Sigurimi i instalimit në kohë të përditësimeve në grupet e punës. Konfigurimi i klientëve WSUS duke përdorur politikën e grupit Ku në Regjistrin e Përditësimit të Windows

Përditësimi automatik është një veçori e rëndësishme e çdo sistemi operativ. Falë tij, kompjuteri merr përditësime të rëndësishme në kohë, duke e bërë sistemin më të qëndrueshëm dhe të sigurt. Në Windows 7, funksioni është aktivizuar si parazgjedhje. Kjo do të thotë që nëse ka një lidhje me serverët e Microsoft, shërbimi i përditësimit kontrollon për paketa të reja, i shkarkon dhe i instalon. Zakonisht, të gjitha proceset vazhdojnë praktikisht pa u vënë re nga përdoruesi, por kur ka oferta të vazhdueshme për të përmirësuar në 10, kjo tashmë është shumë.

Teorikisht, çaktivizimi i shkarkimit automatik të përditësimeve nuk ia vlen. Është e dobishme, sepse mbyll boshllëqet e sigurisë, optimizon funksionimin e sistemit operativ, shton veçori të reja në të (në lidhje me "dhjetëra"). Ekziston gjithashtu një listë e arsyeve pse shërbimi i përditësimit automatik duhet të çaktivizohet:

  1. Përdoruesit nuk i pëlqen që shpejtësia e internetit bie gjatë azhurnimit dhe / ose kompjuteri nuk mund të fiket për një kohë të gjatë.
  2. Interneti pa tel i shtrenjtë ose i kufizuar në kompjuter.
  3. Probleme pas ekzekutimit të sistemit operativ të përditësuar.
  4. Dështime gjatë instalimit të paketave të përditësimit.
  5. Nuk ka hapësirë ​​të mjaftueshme në vëllimin e sistemit për të mbajtur Windows 7 në rritje me çdo përditësim.

Llojet

Sidoqoftë, përpara se të çaktivizoni përditësimin e Windows 7, merrni parasysh nëse është vërtet i nevojshëm. Përveç çaktivizimit të shërbimit, ai mund të kalohet në mënyrat e mëposhtme të funksionimit.

  1. Plotësisht automatike - operacionet vazhdojnë pa ndërhyrjen e përdoruesit, vetëm duke e njoftuar këtë të fundit për përfundimin e instalimit të paketave.
  2. Kërkimi dhe shkarkimi i rregullimeve të reja në një orar, dhe instalimi i paketave kryhet nga përdoruesi.
  3. Kontroll automatik për të njoftuar përdoruesin kur përditësimet janë të disponueshme.
  4. Vetë-përditësimi është i çaktivizuar. Gjithçka bëhet me dorë.

Parametrat zgjidhen në komponentin "Qendra e përditësimit".

Metodat e mbylljes

Cilësimet e çdo Windows ruhen në regjistrin e tij. Mund të merrni akses te çelësi përgjegjës për cilësimet e qendrës së përditësimit në disa mënyra të thjeshta dhe disa më komplekse. Le t'i konsiderojmë të gjitha.

Po ndryshon cilësimet e Qendrës së Përditësimit

Le të fillojmë duke vendosur shërbimin për veten tonë. Për të hyrë në ndërfaqen e konfigurimit, duhet të hapni "Qendrën e Përditësimit" në një nga mënyrat e mëposhtme.

Sistemi

  1. Nëpërmjet menysë së kontekstit të My Computer, ne i quajmë "Properties".
  1. Në menynë vertikale të majtë, klikoni në lidhjen përkatëse të vendosur në fund të dritares.

  1. Shkojmë te "Paneli i Kontrollit".
  2. Hapni seksionin "Sistemi, siguria".
  1. E quajmë elementin me të njëjtin emër.

Nëse elementët e panelit të kontrollit paraqiten si ikona në vend të kategorive, lidhja me elementin do të shfaqet tashmë në dritaren kryesore.

  1. Pra, pasi të keni goditur dritaren e dëshiruar, klikoni "Cilësimet".
  1. Ne kalojmë në seksionin "Përditësime të rëndësishme" dhe zgjedhim opsionin e duhur nga lista rënëse.

Vetëm ndalimi i shërbimit do të ndihmojë në çaktivizimin e plotë të marrjes së përditësimeve në një kompjuter Windows 7.

Çaktivizo shërbimin

Menaxhimi i shërbimeve në "shtatë" ndodh përmes:

  • redaktimi i drejtpërdrejtë i çelësave të regjistrit, i cili është shumë i papërshtatshëm;
  • programe të palëve të treta për konfigurimin e sistemit operativ (ne do ta kapërcejmë këtë opsion);
  • Snap-in e konsolës MMC;
  • konfigurimi i sistemit;
  • linja e komandës;
  • Redaktori i Politikave të Grupit (i pranishëm në Windows 7 Ultimate, Corporate).

Heqja e një shërbimi nga fillimi

Çaktivizimi i përditësimeve bëhet më shpejt përmes konfiguruesit të sistemit.

  1. Ne ekzekutojmë "msconfig" në dritaren e interpretuesit të komandës, e cila do të hapet pasi të shtypni tastet Win + R ose të klikoni në butonin "Run" në fillim.
  1. Shkoni te skeda "Shërbimet".
  2. Gjejmë "Windows Update" (ndoshta Windows Update) dhe heqim kutinë e kontrollit pranë tij.
  1. Ne ruajmë cilësimet e reja.

Deri në fund të seancës aktuale, shërbimi do të funksionojë, duke kryer siç duhet detyrat që i janë caktuar. Windows 7 duhet të riniset për të aplikuar konfigurimin e ri.

Le të përdorim snap-in e konsolës MMC

Snap-in-i i tastierës së sistemit me të njëjtin emër ofron qasje në menaxhimin e të gjitha shërbimeve në një PC. Nis kështu.

  1. Hapni menunë e kontekstit të drejtorisë "My Computer".
  2. Ne e quajmë komandën "Control".
  1. Në menunë vertikale të majtë, zgjeroni artikullin "Shërbimet dhe Aplikimet". Tjetra, klikoni në lidhjen "Shërbimet".

Një opsion më i thjeshtë për të thirrur të njëjtën dritare do të ishte ekzekutimi i komandës "services.msc" përmes dialogut "Run".

  1. Ne lëvizim në listën e shërbimeve deri në fund dhe hapim "Properties" të shërbimit të Windows Update.
  1. Në listën rënëse "Lloji i nisjes", zgjidhni "Disabled" në vend të "Automatic" në mënyrë që t'i thoni lamtumirë përditësimeve automatike përgjithmonë. Nëse duhet ta çaktivizoni shërbimin tani, sigurohuni që të klikoni "Stop". Ruani cilësimet e reja me butonin "Apliko" dhe mbyllni të gjitha dritaret.

Kompjuteri nuk ka nevojë të rindizet për të aplikuar cilësimet.

Redaktori i politikave të grupit

Një tjetër snap-in MMC i quajtur Redaktori i Politikave Lokale të Grupit do t'ju ndihmojë të konfiguroni çdo cilësim të sistemit.

Në edicionin shtëpiak të "shtatës" nuk disponohet!

  1. Mjeti niset duke ekzekutuar komandën "gpedit.msc" përmes dritares "Run".
  1. Në nënseksionin "Konfigurimi i kompjuterit", zgjeroni degën "Modelet administrative".
  1. Hapni "Windows Components" dhe kërkoni qendrën e përditësimit.
  2. Në pjesën e djathtë të dritares gjejmë parametrin, emri i të cilit fillon me "Setting auto-update".
  3. Ne i quajmë cilësimet e tij.
  1. Zhvendosni kutinë e zgjedhjes në pozicionin "Disable" dhe klikoni "OK" për të mbyllur dritaren dhe për të ruajtur ndryshimet.

Le të përdorim linjën e komandës

Përmes vijës së komandës, kryhen të gjitha operacionet e njëjta si duke përdorur ndërfaqen grafike, dhe madje edhe më shumë, por në modalitetin e tekstit. Gjëja kryesore është të njihni sintaksën dhe parametrat e tyre.

Komanda "cmd" është përgjegjëse për thirrjen e linjës së komandës.

  1. Hapni një përkthyes komande dhe ekzekutoni atë.


Ky artikull përmbledh rregullimet për agjentin WSUS që unë njoh.

1. Skripti i parë është më i thjeshti dhe, në fakt, nuk përdoret as për trajtim, por për të detyruar një kontroll për përditësime dhe, në të njëjtën kohë, pastron dosjen në të cilën grumbullohen shpërndarjet e përditësimeve të instaluara tashmë:

wsus_detect_manual.cmd

net stop wuauserv && net stop bits && net stop cryptsvc

fillimi neto wuauserv && bitet e fillimit neto && cryptsvc neto start

wuauclt.exe /detectnow dalje

2. Skripti i dytë është i nevojshëm për të "ringjallur" shërbimin e papunë WSUS. Ai po pastrohet nga përditësimet e vjetra, pas së cilës riemërohen dosjet SoftwareDistribution dhe Catroot2, të cilat, kur shërbimi të riniset, do të çojë në rikrijimin e tyre. Pastaj bibliotekat e sistemit dll riregjistrohen.

fix_wsus_service.cmd

bit ndalimi neto
ndalim neto wuauserver
neto stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.vjetër

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

bitet e fillimit neto
fillimi neto wuauserver
neto start cryptsvc

wuauclt /detectnow

dalje

3. Ky skript përdoret në rastet kur kompjuteri është klonuar së fundmi, ose në ato raste kur kompjuteri nuk është regjistruar në WSUS. Ai ndryshon nga ai i mëparshmi vetëm në rreshtin e parafundit, në të cilin autorizimi është rivendosur në zero me identifikuesin e rigjeneruar. Unë do të citoj vetëm këtë rresht:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo në
ndalim neto wuauserver
REG FSHI "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REGJI FSHI "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REGJI FSHI "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
fillimi neto wuauserver
wuauclt /rivendos autorizim /detectnow

5. Ndonjëherë, në mënyrë që gjithçka të funksionojë, duhet të riinstaloni agjentin WSUS. Së pari ju duhet të shkarkoni Agjentin më të fundit të Windows Update dhe më pas të instaloni botimin e duhur

për versionet x32 të Windows

windowsupdateagent30-x86.exe /wuforce

për versionet x64 të Windows

windowsupdateagent30-x64.exe /wuforce

Nëse jeni një pronar i lumtur i Itanium - mendoni vetë :-)

Pas instalimit të agjentit, sigurohuni që të rindizni.

6. Për të "trajtuar" gabimet 0x80070005, d.m.th. gabimet e aksesit, skripti më poshtë mund të jetë i dobishëm. Ai rikthen aksesin e administratorit dhe sistemit në dosjet e regjistrit dhe të sistemit.

Për të ekzekutuar këtë skript, do t'ju duhet mjeti Microsoft subinacl.exe. Përfshihet në paketën e burimeve për Windows Server 2003, por nuk duhet të përdorni versionin që përfshihet atje. ka defekte të këqija. Shkarkoni versionin subinacl.exe 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo fikur
REM Aplikoni në gabimet e Windows Update 0x80070005
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administratorët=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administratorët=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administratorët=f
subinacl /subdirectories %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /nëndirektoritë %SystemDrive% /grant=sistemi=f

Të gjitha këto skripta mund të ekzekutohen pothuajse automatikisht, në rast të problemeve. Nëse, si rezultat, problemi ende nuk është zgjidhur, atëherë duhet ta trajtoni atë më nga afër. Dhe këtu i njëjti windowsupdate.log, i cili ndodhet në rrënjën e dosjes së Windows, është i dobishëm. Nëse kompjuteri është problematik, atëherë ky skedar është i madh. Për thjeshtësi, këshillohet ta hiqni atë përpara se të ekzekutoni skriptet. Pothuajse të gjithë skriptet ofrojnë një komandë për ta hequr atë, por jo gjithçka është kaq e thjeshtë. Pavarësisht ndalimit të shërbimit wuauserv, ai zakonisht mbahet i hapur nga IE dhe të ngjashme. Prandaj, ekziston një mënyrë e ndërlikuar. nisjen

notepad.exe %windir%\windowsupdate.log

Unë zgjedh të gjithë tekstin, e fshij dhe e ruaj në vend të skedarit të vjetër (mos harroni të ndryshoni llojin e skedarit në *.* në dialogun e ruajtjes, përndryshe është *.txt si parazgjedhje)

Vlen të theksohet se ka raste kur nuk është e mundur të detyrosh klientin të përditësojë me wsus. Unë kam precedentë me disa Windows Server 2003 R2 që nuk kam mundur t'i kapërcej. Prandaj, i përditësoj ato përmes Internetit :-)

Sistemet operative të reja si Windows 7, Windows 2008 ndonjëherë "fillojnë" me vështirësi. Për raste të tilla, empirikisht, u gjet një algoritëm i tipit:
1. Ne përditësojmë për herë të parë nga faqja e internetit e microsoft me përditësimin e agjentit
2. Pastaj ne përditësojmë agjentin tashmë në nivel lokal
3. Dhe pastaj gjithçka fillon të funksionojë

Shpresoj që frytet e punës sonë do të ndihmojnë dikë.

Për thjeshtësi, unë postoj të gjitha këto skripta në një formë të gatshme:

Përshëndetje të gjithëve sot, një shënim më shumë për veten time, përkatësisht listën e serverëve të Windows Update. Pse kjo mund të jetë e dobishme, për shembull, nëse merrni një gabim Përditësimi nuk u gjet kur instaloni rolin WSUS, ose anasjelltas, për ndonjë arsye dëshironi t'i ndaloni ato, për të kursyer trafikun nëse nuk keni WSUS, pasi jo të gjitha Windows përditësimet janë të mira, dhe veçanërisht në versionet e tij moderne, mendoj se nuk ka kuptim të kujtojmë për gabimin, megjithëse kjo listë mund të vazhdojë për një kohë shumë të gjatë. Arsyeja nuk është e rëndësishme, gjëja kryesore është të dini se çfarë është dhe si të punoni me të. Më poshtë do t'ju tregoj metodat për ndalimin e adresave të serverit të përditësimit të Microsoft, si universale, të përshtatshme për një kompjuter të vetëm dhe për menaxhim të centralizuar brenda një ndërmarrje.

Pse përditësimet e Windows nuk instalohen?

Këtu është një pamje nga ekrani i gabimit nëse nuk e keni të disponueshme adresën e serverit të përditësimit të microsoft. Siç mund ta shihni, gabimi nuk është shumë informues. Unë e marr atë në një server që mbart rolin WSUS, i cili nuk e mban mend se çfarë është, atëherë kjo është një qendër lokale përditësimi për ndërmarrjet për të kursyer trafikun, dhe këtu përditësimet e Windows nuk janë instaluar për shkak të padisponueshmërisë së serverëve të Microsoft.

Çfarë duhet të bëni nëse përditësimet e Windows nuk janë instaluar

  • Para së gjithash, duhet të kontrolloni nëse keni internet, pasi është i detyrueshëm për shumicën e njerëzve, përveç nëse sigurisht që keni një domen Active Directory dhe i shkarkoni nga WSUS juaj
  • Më tej, nëse Interneti është i disponueshëm, ne shikojmë kodin e gabimit, pasi është në të që duhet të kërkojmë informacion në lidhje me zgjidhjen e problemit (nga problemet e fundit mund të jap një shembull se si zgjidhet Gabimi 0x80070422 ose Gabimi c1900101) , por lista mund të mbahet edhe për një kohë shumë të gjatë.
  • Ne kontrollojmë në serverin tonë proxy nëse ka një ndalim për adresa të tilla të serverit të përditësimit të microsoft.

Lista e serverëve të përditësimit të microsoft

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

Me zhvillimin e internetit, përditësimi i vazhdueshëm i sistemit operativ është bërë i zakonshëm. Tani zhvilluesit mund të rregullojnë dhe përsosin sistemin gjatë gjithë periudhës së mbështetjes së tij. Por përditësimet e shpeshta të Windows 10 nuk janë gjithmonë të përshtatshme. Kjo është arsyeja pse do të ishte mirë t'i fikni ato.

Arsyet për çaktivizimin e përditësimeve automatike

Arsyet mund të jenë shumë të ndryshme dhe vetëm ju mund të vendosni se sa duhet të çaktivizoni përditësimet. Në të njëjtën kohë, duhet të kihet parasysh se rregullime të rëndësishme për dobësitë e sistemit jepen së bashku me përmirësime në disa veçori. E megjithatë, situatat kur vetë-azhurnimet duhet të çaktivizohen ndodhin mjaft shpesh:

  • Internet me pagesë - ndonjëherë përditësimi është mjaft i madh dhe mund të jetë i shtrenjtë për t'u shkarkuar nëse paguani për trafikun. Në këtë rast, është më mirë të shtyni shkarkimin dhe shkarkimin më vonë në kushte të tjera;
  • mungesa e kohës - pas shkarkimit, përditësimi do të fillojë të instalohet gjatë mbylljes së kompjuterit. Kjo mund të jetë e papërshtatshme nëse duhet ta përfundoni shpejt punën, për shembull, në një laptop. Por edhe më keq këtu është se herët a vonë Windows 10 do t'ju kërkojë të rinisni kompjuterin tuaj, dhe nëse nuk e bëni, atëherë pas një kohe rinisja do të jetë e detyruar. E gjithë kjo shpërqendron dhe ndërhyn në punë;
  • siguria - megjithëse vetë përditësimet shpesh përmbajnë ndryshime të rëndësishme të sistemit, askush nuk mund të parashikojë kurrë gjithçka. Si rezultat, disa përditësime mund ta hapin sistemin tuaj ndaj një sulmi virusi, ndërsa të tjerët thjesht do ta prishin atë menjëherë pas instalimit. Një qasje e arsyeshme në këtë situatë është të përditësoni disa kohë pas lëshimit të versionit tjetër, pasi të keni studiuar më parë rishikimet.

Çaktivizo përditësimet automatike të Windows 10

Ka shumë mënyra për të çaktivizuar përditësimet e Windows 10. Disa prej tyre janë mjaft të thjeshta për përdoruesit, të tjerët janë më të vështirë dhe të tjerë kërkojnë instalimin e programeve të palëve të treta.

Çaktivizo përmes qendrës së përditësimit

Përdorimi i qendrës së përditësimit për ta çaktivizuar nuk është alternativa më e mirë, megjithëse ofrohet si zgjidhje zyrtare nga zhvilluesit nga Microsoft. Në të vërtetë, mund të çaktivizoni shkarkimin automatik të përditësimeve përmes cilësimeve të tyre. Problemi këtu është se kjo zgjidhje do të jetë disi e përkohshme. Lëshimi i një përditësimi të madh të Windows 10 do të ndryshojë këtë cilësim dhe do të sjellë përsëri përditësimet e sistemit. Por ne do të studiojmë procesin e mbylljes gjithsesi:

Pas këtyre ndryshimeve, përditësimet e vogla nuk do të instalohen më. Por kjo zgjidhje nuk do t'ju ndihmojë të heqni qafe shkarkimin e përditësimeve përgjithmonë.

Në një nga artikujt e mëparshëm, ne përshkruam procedurën në detaje. Pasi të keni konfiguruar serverin, duhet të konfiguroni klientët e Windows (serverët dhe stacionet e punës) që të përdorin serverin WSUS për të marrë përditësime në mënyrë që klientët të marrin përditësime nga një server i brendshëm përditësimi dhe jo nga serverët e Microsoft Update nëpërmjet internetit. Në këtë artikull, ne do të ecim përmes procesit të konfigurimit të klientëve për të përdorur një server WSUS duke përdorur politikat e grupit të domenit Active Directory.

Politikat e Grupit AD lejojnë një administrator të caktojë automatikisht kompjuterë në grupe të ndryshme WSUS, duke eliminuar nevojën për të lëvizur manualisht kompjuterët midis grupeve në tastierën WSUS dhe për t'i mbajtur ato grupe të përditësuara. Caktimi i klientëve në grupe të ndryshme të synuara WSUS bazohet në një etiketë në regjistër të klientit (etiketat vendosen nga Politika e Grupit ose redaktimi i drejtpërdrejtë i regjistrit). Ky lloj hartëzimi i klientëve në grupet WSUS quhet klientanësorsynimi(Synimi në anën e klientit).

Supozohet se rrjeti ynë do të përdorë dy politika të ndryshme përditësimi - një politikë të veçantë për instalimin e përditësimeve për serverët ( Serverat) dhe për stacionet e punës ( Stacione pune). Këto dy grupe duhet të krijohen në tastierën WSUS nën seksionin Të gjithë kompjuterët.

Këshilla. Politika që klientët të përdorin serverin e përditësimit WSUS varet kryesisht nga struktura organizative e OU në Active Directory dhe rregullat e instalimit të përditësimeve në organizatë. Në këtë artikull, ne do të shikojmë vetëm një opsion të veçantë që ju lejon të kuptoni parimet bazë të përdorimit të politikave AD për të instaluar përditësimet e Windows.

Para së gjithash, duhet të specifikoni një rregull të grupimit të kompjuterit në tastierën WSUS (shënjestrim). Si parazgjedhje, në tastierën WSUS, kompjuterët shpërndahen nga administratori në grupe me dorë (shënjestrimi nga ana e serverit). Kjo nuk na përshtatet, kështu që ne tregojmë se kompjuterët shpërndahen në grupe bazuar në shënjestrimin e klientit (nga një çelës specifik në regjistrin e klientit). Për ta bërë këtë, në tastierën WSUS, shkoni te seksioni Opsione dhe hapni opsionin kompjuterët. Ndryshoni vlerën në Përdorni politikën e grupit ose cilësimin e regjistrit në kompjuterë(Përdorni politikat e grupit ose cilësimet e regjistrit në kompjuterë).

Tani mund të krijoni një GPO për të konfiguruar klientët WSUS. Hapni konsolën e Menaxhimit të Politikave të Grupit të bazuar në domen dhe krijoni dy politika të reja grupi: ServerWSUSPolicy dhe WorkstationWSUSPolicy.

Politika e grupit WSUS për serverët e Windows

Le të fillojmë me një përshkrim të politikës së serverit Politika e serverit WSUSP.

Cilësimet e politikës së grupit përgjegjës për funksionimin e shërbimit të Windows Update ndodhen në seksionin GPO: kompjuterKonfigurimi -> politikat-> administrativeshabllone-> DritaretKomponenti-> Dritaretpërditësimi(Konfigurimi i kompjuterit -> Modelet administrative -> Komponentët e Windows -> Përditësimi i Windows).

Në organizatën tonë, ne synojmë ta përdorim këtë politikë për të instaluar përditësime WSUS në serverët e Windows. Pritet që të gjithë kompjuterët që i nënshtrohen kësaj politike do t'i caktohen grupit Serverët në tastierën WSUS. Përveç kësaj, ne duam të parandalojmë që serverët të instalojnë automatikisht përditësimet kur ato merren. Klienti WSUS duhet thjesht të shkarkojë përditësimet e disponueshme në disk, të shfaqë një alarm për përditësime të reja në sirtarin e sistemit dhe të presë që administratori të fillojë instalimin (me dorë ose në distancë nëpërmjet ) për të filluar instalimin. Kjo do të thotë që serverët produktivë nuk do të instalojnë automatikisht përditësimet dhe nuk do të rinisin pa konfirmimin e administratorit (zakonisht këto punë kryhen nga administratori i sistemit si pjesë e mirëmbajtjes së planifikuar mujore). Për të zbatuar një skemë të tillë, ne do të përcaktojmë politikat e mëposhtme:

  • KonfiguroAutomatikpërditësimet(Cilësimi i përditësimit automatik): mundësojnë. 3 - AutoShkarkodhenjoftojpërinstaloni(Shkarkoni automatikisht përditësimet dhe ju njoftojmë kur të jenë gati për t'u instaluar)– klienti shkarkon automatikisht përditësimet e reja dhe i njofton kur shfaqen;
  • PërcaktoniIntranetMicrosoftpërditësimishërbimivendndodhjen(Specifikoni vendndodhjen e shërbimit të përditësimit të intranetit të Microsoft): mundësojnë. Vendosni shërbimin e përditësimit të intranetit për zbulimin e përditësimeve: http://srv-wsus.site:8530, Vendosni serverin e statistikave të intranetit: http://srv-wsus.site:8530- këtu duhet të specifikoni adresën e serverit tuaj WSUS dhe serverit të statistikave (zakonisht ato janë të njëjta);
  • Nuk ka rinisje automatike me përdoruesit e regjistruar për instalimet e planifikuara të përditësimeve automatike(Mos rindizni automatikisht kur instaloni automatikisht përditësimet nëse ka përdorues që funksionojnë në sistem): mundësojnë– çaktivizoni rimbushjen automatike nëse ka një sesion përdoruesi;
  • mundësojnëklient- anësorsynimi ( Lejo klientin të bashkohet me grupin e synuar): mundësojnë. Emri i grupit të synuar për këtë kompjuter: Serverat– në tastierën WSUS, caktoni klientët në grupin Serverët.

shënim. Kur konfiguroni politikën e përditësimit, ju këshillojmë të rishikoni me kujdes të gjitha cilësimet e disponueshme në secilën prej opsioneve në seksionin GPO. Dritaretpërditësimi dhe vendosni cilësimet e duhura për infrastrukturën dhe organizatën tuaj.

Politika e instalimit të përditësimit WSUS për stacionet e punës

Ne supozojmë se përditësimet në stacionet e punës të klientit, ndryshe nga politika e serverit, do të instalohen automatikisht gjatë natës menjëherë pas marrjes së përditësimeve. Kompjuterët pas instalimit të përditësimeve duhet të rinisin automatikisht (duke paralajmëruar përdoruesin 5 minuta përpara).

Në këtë GPO (WorkstationWSUSPolicy) ne specifikojmë:

  • lejojnëAutomatikpërditësimeti menjëhershëminstalimi(Lejo që përditësimet automatike të instalohen menjëherë): I paaftë- ndalimi i instalimit të menjëhershëm të përditësimeve kur ato merren;
  • lejojnëjo-administratorëttemarrinpërditësiminjoftimet(Lejo përdoruesit jo administrator të marrin njoftime për përditësime): Aktivizuar- shfaqni një paralajmërim për jo-administratorët për përditësimet e reja dhe lejoni instalimin manual të tyre;
  • Konfiguro përditësimet automatike:Aktivizuar. Konfiguro përditësimin automatik: 4 - Shkarkoni automatikisht dhe planifikoni instalimin. Dita e planifikuar e instalimit: 0 - Çdoditë. Koha e planifikuar e instalimit: 05:00 – kur merren përditësimet e reja, klienti i shkarkon ato në memorien lokale dhe planifikon instalimin e tyre automatik në orën 5:00 të mëngjesit;
  • Emri i grupit të synuar për këtë kompjuter: Stacione pune– në tastierën WSUS, caktoni klientin në grupin e stacioneve të punës;
  • Nuk ka rinisje automatike me përdoruesit e regjistruar për instalimet e planifikuara të përditësimeve automatike: I paaftë- sistemi do të rindizet automatikisht 5 minuta pas instalimit të përditësimeve;
  • Specifikoni vendndodhjen e shërbimit të përditësimit të Microsoft Intranet: Aktivizo. Vendosni shërbimin e përditësimit të intranetit për zbulimin e përditësimeve: http://srv-wsus.site:8530, Vendosni serverin e statistikave të intranetit: http://srv-wsus.site:8530– adresa e serverit të korporatës WSUS.

Në Windows 10 1607 dhe më lart, edhe pse i keni thënë të marrin përditësime nga WSUS i brendshëm, ata mund të përpiqen të kontaktojnë përsëri serverët e Windows Update në internet. Kjo "veçori" quhet DyfishtëSkanoni. Për të çaktivizuar marrjen e përditësimeve nga Interneti, duhet të aktivizoni gjithashtu politikën BënijolejojnëpërditësimishtyrjepolitikatteshkakuskanimekundërDritaretpërditësimi ().

Këshilla. Për të përmirësuar "nivelin e korrigjimit" të kompjuterëve në një organizatë, të dyja politikat mund të konfigurohen për të detyruar shërbimin e përditësimit (wuauserv) të funksionojë te klientët. Për këtë, në rubrikën Konfigurimi i kompjuterit -> Politikat -> Cilësimet e Windows -> Cilësimet e sigurisë -> Shërbimet e sistemit gjeni shërbimin e Windows Update dhe vendoseni që të fillojë automatikisht ( Automatik).

Caktimi i politikave WSUS në OU të Active Directory

Hapi tjetër është caktimi i politikave të krijuara në kontejnerët e duhur të Active Directory (OU). Në shembullin tonë, struktura OU në domenin AD është sa më e thjeshtë: ka dy kontejnerë - Serverët (ai përmban të gjithë serverët e organizatës, përveç kontrolluesve të domenit) dhe WKS (Stacionet e punës - kompjuterët e përdoruesve).

Këshilla. Ne po shikojmë vetëm një opsion mjaft të thjeshtë për lidhjen e politikave të WSUS me klientët. Në organizatat reale, është e mundur të lidhni një politikë WSUS me të gjithë kompjuterët në një domen (një GPO me cilësimet WSUS është bashkangjitur në rrënjën e domenit), për të ndarë lloje të ndryshme klientësh në OU të ndryshme (si në shembullin tonë, ne krijoi politika të ndryshme WSUS për serverët dhe stacionet e punës), në domene të mëdha të shpërndara, ju mund të lidhni , ose të caktoni GPO bazuar në , ose të kombinoni metodat e mësipërme.

Për të caktuar një politikë për një OU, klikoni në OU të dëshiruar në panelin e menaxhimit të politikave të grupit, zgjidhni artikullin e menysë Lidhja si GPO ekzistuese dhe zgjidhni politikën e duhur.

Këshilla. Mos harroni për një OU të veçantë me kontrollues domeni (Kontrolluesit e domenit), në shumicën e rasteve, politika "server" WSUS duhet t'i bashkëngjitet këtij kontejneri.

Në të njëjtën mënyrë, duhet të caktoni politikën WorkstationWSUSPolicy në kontejnerin AD WKS që përmban stacionet e punës të Windows.

Mbetet për të përditësuar politikat e grupit për klientët për të lidhur klientin me serverin WSUS:

Të gjitha cilësimet e sistemit të përditësimit të Windows që kemi vendosur me politikat e grupit duhet të shfaqen në regjistrin e klientit në degë HKEY_LOCAL_MACHINE\SOFTWARE\Politics\Microsoft\Windows\WindowsUpdate.

Ky skedar reg mund të përdoret për të transferuar cilësimet WSUS në kompjuterë të tjerë që nuk mund të konfigurohen për përditësime duke përdorur GPO (kompjuterë në një grup pune, segmente të izoluara, DMZ, etj.)

Versioni 5.00 i Redaktuesit të Regjistrit të Windows

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Serverët"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 -
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Është gjithashtu i përshtatshëm për të kontrolluar cilësimet e aplikuara të WSUS tek klientët duke përdorur rsop.msc.

Dhe pas një kohe (në varësi të numrit të përditësimeve dhe gjerësisë së brezit të serverit WSUS), duhet të kontrolloni në tabaka për njoftime që shfaqen në lidhje me disponueshmërinë e përditësimeve të reja. Në tastierën WSUS, klientët duhet të shfaqen në grupet e duhura (në një formë tabelare, shfaqen emri i klientit, IP, OS, përqindja e "patched" të tyre dhe data e përditësimit të fundit të statusit). Sepse ne kemi lidhur kompjuterë dhe serverë me grupe të ndryshme WSUS sipas politikave, ata do të marrin vetëm përditësime të miratuara për instalim në grupet përkatëse WSUS.

shënim. Nëse përditësimet nuk shfaqen në klient, rekomandohet që të ekzaminoni me kujdes regjistrin e shërbimit të Windows Update (C:\Windows\WindowsUpdate.log) në klientin me probleme. Vini re se Windows 10 (Windows Server 2016) përdor . Klienti shkarkon përditësime në dosjen lokale C:\Windows\SoftwareDistribution\Download. Për të filluar kërkimin për përditësime të reja në serverin WSUS, duhet të ekzekutoni komandën:

wuauclt /detectnow

Gjithashtu, ndonjëherë ju duhet të detyroni një ri-regjistrim të klientit në serverin WSUS:

wuauclt /detectnow /resetAuthorization

Në raste veçanërisht të vështira, mund të përpiqeni të rregulloni shërbimin wuauserv. Nëse kjo ndodh, provoni të ndryshoni frekuencën e kontrollit për përditësime në serverin WSUS duke përdorur politikën e frekuencës së zbulimit të përditësimit automatik.

Në artikullin vijues, ne do të përshkruajmë veçoritë e . Ne ju rekomandojmë gjithashtu që të lexoni artikullin midis grupeve në një server WSUS.