Osiguravanje pravovremene instalacije ažuriranja u radnim grupama. Konfiguriranje WSUS klijenata pomoću grupnih pravila Gdje se u registru nalaze Windows ažuriranja

Automatska ažuriranja važna su funkcionalna značajka svakog operativnog sustava. Zahvaljujući njemu, računalo prima važna ažuriranja na vrijeme, čineći sustav stabilnijim i sigurnijim. U sustavu Windows 7 funkcija se inicijalno aktivira. To znači da ako postoji veza s Microsoftovim poslužiteljima, usluga ažuriranja provjerava dostupnost svježih paketa, preuzima ih i instalira. Obično se svi procesi odvijaju gotovo nezapaženo od strane korisnika, ali kada se pojavljuju stalne ponude za nadogradnju na 10, to je već pretjerano.

Teoretski, nema potrebe za onemogućavanjem automatskog preuzimanja ažuriranja. Korisno je jer uklanja sigurnosne rupe, optimizira rad OS-a i dodaje mu nove značajke (što se tiče "desetki"). Tu je i popis razloga zašto bi usluga automatskog ažuriranja trebala biti onemogućena:

  1. Korisniku se ne sviđa što tijekom ažuriranja brzina interneta pada i/ili se računalo ne može isključiti na dulje vrijeme.
  2. Računalo ima skup ili ograničen bežični internet.
  3. Problemi nakon pokretanja ažuriranog OS-a.
  4. Greške tijekom instalacije paketa ažuriranja.
  5. Nema dovoljno prostora na volumenu sustava da bi se prilagodio povećanom volumenu sustava Windows 7, koji raste sa svakim ažuriranjem.

Vrste

Ipak, prije nego što onemogućite ažuriranje sustava Windows 7, razmislite je li ono doista potrebno. Osim deaktivacije usluge, moguće ju je prebaciti na sljedeće načine rada.

  1. Potpuno automatski - operacije se odvijaju bez intervencije korisnika, samo se obavještava korisnika da je instalacija paketa završena.
  2. Pretražuje i preuzima najnovije popravke prema rasporedu, a instalaciju paketa obavlja sam korisnik.
  3. Automatska provjera i obavještavanje korisnika o dostupnosti ažuriranja.
  4. Samoažuriranje je onemogućeno. Sve se radi ručno.

Opcije su odabrane u komponenti Update Center.

Metode odspajanja

Postavke bilo kojeg sustava Windows pohranjene su u njegovom registru. Ključu koji je odgovoran za postavke Centra za ažuriranje možete pristupiti na nekoliko jednostavnih i nekoliko složenijih načina. Pogledajmo ih sve.

Promijenite postavke Centra za ažuriranje

Počnimo s postavljanjem usluge za sebe. Za pristup konfiguracijskom sučelju morate otvoriti “Centar za ažuriranje” na jedan od sljedećih načina.

Sustav

  1. Kroz kontekstni izbornik Moje računalo pozovite njegova "Svojstva".
  1. U lijevom okomitom izborniku kliknite na odgovarajuću poveznicu koja se nalazi na dnu prozora.

  1. Idite na "Upravljačku ploču".
  2. Otvorite odjeljak "Sustav, sigurnost".
  1. Nazovite istoimeni element.

Ako su stavke upravljačke ploče prikazane kao ikone, a ne kategorije, poveznica na stavku pojavit će se u glavnom prozoru.

  1. Dakle, nakon što uđete u željeni prozor, kliknite "Parametri postavki".
  1. Prijeđite na odjeljak "Važna ažuriranja" i odaberite odgovarajuću opciju s padajućeg popisa.

Jedini način da potpuno onemogućite primanje ažuriranja na računalu sa sustavom Windows 7 je zaustaviti uslugu.

Onemogućavanje usluge

Upravljanje uslugama u "sedmorici" odvija se kroz:

  • izravno uređivanje ključeva registra, što je vrlo nezgodno;
  • programi trećih strana za konfiguriranje OS-a (preskočit ćemo ovu opciju);
  • MMC konzola snap-in;
  • sistemska konfiguracija;
  • naredbeni redak;
  • Uređivač grupnih pravila (prisutan u sustavu Windows 7 Ultimate, Enterprise).

Uklanjanje usluge iz automatskog pokretanja

Najbrži način za onemogućavanje ažuriranja je putem konfiguratora sustava.

  1. Izvršite “msconfig” u prozoru tumača naredbi koji će se otvoriti nakon što držite pritisnute tipke Win + R ili kliknete na gumb “Pokreni” u Startu.
  1. Idite na karticu "Usluge".
  2. Pronađite “Windows Update” (možda Windows Update) i poništite okvir pokraj njega.
  1. Spremite nove postavke.

Do kraja tekuće sesije, usluga će raditi, pravilno obavljajući zadatke koji su joj dodijeljeni. Za primjenu nove konfiguracije potrebno je ponovno pokrenuti Windows 7.

Upotrijebimo dodatak MMC konzole

Istoimeni dodatak konzole sustava omogućuje pristup upravljanju svim uslugama na računalu. Počinje ovako.

  1. Otvorite kontekstni izbornik direktorija "Moje računalo".
  2. Pozovite naredbu "Upravljanje".
  1. U lijevom okomitom izborniku proširite stavku "Usluge i aplikacije". Zatim kliknite vezu "Usluge".

Jednostavnija opcija za pozivanje istog prozora bila bi pokretanje naredbe “services.msc” kroz dijaloški okvir “Pokreni”.

  1. Dođite do samog kraja popisa usluga i otvorite "Svojstva" usluge Windows Update.
  1. Na padajućem popisu "Vrsta pokretanja" odaberite "Onemogućeno" umjesto "Automatski" kako biste se zauvijek oprostili od automatskih ažuriranja. Ako sada trebate onemogućiti uslugu, svakako kliknite "Zaustavi". Spremite nove postavke pomoću gumba "Primijeni" i zatvorite sve prozore.

Računalo se ne mora ponovno pokrenuti za primjenu postavki.

Uređivač pravila grupe

Još jedan MMC dodatak koji se zove uređivač pravila lokalne grupe pomoći će vam da konfigurirate bilo koji parametar sustava.

Nije dostupan u kućnom izdanju Sedmice!

  1. Alat se pokreće pokretanjem naredbe “gpedit.msc” kroz prozor “Pokreni”.
  1. U pododjeljku "Konfiguracija računala" proširite granu "Administrativni predlošci".
  1. Otvorite komponente sustava Windows i potražite Centar za ažuriranje.
  2. Na desnoj strani prozora nalazimo parametar čije ime počinje s "Postavke automatskog ažuriranja".
  3. Pozovite njegove postavke.
  1. Pomaknite potvrdni okvir na položaj "Onemogući" i kliknite "U redu" kako biste zatvorili prozor i spremili promjene.

Upotrijebimo naredbeni redak

Kroz naredbeni redak izvode se sve iste operacije kao i korištenjem grafičkog sučelja, pa čak i više, ali u tekstualnom načinu. Glavna stvar je znati njihovu sintaksu i parametre.

Naredba “cmd” odgovorna je za pozivanje naredbenog retka.

  1. Otvorite interpreter naredbi i izvršite ga.


Ovaj članak sažima meni poznate metode za popravljanje WSUS agenta.

1. Prva skripta je najjednostavnija i zapravo se čak ne koristi za liječenje, već za prisilno pokretanje provjere ažuriranja, a istovremeno čisti mapu u kojoj se nakupljaju distribucije već instaliranih ažuriranja:

wsus_detect_manual.cmd

net stop wuauserv && net stop bitovi && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow Izlaz

2. Druga skripta je potrebna kako bi se "oživjela" neaktivna WSUS usluga. Čisti stara ažuriranja, nakon čega se mape SoftwareDistribution i Catroot2 preimenuju, što će dovesti do njihovog ponovnog stvaranja kada se usluga ponovno pokrene. Zatim se sistemske dll biblioteke ponovno registriraju.

popraviti_wsus_service.cmd

neto stop bitovi
net stop wuauserv
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

neto početni bitovi
net start wuauserv
net start cryptsvc

wuauclt/detectnow

Izlaz

3. Ova se skripta koristi u slučajevima kada je računalo nedavno klonirano ili u slučajevima kada se računalo nikad nije registriralo na WSUS. Od prethodnog se razlikuje samo u pretposljednjem retku, u kojem se resetira autorizacija i regenerira identifikator. Samo ću citirati ovaj redak:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@jeka uključena
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow

5. Ponekad, da bi sve radilo, morate ponovno instalirati WSUS agent. Prvo morate preuzeti najnoviji Windows Update Agent, a zatim instalirati odgovarajuće izdanje

za x32 verzije sustava Windows

windowsupdateagent30-x86.exe /wuforce

za x64 verzije sustava Windows

windowsupdateagent30-x64.exe /wuforce

Jeste li sretni vlasnik Itaniuma, možete i sami pogoditi :-)

Nakon instaliranja agenta morate se ponovno pokrenuti.

6. Za “liječenje” grešaka 0x80070005, tj. pogreške pristupa, skripta u nastavku može biti korisna. Vraća administratorski i sistemski pristup registru i sistemskim mapama.

Za pokretanje ove skripte trebat će vam Microsoftov uslužni program subinacl.exe. Uključen je u paket resursa za Windows Server 2003, ali ne biste trebali koristiti verziju koja je tamo uključena jer Ima tu nekih gadnih buba. Trebali biste preuzeti subinacl.exe verziju 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo isključen
REM Prijavite se za pogreške 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /poddirektoriji %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /poddirektoriji %SystemDrive% /grant=sustav=f

Sve te skripte mogu se izvršiti gotovo automatski ako se pojave problemi. Ako, kao rezultat toga, problem nije riješen, onda ga morate pobliže razmotriti. I ovdje ćemo trebati isti windowsupdate.log, koji se nalazi u korijenu mape Windows. Ako je računalo problematično, onda je ova datoteka velika. Radi jednostavnosti, preporučljivo je ukloniti ga prije pokretanja skripti. Gotovo sve skripte daju naredbu za uklanjanje, ali nije sve tako jednostavno. Unatoč zaustavljanju usluge wuauserv, ona obično i dalje ostaje otvorena u IE, itd. Stoga postoji lukav način. lansiram

notepad.exe %windir%\windowsupdate.log

Odaberem sav tekst, izbrišem ga i spremim umjesto stare datoteke (ne zaboravite promijeniti vrstu datoteke u *.* u dijalogu za spremanje, inače je zadana *.txt)

Vrijedno je napomenuti da postoje slučajevi kada nije moguće prisiliti klijenta da se ažurira s wsus-a. Imam presedane s nekoliko Windows Servera 2003 R2 koje nisam uspio prevladati. Zato ih ažuriram putem interneta :-)

Svježi operativni sustavi kao što su Windows 7, Windows 2008 ponekad imaju poteškoća s pokretanjem. Za takve slučajeve, empirijski, algoritam poput:
1. Prvo ažurirajte s Microsoftove web stranice s ažuriranjem agenta
2. Zatim lokalno ažuriramo agenta
3. I tada sve počinje funkcionirati

Nadam se da će plodovi našeg rada nekome pomoći.

Radi jednostavnosti, objavljujem sve ove skripte u gotovom obliku:

Pozdrav svima, danas još jedna napomena za sebe, naime popis poslužitelja Windows Update. Zašto bi ovo moglo biti korisno, na primjer, ako ste dobili pogrešku Update not found kada instalirate WSUS ulogu, ili obrnuto iz nekog razloga ih želite zabraniti, da uštedite promet ako nemate WSUS, jer nisu svi Windowsi ažuriranja su dobra, a posebno u modernim verzijama, mislim da nema smisla podsjećati na pogrešku, iako se ovaj popis može nastaviti jako dugo. Razlog nije važan, glavna stvar je znati da postoji i da možete nekako raditi s njim. U nastavku ću vam pokazati metode za zabranu adresa Microsoftovih poslužitelja za ažuriranje, univerzalne, prikladne za pojedinačno računalo i za centralizirano upravljanje unutar poduzeća.

Zašto se Windows ažuriranja ne instaliraju?

Ovdje je snimak zaslona pogreške ako adresa vašeg Microsoftovog poslužitelja za ažuriranje nije dostupna. Kao što vidite, pogreška nije vrlo informativna. Dobivam ga na poslužitelju koji igra ulogu WSUS-a, za one koji se ne sjećaju što je to, onda je ovo lokalni centar za ažuriranje za poduzeća, radi uštede prometa, a ovdje se ažuriranja za Windows ne instaliraju zbog nedostatak dostupnosti Microsoftovih poslužitelja.

Što učiniti ako ažuriranja za Windows nisu instalirana

  • Prije svega provjerite imate li internet, jer je njegova prisutnost obavezna za većinu ljudi, osim naravno ako nemate Active Directory domenu i preuzimate ih sa svog WSUS-a
  • Dalje, ako postoji internet, pogledajte kod greške, jer po njemu trebate tražiti informacije o rješavanju problema (iz nedavnih problema mogu dati primjer kako se rješava pogreška 0x80070422 ili pogreška c1900101), ali popis se također može čuvati jako dugo.
  • Na našem proxy poslužitelju provjeravamo postoji li zabrana sljedećih adresa poslužitelja za ažuriranje Microsofta.

Sam popis Microsoftovih poslužitelja za ažuriranje

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

S razvojem Interneta, stalno ažuriranje operativnog sustava postalo je uobičajeno. Sada programeri mogu popraviti i poboljšati sustav tijekom cijelog razdoblja podrške. Ali česta ažuriranja sustava Windows 10 nisu uvijek zgodna. Zato bi bilo dobro da ih možete isključiti.

Razlozi za isključivanje automatskog ažuriranja

Razlozi mogu biti vrlo različiti, a samo vi možete odlučiti koliko trebate onemogućiti ažuriranja. Vrijedno je uzeti u obzir da se uz poboljšanja određenih mogućnosti isporučuju i važni popravci za ranjivosti sustava. Pa ipak, često se javljaju situacije kada bi neovisna ažuriranja trebala biti onemogućena:

  • plaćeni internet - ponekad je ažuriranje prilično veliko i njegovo preuzimanje može biti skupo ako plaćate promet. U ovom slučaju, bolje je odgoditi preuzimanje i preuzeti kasnije pod drugim uvjetima;
  • nedostatak vremena - nakon preuzimanja ažuriranje će se početi instalirati dok je računalo isključeno. Ovo može biti nezgodno ako morate brzo prekinuti rad, primjerice na prijenosnom računalu. Ali ono što je još gore je da će prije ili kasnije Windows 10 zahtijevati da ponovno pokrenete računalo, a ako to ne učinite, nakon nekog vremena ponovno pokretanje će biti prisilno. Sve to odvlači i ometa rad;
  • sigurnost - iako sama ažuriranja često sadrže važne promjene sustava, nitko nikada ne može sve predvidjeti. Kao rezultat toga, neka ažuriranja mogu otvoriti vaš sustav napadu virusa, dok će ga druga jednostavno pokvariti odmah nakon instalacije. Razuman pristup u ovoj situaciji je ažuriranje neko vrijeme nakon izdavanja sljedeće verzije, nakon što ste prethodno proučili recenzije.

Onemogućite automatsko ažuriranje sustava Windows 10

Postoji mnogo načina za isključivanje ažuriranja sustava Windows 10. Neki od njih su vrlo jednostavni za korisnika, drugi su složeniji, a treći zahtijevaju instalaciju programa trećih strana.

Onemogućivanje putem Centra za ažuriranje

Korištenje ažuriranja za onemogućavanje nije najbolja opcija, iako je Microsoftovi programeri nude kao službeno rješenje. Zapravo možete isključiti automatsko preuzimanje ažuriranja putem njihovih postavki. Problem je u tome što će ovo rješenje na ovaj ili onaj način biti privremeno. Izdanje velikog ažuriranja sustava Windows 10 promijenit će ovu postavku i vratiti ažuriranja sustava. Ali još ćemo proučiti proces isključivanja:

Nakon ovih promjena, manja ažuriranja više se neće instalirati. Ali ovo vam rješenje neće pomoći da se zauvijek riješite preuzimanja ažuriranja.

U jednom od prethodnih članaka detaljno smo opisali postupak. Nakon što ste konfigurirali poslužitelj, trebate konfigurirati Windows klijente (poslužitelje i radne stanice) da koriste WSUS poslužitelj za primanje ažuriranja, tako da klijenti primaju ažuriranja s internog poslužitelja za ažuriranje, a ne s Microsoft Update poslužitelja preko Interneta. U ovom ćemo članku proći kroz proceduru za konfiguriranje klijenata za korištenje WSUS poslužitelja pomoću grupnih pravila domene Active Directory.

Pravila grupe AD dopuštaju administratoru da automatski dodjeljuje računala različitim WSUS grupama, eliminirajući potrebu za ručnim premještanjem računala između grupa u WSUS konzoli i održavanjem tih grupa ažurnim. Dodjeljivanje klijenata različitim ciljnim skupinama WSUS-a temelji se na oznaci registra na klijentu (oznake se postavljaju Pravilima grupe ili izravnim uređivanjem registra). Ova vrsta dodjele klijenata WSUS grupama se zove klijentstranaciljanje(Ciljanje na strani klijenta).

Pretpostavlja se da će naša mreža koristiti dva različita pravila ažuriranja - zasebno pravilo instalacije ažuriranja za poslužitelje ( poslužitelji) i za radne stanice ( Radne stanice). Ove dvije grupe potrebno je kreirati u WSUS konzoli u odjeljku Sva računala.

Savjet. Politika načina na koji klijenti koriste WSUS poslužitelj za ažuriranje uvelike ovisi o organizacijskoj strukturi OU-a u Active Directoryju i pravilima instalacije ažuriranja organizacije. U ovom ćemo članku pogledati samo određenu opciju koja vam omogućuje razumijevanje osnovnih načela korištenja AD pravila za instaliranje ažuriranja sustava Windows.

Prije svega, trebate odrediti pravilo za grupiranje računala u WSUS (targeting) konzoli. Prema zadanim postavkama, u WSUS konzoli, administrator ručno raspodjeljuje računala u grupe (ciljanje na strani poslužitelja). Nismo zadovoljni s tim, stoga ćemo istaknuti da su računala raspoređena u grupe na temelju ciljanja na strani klijenta (po određenom ključu u registru klijenata). Da biste to učinili, u WSUS konzoli idite na odjeljak Mogućnosti i otvorite parametar Računala. Promijenite vrijednost u Koristite pravila grupe ili postavke registra na računalima(Koristite pravila grupe ili postavke registra na računalima).

Sada možete stvoriti GPO za konfiguriranje WSUS klijenata. Otvorite konzolu za upravljanje grupnim pravilima domene i kreirajte dvije nove grupne politike: ServerWSUSPolicy i WorkstationWSUSPolicy.

Pravila grupe WSUS za Windows poslužitelje

Počnimo s opisom politike poslužitelja ServerWSUSPolicy.

Postavke pravila grupe odgovorne za rad usluge Windows Update nalaze se u odjeljku GPO: RačunaloKonfiguracija -> Politike-> Upravnišablone-> Windowskomponenta-> WindowsAžuriraj(Konfiguracija računala -> Administrativni predlošci -> Komponente sustava Windows -> Ažuriranje sustava Windows).

U našoj organizaciji očekujemo korištenje ovog pravila za instaliranje WSUS ažuriranja na Windows poslužiteljima. Očekuje se da će sva računala obuhvaćena ovom politikom biti dodijeljena grupi poslužitelja na WSUS konzoli. Osim toga, želimo spriječiti automatsku instalaciju ažuriranja na poslužiteljima kada ih primimo. WSUS klijent mora jednostavno preuzeti dostupna ažuriranja na disk, prikazati upozorenje za nova ažuriranja u paleti sustava i pričekati da administrator pokrene instalaciju (bilo ručno ili daljinski koristeći ) kako bi započeo instalaciju. To znači da produktivni poslužitelji neće automatski instalirati ažuriranja i ponovno se pokrenuti bez odobrenja administratora (obično ove radove obavlja administrator sustava kao dio planiranog mjesečnog održavanja). Da bismo implementirali takvu shemu, postavit ćemo sljedeća pravila:

  • KonfiguriratiAutomatskinadopune(Postavljanje automatskog ažuriranja): Omogućiti. 3 – Automatskipreuzimanje datotekaiobavijestitizainstalirati(Automatski preuzima ažuriranja i obavještava vas kada budu spremna za instalaciju)– klijent automatski preuzima nova ažuriranja i obavještava o njihovoj dostupnosti;
  • NavediteIntranetMicrosoftAžurirajservismjesto(Navedite intranetsku lokaciju Microsoft Update): Omogućiti. Postavite intranetsku uslugu ažuriranja za otkrivanje ažuriranja: http://srv-wsus.site:8530, Postavite intranet poslužitelj statistike: http://srv-wsus.site:8530– ovdje morate navesti adresu vašeg WSUS poslužitelja i statističkog poslužitelja (obično su isti);
  • Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja(Nemojte automatski ponovno pokretati sustav kada automatski instalirate ažuriranja ako postoje korisnici koji rade na sustavu): Omogućiti– zabrani automatsko ponovno pokretanje kada postoji korisnička sesija;
  • Omogućitiklijent-stranaciljanje ( Dopustite klijentu da se pridruži ciljnoj skupini): Omogućiti. Naziv ciljne skupine za ovo računalo: poslužitelji– u WSUS konzoli dodijelite klijente grupi Servers.

Bilješka. Prilikom postavljanja pravila ažuriranja, preporučujemo da se pažljivo upoznate sa svim postavkama dostupnim u svakoj od opcija u odjeljku GPO WindowsAžuriraj i postavite parametre koji odgovaraju vašoj infrastrukturi i organizaciji.

Pravila instalacije ažuriranja WSUS-a za radne stanice

Pretpostavljamo da će se ažuriranja na klijentskim radnim stanicama, za razliku od pravila poslužitelja, automatski instalirati noću odmah nakon primanja ažuriranja. Nakon instaliranja ažuriranja, računala bi se trebala automatski ponovno pokrenuti (upozorenje korisnika 5 minuta unaprijed).

U ovom GPO-u (WorkstationWSUSPolicy) navodimo:

  • DopustiAutomatskinadopuneneposrednamontaža(Dopusti trenutnu instalaciju automatskih ažuriranja): Onemogućeno- zabrana trenutne instalacije ažuriranja nakon što su primljena;
  • Dopustine- administratoridoprimitiAžurirajobavijesti(Dopusti korisnicima koji nisu administratori primanje obavijesti o ažuriranju): Omogućeno- prikazati upozorenje ne-administratorima o novim ažuriranjima i omogućiti njihovu ručnu instalaciju;
  • Konfigurirajte automatska ažuriranja:Omogućeno. Konfigurirajte automatsko ažuriranje: 4 - Automatsko preuzimanje i zakazivanje instalacije. Planirani dan instalacije: 0 - Svakidan. Zakazano vrijeme instalacije: 05:00 – kada se primi nova ažuriranja, klijent ih preuzima u lokalnu predmemoriju i zakazuje njihovu automatsku instalaciju u 5:00 ujutro;
  • Naziv ciljne skupine za ovo računalo: Radne stanice– u WSUS konzoli dodijelite klijenta grupi Radne stanice;
  • Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja: Onemogućeno- sustav će se automatski ponovno pokrenuti 5 minuta nakon završetka instalacije ažuriranja;
  • Navedite intranet Microsoftovu lokaciju usluge ažuriranja: Omogući. Postavite intranetsku uslugu ažuriranja za otkrivanje ažuriranja: http://srv-wsus.site:8530, Postavite intranet poslužitelj statistike: http://srv-wsus.site:8530– adresa korporativnog WSUS poslužitelja.

U sustavu Windows 10 1607 i novijim, iako ste im rekli da dobivaju ažuriranja s internog WSUS-a, oni će možda pokušati kontaktirati poslužitelje Windows Update na Internetu. Ova se "osobina" zove DualSkenirati. Da biste onemogućili primanje ažuriranja s interneta, morate dodatno omogućiti pravilo ČininedopustitiAžurirajodgodapolitikedouzrokskeniraprotivWindowsAžuriraj ().

Savjet. Kako bi se poboljšala "razina krpanja" računala u organizaciji, obje politike mogu se konfigurirati da prisilno pokreću uslugu ažuriranja (wuauserv) na klijentima. Da biste to učinili, u odjeljku Konfiguracija računala -> Pravila-> Postavke sustava Windows -> Sigurnosne postavke -> Usluge sustava Pronađite uslugu Windows Update i postavite je da se automatski pokreće ( Automatski).

Dodjeljivanje WSUS pravila OU-ima Active Directory-a

Sljedeći korak je dodjeljivanje kreiranih pravila odgovarajućim spremnicima aktivnog imenika (OU). U našem primjeru OU struktura u AD domeni je najjednostavnija: postoje dva spremnika – Servers (sadrži sve servere organizacije, osim kontrolera domene) i WKS (Workstations – korisnička računala).

Savjet. Razmatramo samo jednu prilično jednostavnu opciju za vezanje WSUS pravila za klijente. U stvarnim organizacijama moguće je vezati jedno WSUS pravilo za sva računala u domeni (GPO s WSUS postavkama priložen je korijenu domene), za distribuciju različitih tipova klijenata po različitim OU (kao u našem primjeru - mi stvorena različita WSUS pravila za poslužitelje i radne stanice), u velikim distribuiranim domenama mogu se povezati ili dodijeliti GPO-ovi na temelju ili kombinaciji gore navedenih metoda.

Da biste dodijelili politiku OU-u, kliknite na željeni OU u konzoli za upravljanje pravilima grupe i odaberite stavku izbornika Poveži kao postojeći GPO i odaberite odgovarajuću politiku.

Savjet. Ne zaboravite na zasebnu OU s kontrolerima domene (kontrolori domene); u većini slučajeva ovom spremniku treba dodijeliti politiku WSUS "poslužitelja".

Na potpuno isti način trebate dodijeliti WorkstationWSUSPolicy pravilo AD WKS spremniku u kojem se nalaze Windows radne stanice.

Sve što preostaje je ažurirati pravila grupe na klijentima kako bi se klijent vezao na WSUS poslužitelj:

Sve postavke sustava za ažuriranje sustava Windows koje postavljamo pomoću grupnih pravila trebale bi se pojaviti u registru klijenata u grani HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Ova reg datoteka može se koristiti za prijenos WSUS postavki na druga računala koja ne mogu konfigurirati postavke ažuriranja pomoću GPO-a (računala u radnoj grupi, izolirani segmenti, DMZ, itd.)

Windows Registry Editor verzija 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Poslužitelji"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOpcije"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Također je zgodno kontrolirati primijenjene WSUS postavke na klijentima pomoću rsop.msc.

I nakon nekog vremena (ovisno o broju ažuriranja i propusnosti kanala do WSUS poslužitelja), trebate provjeriti u traci skočne obavijesti o prisutnosti novih ažuriranja. Klijenti bi se trebali pojaviti u WSUS konzoli u odgovarajućim grupama (tablica prikazuje ime klijenta, IP, OS, postotak "zakrpanih" i datum zadnjeg ažuriranja statusa). Jer Računala i poslužitelje dodijelili smo različitim WSUS grupama; ažuriranja će primati samo u odgovarajućim WSUS grupama.

Bilješka. Ako se ažuriranja ne pojavljuju na klijentu, preporuča se pažljivo pregledati zapisnik usluge Windows Update Service na problematičnom klijentu (C:\Windows\WindowsUpdate.log). Imajte na umu da Windows 10 (Windows Server 2016) koristi . Klijent preuzima ažuriranja u lokalnu mapu C:\Windows\SoftwareDistribution\Download. Da biste započeli traženje novih ažuriranja na WSUS poslužitelju, morate pokrenuti naredbu:

wuauclt/detectnow

Također, ponekad morate nasilno ponovno registrirati klijenta na WSUS poslužitelju:

wuauclt /detectnow /resetAuthorization

U posebno teškim slučajevima možete pokušati popraviti uslugu wuauserv. Ako se to dogodi, pokušajte promijeniti učestalost provjere ažuriranja na WSUS poslužitelju pomoću pravila učestalosti otkrivanja automatskog ažuriranja.

U sljedećem članku ćemo opisati značajke. Također preporučujemo da pročitate članak između grupa na WSUS poslužitelju.