
3. Automaatne kontrollimine ja kasutaja teavitamine värskenduste saadavusest.
4. Enesevärskendus on keelatud. Kõik tehakse käsitsi.

Valikud on valitud värskenduskeskuse komponendis.

Ühenduse katkestamise meetodid

Iga Windowsi sätted salvestatakse selle registrisse. Värskenduskeskuse sätete eest vastutavale võtmele pääsete juurde mitmel lihtsal ja mõnel keerulisemal viisil. Vaatame neid kõiki.

Muutke värskenduskeskuse sätteid

Alustame teenuse enda jaoks seadistamisega. Konfiguratsiooniliidese avamiseks peate avama värskenduskeskuse, kasutades ühte järgmistest meetoditest.

Süsteem

1. Avage Minu arvuti kontekstimenüü kaudu selle "Atribuudid".

1. Vasakpoolses vertikaalmenüüs klõpsake vastaval lingil, mis asub akna allosas.

1. Minge jaotisse "Juhtpaneel".
2. Avage jaotis "Süsteem, turvalisus".

1. Kutsuge samanimelist elementi.

Kui juhtpaneeli üksused renderdatakse ikoonidena, mitte kategooriatena, kuvatakse peaaknas link üksuse juurde.

1. Nii et pärast soovitud aknasse sisenemist klõpsake "Seadete parameetrid".

1. Liikuge jaotisse "Olulised värskendused" ja valige ripploendist sobiv valik.

Ainus viis värskenduste vastuvõtmise täielikuks keelamiseks Windows 7-ga arvutis on teenuse peatamine.

Teenuse keelamine

Teenuste haldamine "seitsmes" toimub järgmiselt:

• registrivõtmete otsene redigeerimine, mis on väga ebamugav;
• kolmanda osapoole programmid OS-i konfigureerimiseks (jätke see valik vahele);
• MMC konsooli lisandmoodul;
• süsteemi konfiguratsioon;
• käsurida;
• Grupipoliitika redaktor (olemas operatsioonisüsteemis Windows 7 Ultimate, Enterprise).

Teenuse eemaldamine automaatkäivitusest

Kiireim viis värskenduste keelamiseks on süsteemikonfiguraatori kaudu.

1. Käivitage käsutõlgi aknas "msconfig", mis avaneb pärast klahvide Win + R all hoidmist või nuppu "Käivita" klõpsamist menüüs Start.

1. Minge vahekaardile "Teenused".
2. Otsige üles "Windows Update" (võib-olla Windows Update) ja tühjendage selle kõrval olev ruut.

1. Salvestage uued seaded.

Kuni praeguse seansi lõpuni töötab teenus, täites korralikult talle määratud ülesandeid. Uue konfiguratsiooni rakendamiseks tuleb Windows 7 taaskäivitada.

Kasutame MMC konsooli lisandmoodulit

Sama nimega süsteemikonsooli lisandmoodul võimaldab juurdepääsu kõigi arvuti teenuste haldamisele. See algab nii.

1. Avage kataloogi "Minu arvuti" kontekstimenüü.
2. Helistage käsule "Halda".

1. Laiendage vasakpoolses vertikaalses menüüs üksust „Teenused ja rakendused”. Järgmisena klõpsake lingil "Teenused".

Lihtsam võimalus sama akna väljakutsumiseks oleks käivitada käsk “services.msc” läbi dialoogi “Käivita”.

1. Kerige teenuste loendi lõppu ja avage Windows Update'i teenuse "Atribuudid".

1. Rippmenüüs "Käivitustüüp" valige "Automaatne" asemel "Keelatud", et automaatsete värskendustega igaveseks hüvasti jätta. Kui teil on vaja teenus kohe keelata, klõpsake kindlasti nuppu "Stopp". Salvestage uued sätted nupuga "Rakenda" ja sulgege kõik aknad.

Seadete rakendamiseks ei pea arvutit taaskäivitama.

Grupipoliitika redaktor

Teine MMC lisandmoodul, mida nimetatakse kohaliku rühmapoliitika redaktoriks, aitab teil konfigureerida mis tahes süsteemiparameetreid.

See pole Seitsmeste koduväljaandes saadaval!

1. Tööriista käivitamiseks käivitatakse käsk "gpedit.msc" läbi "Run" akna.

1. Alamjaotises "Arvuti konfiguratsioon" laiendage haru "Haldusmallid".

1. Avage "Windowsi komponendid" ja leidke värskenduskeskus.
2. Akna paremas servas leiame parameetri, mille nimi algab sõnadega "Auto-update settings".
3. Avage selle seaded.

1. Liigutage märkeruut asendisse "Keela" ja klõpsake akna sulgemiseks ja muudatuste salvestamiseks "OK".

Kasutame käsurida

Käsurea kaudu tehakse kõik samad toimingud nagu graafilise liidese kasutamisel ja veelgi enam, kuid tekstirežiimis. Peaasi on teada nende süntaksit ja parameetreid.

Käsk "cmd" vastutab käsurea kutsumise eest.

1. Avage käsutõlk ja käivitage see.

See artikkel võtab kokku mulle teadaolevad meetodid WSUS-agendi parandamiseks.

1. Esimene skript on kõige lihtsam ja tegelikult ei kasutata seda isegi raviks, vaid värskenduste kontrollimiseks ja samal ajal puhastab kausta, kuhu kogunevad juba installitud värskenduste distributsioonid:

wsus_detect_manual.cmd

net stop wuauserv && net stop bits && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow väljuda

2. Teist skripti on vaja jõudeoleva WSUS-teenuse taaselustamiseks. See puhastab vanad värskendused, mille järel nimetatakse SoftwareDistributioni ja Catroot2 kaustad ümber, mis toob kaasa nende uuesti loomise teenuse taaskäivitamisel. Seejärel registreeritakse süsteemi dll-teekid uuesti.

fix_wsus_service.cmd

net stop bitid
netopeatus wuauserv
netopeatus cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

võrgu algusbitid
net start wuauserv
net start cryptsvc

wuauclt/detectnow

väljuda

3. Seda skripti kasutatakse juhtudel, kui arvuti klooniti hiljuti või kui arvuti pole kunagi WSUS-is registreerunud. See erineb eelmisest ainult eelviimase rea poolest, kus autoriseerimine lähtestatakse ja identifikaator genereeritakse uuesti. Tsiteerin lihtsalt seda rida:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@kaja sisse
netopeatus wuauserv
REG DELETE "HKLM\TARKVARA\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\TARKVARA\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow

5. Mõnikord, et kõik toimiks, peate WSUS-i agendi uuesti installima. Kõigepealt peate alla laadima uusima Windows Update Agenti ja seejärel installima vastava väljaande

Windowsi x32 versioonide jaoks

windowsupdateagent30-x86.exe /wuforce

Windowsi x64 versioonide jaoks

windowsupdateagent30-x64.exe /wuforce

Kui olete Itaniumi õnnelik omanik, võite ise arvata :-)

Pärast agendi installimist peate taaskäivitama.

6. Vigade 0x80070005 “ravimiseks”, s.o. juurdepääsuvigade korral võib allolev skript kasulik olla. See taastab administraatori ja süsteemi juurdepääsu registrile ja süsteemikaustadele.

Selle skripti käitamiseks vajate Microsofti utiliiti subinacl.exe. See sisaldub Windows Server 2003 ressursikomplektis, kuid te ei tohiks kasutada seal sisalduvat versiooni, kuna Seal on mõned ebameeldivad vead. Peaksite alla laadima subinacl.exe versiooni 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@kaja väljas
REM Rakendage tõrkeid 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /alamkataloogid %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /alamkataloogid %SystemDrive% /grant=süsteem=f

Kõiki neid skripte saab probleemide ilmnemisel käivitada peaaegu automaatselt. Kui selle tulemusena probleem ei lahene, peate seda lähemalt uurima. Ja siin vajame sama Windowsupdate.logi, mis asub Windowsi kausta juurtes. Kui arvuti on probleemne, on see fail suur. Lihtsuse huvides on soovitatav see enne skriptide käivitamist eemaldada. Peaaegu kõik skriptid annavad käsu selle eemaldamiseks, kuid kõik pole nii lihtne. Vaatamata wuauservi teenuse seiskamisele on see tavaliselt IE-s jne avatud. Seetõttu on keeruline viis. Ma käivitan

notepad.exe %windir%\windowsupdate.log

Valin kogu teksti, kustutan selle ja salvestan vana faili asemel (ärge unustage salvestamise dialoogis muuta failitüübiks *.*, muidu on vaikimisi *.txt)

Tasub teada, et on juhtumeid, mil klienti ei ole võimalik sundida wsus-ist värskendama. Mul on paari Windows Server 2003 R2-ga pretsedente, millest ma pole suutnud üle saada. Seetõttu uuendan neid Interneti kaudu :-)

Värsketel operatsioonisüsteemidel, nagu Windows 7, Windows 2008, on mõnikord käivitamisega raskusi. Sellistel juhtudel kasutatakse empiiriliselt sellist algoritmi nagu:
1. Värskendage esimest korda Microsofti veebisaidilt agendivärskendusega
2. Seejärel värskendame agenti kohapeal
3. Ja siis hakkab kõik tööle

Loodan, et meie töö viljad aitavad kedagi.

Lihtsuse huvides postitan kõik need skriptid valmis kujul:

Tere kõigile, täna märkus rohkem enda jaoks, nimelt Windows Update'i serverite loend. Miks võib see olla kasulik näiteks siis, kui WSUS-i rolli installimisel kuvatakse tõrketeade Värskendust ei leitud või vastupidi, soovite mingil põhjusel need keelata, liikluse säästmiseks, kui teil pole WSUS-i, kuna mitte kõik Windowsid uuendused on head ja eriti oma moodsates versioonides pole minu meelest mõtet viga meelde tuletada, kuigi seda nimekirja võib väga pikalt jätkata. Põhjus pole oluline, peamine on teada, et see on olemas ja sellega saab kuidagi tööd teha. Allpool näitan teile meetodeid Microsofti värskendusserveri aadresside blokeerimiseks, nii universaalseks, üksikule arvutile sobivaks kui ka ettevõttesiseseks tsentraliseeritud haldamiseks.

Miks Windowsi värskendusi ei installita?

Siin on ekraanipilt veast, kui teie Microsofti värskendusserveri aadress pole saadaval. Nagu näete, pole viga väga informatiivne. Ma saan selle serverisse, mis mängib WSUS-i rolli, kes ei mäleta, mis see on, siis see on ettevõtete kohalik värskenduskeskus liikluse säästmiseks ja see on koht, kuhu Windowsi värskendusi ei installita Microsofti serverite puudumine.

Mida teha, kui Windowsi värskendusi pole installitud

• Kõigepealt peaksite kontrollima, kas teil on Internet, kuna selle olemasolu on enamiku inimeste jaoks kohustuslik, välja arvatud juhul, kui teil on Active Directory domeen ja laadite need oma WSUS-ist alla.
• Järgmiseks, kui Internet on olemas, vaadake veakoodi, kuna just selle järgi peate otsima teavet probleemi lahendamise kohta (viimastest probleemidest võin tuua näite, kuidas tõrge 0x80070422 või viga c1900101 lahendatakse), kuid nimekirja võib hoida ka väga kaua.
• Kontrollime oma puhverserveris, kas järgmistel Microsofti värskendusserveri aadressidel on keeld.

Microsofti värskendusserverite loend ise

1. http://windowsupdate.microsoft.com
2. http://*.windowsupdate.microsoft.com
3. https://*.windowsupdate.microsoft.com
4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
5. http://*.update.microsoft.com
6. https://*.update.microsoft.com
7. http://*.windowsupdate.com
8. https://activation.sls.microsoft.com/
9. http://download.windowsupdate.com
10. http://download.microsoft.com
11. http://*.download.windowsupdate.com
12. http://wustat.windows.com
13. http://ntservicepack.microsoft.com
14. https://go.microsoft.com/
15. http://go.microsoft.com/
16. https://login.live.com
17. https://validation.sls.microsoft.com/
18. https://activation-v2.sls.microsoft.com/
19. https://validation-v2.sls.microsoft.com/
20. https://displaycatalog.mp.microsoft.com/
21. https://licensing.mp.microsoft.com/
22. https://purchase.mp.microsoft.com/
23. https://displaycatalog.md.mp.microsoft.com/
24. https://licensing.md.mp.microsoft.com/
25. https://purchase.md.mp.microsoft.com/

Interneti arenedes on operatsioonisüsteemi pidev uuendamine muutunud igapäevaseks. Nüüd saavad arendajad süsteemi kogu selle tugiperioodi jooksul parandada ja täiustada. Kuid sagedased Windows 10 värskendused pole alati mugavad. Sellepärast oleks hea, kui saaks need välja lülitada.

Automaatsete värskenduste väljalülitamise põhjused

Põhjused võivad olla väga erinevad ja ainult teie saate otsustada, kui palju peate värskendusi keelama. Tasub arvestada, et koos teatud võimaluste täiustustega tarnitakse ka olulisi parandusi süsteemi haavatavuste jaoks. Ja veel, olukordi, kus sõltumatud värskendused tuleks keelata, tekivad üsna sageli:

• tasuline Internet - mõnikord on värskendus üsna suur ja selle allalaadimine võib olla kulukas, kui maksate liikluse eest. Sel juhul on parem allalaadimine edasi lükata ja muudel tingimustel hiljem alla laadida;
• ajapuudus - pärast allalaadimist hakkab värskendus installima, kui arvuti on välja lülitatud. See võib olla ebamugav, kui peate töö kiiresti välja lülitama, näiteks sülearvuti puhul. Kuid veelgi hullem on see, et varem või hiljem nõuab Windows 10 arvuti taaskäivitamist ja kui te seda ei tee, siis mõne aja pärast on taaskäivitamine sunnitud. Kõik see segab ja segab tööd;
• turvalisus – kuigi uuendused ise sisaldavad sageli olulisi süsteemimuudatusi, ei oska keegi kunagi kõike ette näha. Selle tulemusena võivad mõned värskendused avada teie süsteemi viiruste rünnakule, teised aga lihtsalt katkestavad selle kohe pärast installimist. Sellises olukorras on mõistlik lähenemine värskendada mõnda aega pärast järgmise versiooni väljaandmist, olles eelnevalt tutvunud arvustustega.

Keelake Windows 10 automaatsed värskendused

Windows 10 värskenduste väljalülitamiseks on palju võimalusi. Mõned neist on kasutaja jaoks väga lihtsad, teised on keerulisemad ja teised nõuavad kolmandate osapoolte programmide installimist.

Keelamine värskenduskeskuse kaudu

Värskenduse kasutamine selle keelamiseks pole parim valik, kuigi Microsofti arendajad pakuvad seda ametliku lahendusena. Tegelikult saate värskenduste automaatse allalaadimise nende seadete kaudu välja lülitada. Probleem on selles, et see lahendus on ühel või teisel viisil ajutine. Suurema Windows 10 värskenduse väljaandmine muudab seda sätet ja toob tagasi süsteemivärskendused. Kuid me uurime ikkagi sulgemisprotsessi:

Pärast neid muudatusi väiksemaid värskendusi enam ei installita. Kuid see lahendus ei aita teil värskenduste allalaadimisest igaveseks vabaneda.

Ühes eelmistest artiklitest kirjeldasime protseduuri üksikasjalikult. Pärast serveri konfigureerimist peate konfigureerima Windowsi kliendid (serverid ja tööjaamad) kasutama värskenduste vastuvõtmiseks WSUS-serverit, nii et kliendid saaksid värskendusi sisemisest värskendusserverist, mitte Microsoft Update'i serveritest Interneti kaudu. Selles artiklis käsitleme klientide konfigureerimist WSUS-serveri kasutamiseks Active Directory domeenirühmapoliitikate abil.

AD rühmapoliitikad võimaldavad administraatoril määrata arvuteid automaatselt erinevatele WSUS-rühmadele, välistades vajaduse arvuteid käsitsi WSUS-konsoolis rühmade vahel teisaldada ja neid rühmi ajakohasena hoida. Klientide määramine erinevatesse WSUS-i sihtrühmadesse toimub kliendi registrisildi alusel (sildid määratakse rühmapoliitikaga või registrit otse redigeerides). Seda tüüpi klientide määramist WSUS-i rühmadesse nimetatakse klientpoolsihtimine(Kliendipoolne sihtimine).

Eeldatakse, et meie võrk kasutab kahte erinevat värskenduspoliitikat – serverite jaoks eraldi värskenduse installipoliitikat ( Serverid) ja tööjaamade jaoks ( Tööjaamad). Need kaks rühma tuleb luua WSUS-i konsooli jaotises Kõik arvutid.

Nõuanne. Klientide WSUS-i värskendusserveri kasutamise poliitika sõltub suuresti Active Directory OU organisatsioonilisest struktuurist ja organisatsiooni värskenduse installireeglitest. Selles artiklis vaatleme ainult ühte konkreetset valikut, mis võimaldab teil mõista Windowsi värskenduste installimiseks AD-poliitika kasutamise põhiprintsiipe.

Kõigepealt peate WSUS-i (sihtimise) konsoolis määrama arvuti rühmitamise reegli. Vaikimisi jaotab administraator arvutid WSUS-konsoolis käsitsi rühmadesse (serveripoolne sihtimine). Me ei ole sellega rahul, seega juhime tähelepanu sellele, et arvutid jaotatakse rühmadesse, mis põhinevad kliendipoolsel sihtimisel (kliendiregistris kindla võtmega). Selleks minge WSUS-i konsoolis jaotisesse Valikud ja avage parameeter Arvutid. Muutke väärtuseks Kasutage arvutites rühmapoliitikat või registrisätet(Kasutage arvutites rühmapoliitikat või registrisätteid).

Nüüd saate WSUS-i klientide konfigureerimiseks luua GPO. Avage domeeni rühmapoliitika halduskonsool ja looge kaks uut rühmapoliitikat: ServerWSUSPolicy ja WorkstationWSUSPolicy.

WSUS-i rühmapoliitika Windowsi serverite jaoks

Alustame serveripoliitika kirjeldusega Server WSUSPpoliitika.

Windows Update'i teenuse toimimise eest vastutavad rühmapoliitika sätted asuvad jaotises GPO: ArvutiSeadistamine -> Eeskirjad-> Administratiivnemallid-> WindowsKomponent-> WindowsVärskenda(Arvuti konfiguratsioon -> Haldusmallid -> Windowsi komponendid -> Windows Update).

Meie organisatsioonis eeldame, et kasutame seda poliitikat WSUS-i värskenduste installimiseks Windowsi serveritesse. Eeldatakse, et kõik selle poliitikaga hõlmatud arvutid määratakse WSUS-i konsooli serverite rühma. Lisaks soovime vältida värskenduste automaatset installimist serveritesse nende vastuvõtmisel. WSUS-i klient peab lihtsalt saadaolevad värskendused kettale alla laadima, kuvama hoiatuse süsteemisalves uute värskenduste kohta ja ootama, kuni administraator alustab installimist (kas käsitsi või kaugjuhtimisega), et alustada installimist. See tähendab, et tootlikud serverid ei installi värskendusi ega taaskäivita automaatselt ilma administraatori loata (tavaliselt teeb neid töid süsteemiadministraator igakuise plaanilise hoolduse raames). Sellise skeemi rakendamiseks kehtestame järgmised eeskirjad:

• SeadistageAutomaatneVärskendused(Automaatse värskenduse seadistamine): Luba. 3 – Automaatnelae allajateatamajaoksinstallida(Laadige värskendused automaatselt alla ja teavitage teid, kui need on installimiseks valmis)– klient laadib automaatselt alla uued uuendused ja annab teada nende saadavusest;
• TäpsustageIntranetMicrosoftvärskendadateenustasukoht(Täpsustage sisevõrgu Microsoft Update'i asukoht): Luba. Seadistage sisevõrgu värskendusteenus värskenduste tuvastamiseks: http://srv-wsus.site:8530, Määrake sisevõrgu statistika server: http://srv-wsus.site:8530– siin tuleb määrata oma WSUS-serveri ja statistikaserveri aadress (tavaliselt on need samad);
• Ajastatud automaatsete värskenduste installimisel sisseloginud kasutajate puhul automaatset taaskäivitamist ei toimu(Ärge taaskäivitage automaatselt värskenduste automaatsel installimisel, kui süsteemis on kasutajaid): Luba– keelata kasutaja seansi ajal automaatne taaskäivitamine;
• Lubaklient- poolsihtimine ( Luba kliendil sihtrühmaga liituda): Luba. Selle arvuti sihtrühma nimi: Serverid– määrake WSUS-i konsoolis kliendid rühmale Serverid.

Märge. Värskenduspoliitika seadistamisel soovitame teil hoolikalt tutvuda kõigi jaotise GPO suvandite kõigi sätetega. WindowsVärskenda ja määrake parameetrid, mis sobivad teie infrastruktuuri ja organisatsiooniga.

WSUS-i värskenduse installipoliitika tööjaamadele

Eeldame, et erinevalt serveripoliitikast installitakse kliendi tööjaamade värskendused automaatselt öösel kohe pärast värskenduste saamist. Pärast värskenduste installimist peaksid arvutid automaatselt taaskäivitama (hoiatades kasutajat 5 minutit ette).

Selles GPO-s (WorkstationWSUSPpolicy) täpsustame:

• LubamaAutomaatneVärskendusedkohenepaigaldus(Lubage automaatsete värskenduste kohene installimine): Keelatud- uuenduste kohese installimise keeld pärast nende vastuvõtmist;
• Lubamamitte-administraatoridjuurdesaadavärskendadateateid(Luba administraatorita kasutajatel saada värskendusteateid): Lubatud- kuvama hoiatuse mitteadministraatoritele uute värskenduste kohta ja lubama nende käsitsi installimist;
• Automaatsete värskenduste konfigureerimine:Lubatud. Konfigureerige automaatne värskendamine: 4 - Automaatne allalaadimine ja installimise ajastamine. Planeeritud installipäev: 0 - Igapäeval. Planeeritud installiaeg: 05:00 – uute värskenduste saabumisel laadib klient need kohalikku vahemällu ja ajastab nende automaatse installimise kell 5.00;
• Selle arvuti sihtrühma nimi: Tööjaamad– määrake klient WSUS-i konsoolis tööjaamade rühma;
• Ajastatud automaatsete värskenduste installimisel sisseloginud kasutajatega automaatset taaskäivitamist ei toimu: Keelatud- süsteem taaskäivitub automaatselt 5 minutit pärast värskenduse installimise lõpetamist;
• Määrake intraneti Microsofti värskendusteenuse asukoht: Luba. Seadistage sisevõrgu värskendusteenus värskenduste tuvastamiseks: http://srv-wsus.site:8530, Määrake sisevõrgu statistika server: http://srv-wsus.site:8530– ettevõtte WSUS-serveri aadress.

Operatsioonisüsteemis Windows 10 1607 ja uuemates versioonides, kuigi olete käskinud neil hankida värskendusi sisemisest WSUS-ist, võivad nad siiski proovida Internetis Windows Update'i serveritega ühendust võtta. Seda "funktsiooni" nimetatakse KahekordneSkaneeri. Internetist värskenduste saamise keelamiseks peate lisaks poliitika lubama TeemittelubamavärskendadaedasilükkaminepoliitikatjuurdepõhjusskaneeribvastuWindowsVärskenda ().

Nõuanne. Organisatsioonis olevate arvutite parandamise taseme parandamiseks saab mõlemat poliitikat konfigureerida, et sundida klientidele värskendusteenuse (wuauserv) käivitamist. Selleks jaotises Arvuti konfiguratsioon -> Poliitika-> Windowsi sätted -> Turvasätted -> Süsteemiteenused Otsige üles Windows Update'i teenus ja määrake see automaatselt käivituma ( Automaatne).

WSUS-i poliitikate määramine Active Directory OU-dele

Järgmine samm on määratud poliitikad vastavatele Active Directory konteineritele (OU-dele). Meie näites on AD-domeeni OU-struktuur võimalikult lihtne: seal on kaks konteinerit – serverid (sisaldab lisaks domeenikontrolleritele kõiki organisatsiooni servereid) ja WKS (tööjaamad – kasutajaarvutid).

Nõuanne. Kaalume ainult ühte üsna lihtsat võimalust WSUS-i poliitika klientidele sidumiseks. Reaalsetes organisatsioonides on võimalik siduda üks WSUS-poliitika kõigi domeeni arvutitega (domeeni juurele on lisatud WSUS-i seadistustega GPO), jaotada erinevat tüüpi kliente erinevate OU-de vahel (nagu meie näites - me loodud serverite ja tööjaamade jaoks erinevad WSUS-poliitikad), saab suurtes hajutatud domeenides linkida või määrata GPO-sid ülaltoodud meetodite või nende kombinatsioonide alusel.

OU-le poliitika määramiseks klõpsake rühmapoliitika halduskonsoolis soovitud OU-l ja valige menüükäsk Link olemasoleva GPO-na ja valige sobiv poliitika.

Nõuanne. Ärge unustage domeenikontrolleritega (domeenikontrolleritega) eraldi OU-d, enamikul juhtudel tuleks sellele konteinerile määrata WSUS-i "serveri" poliitika.

Täpselt samal viisil peate määrama poliitika WorkstationWSUSPpolicy AD WKS-i konteinerile, milles Windowsi tööjaamad asuvad.

Jääb üle vaid värskendada klientide rühmapoliitikaid, et siduda klient WSUS-serveriga:

Kõik Windowsi värskenduse süsteemisätted, mille me rühmapoliitikate abil määrame, peaksid ilmuma haru kliendiregistris HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Seda reg-faili saab kasutada WSUS-i sätete edastamiseks teistele arvutitele, mis ei saa GPO-ga värskendussätteid konfigureerida (töörühma arvutid, eraldatud segmendid, DMZ jne).

Windowsi registriredaktori versioon 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Serverid"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Rakendatud WSUS-i seadeid on mugav juhtida ka rsop.msc abil klientidele.

Ja mõne aja pärast (olenevalt värskenduste arvust ja kanali ribalaiusest WSUS-i serverisse) peate salves kontrollima hüpikteatisi uute värskenduste olemasolu kohta. Kliendid peaksid ilmuma WSUS-i konsoolis vastavates rühmades (tabelis kuvatakse kliendi nimi, IP, OS, nende "paigatud" protsent ja viimase olekuvärskenduse kuupäev). Sest Oleme määranud arvuteid ja servereid erinevatele WSUS-rühmadele poliitikate alusel. Nad saavad ainult vastavates WSUS-rühmades installimiseks heaks kiidetud värskendusi.

Märge. Kui kliendis värskendusi ei kuvata, on soovitatav hoolikalt uurida probleemse kliendi Windows Update Service'i logi (C:\Windows\WindowsUpdate.log). Pange tähele, et Windows 10 (Windows Server 2016) kasutab . Klient laadib värskendused alla kohalikku kausta C:\Windows\SoftwareDistribution\Download. WSUS-i serveris uute värskenduste otsimise alustamiseks peate käivitama käsu:

wuauclt/detectnow

Samuti peate mõnikord klienti WSUS-i serveris sunniviisiliselt uuesti registreerima:

wuauclt /detectnow /resetAuthorization

Eriti rasketel juhtudel võite proovida wuauservi teenust parandada. Kui see juhtub, proovige muuta WSUS-serveris värskenduste otsimise sagedust, kasutades automaatvärskenduste tuvastamise sageduse poliitikat.

Järgmises artiklis kirjeldame funktsioone. Samuti soovitame lugeda artiklit rühmade vahel WSUS-serveris.