Wsus как добавить компьютеры

Обновлено: 07.07.2024

psexec \\hostname cmd /c "wuauclt /resetauthorization /detectnow"

или
psexec hostlist.txt cmd /c "wuauclt /resetauthorization /detectnow"

работа одноразовая но сделать стоит.

словил такую вот ошибку при попытке запуска службы

C:\>net start wuauserv

Служба "Автоматическое обновление" запускается.

Не удалось запустить службу "Автоматическое обновление".

Системная ошибка 16405.

что то не пойму по какой причине перестала запускаться служба :(

Проблема с дескрипторами безопасности. Попробуйте проделать следующее:

add the Authenticated Users group to the Automatic Updates service in gpo, and give "read" access

Также посмотрите методики устранения проблемы с сайта Channel9

Возможно это уже не относиться к теме самого WSUSa, но пока тут отпишу. (если что переместите тему)

1. вывел тестовый компьютер из домена - автоматическое обновление запускается (сам сервис)

2. подключил тестовый компьютер обратно в домен -

после перезагрузки компьютер отметился на WSUSe но без отчёта по состоянию

после (gpupdate /force) опять получил ошибку (при старте сервиса)

вот сами ошибки:

Ситуация на данный момент следующая:

добился запуска сервиса руками с админскими правами, но под пользователем не запускается.

вот логи windowsupdate

2010-03-30 09:14:51:478 1612 de8 Misc =========== Logging initialized (build: 7.4.7600.226, tz: +0600) ===========

2010-03-30 09:14:51:478 1612 de8 Misc = Process: C:\WINDOWS\System32\svchost.exe

2010-03-30 09:14:51:478 1612 de8 Misc = Module: C:\WINDOWS\system32\wuaueng.dll

2010-03-30 09:14:51:478 1612 de8 Service *************

2010-03-30 09:14:51:493 1612 de8 Service ** START ** Service: Service startup

2010-03-30 09:14:51:493 1612 de8 Service *********

2010-03-30 09:14:51:540 1612 de8 Agent * WU client version 7.4.7600.226

2010-03-30 09:14:51:540 1612 de8 Agent * Base directory: C:\WINDOWS\SoftwareDistribution

2010-03-30 09:14:51:540 1612 de8 Agent * Access type: No proxy

2010-03-30 09:14:51:540 1612 de8 Agent * Network state: Connected

2010-03-30 09:14:52:587 1612 de8 Agent FATAL: fail to register class object 0x80004015

2010-03-30 09:14:52:587 1612 de8 Agent FATAL: Client call recorder fails to init with error 0x80004015

2010-03-30 09:14:52:587 1612 de8 Agent * FATAL: Failed to initialize with error 0x80004015 from component Agent

2010-03-30 09:14:52:587 1612 de8 Service FATAL: Failed to initialize WU client: 0x80004015

2010-03-30 09:14:52:603 1612 de8 Service *********

2010-03-30 09:14:52:603 1612 de8 Service ** END ** Service: Service exit [Exit code = 0x80004015]

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Автор: Денис Васильев

Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения. Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений своих программных продуктов в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).


Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.
Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить (рис. 2).


Настройка сервера WSUS

Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью «Мастер настройки Windows Server Update Services»

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).


При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо указать IP адрес, номер порта и параметры аутентификации на прокси-сервере(рис. 4).


В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.


В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).


В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений (рис. 7).


В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт».


После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» ( рис. 9)


Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО! выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс - установки» (рис. 10). Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов. Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они не будут нужны и займут дисковое пространство.


После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

Это делается следующим образом «Пуск – Администрирование – Управление групповой политикой». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)



Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13).


В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен» и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера(рис. 14).


Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».

В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры» при «Состояние: Любой» (рис. 15).


Управление обновлениями

Для того чтобы увидеть и одобрить необходимые обновления нужно в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.


После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe, которая запускается через командную строку. Для проверки обновлений её необходимо запускать с ключом /detectnow (wuauclt.exe /detectnow). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений) необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow).

Группы компьютеров — важная часть развертывания WSUS, даже в самом простом варианте. Группы компьютеров позволяют определить обновления для конкретных компьютеров. Существует две группы компьютеров по умолчанию: «Все компьютеры» и «Неназначенные компьютеры» По умолчанию при первом подключении каждого клиентского компьютера к серверу WSUS сервер добавляет компьютер в обе эти группы.

Можно создать произвольные группы компьютеров. Одно из преимуществ создания групп компьютеров заключается в том, что это позволяет протестировать обновления до их широкого развертывания. Если проверка прошла успешно, можно развернуть обновления в группе «Все компьютеры». Не существует ограничений количества создаваемых произвольных групп компьютеров.

Настройка групп компьютеров состоит из трех этапов. Во-первых, необходимо указать, каким образом компьютеры будут назначаться в группы. Существует два варианта: назначение со стороны сервера и назначение со стороны клиента. Назначение со стороны сервера подразумевает добавление каждого компьютера в группу вручную с помощью WSUS. Назначение со стороны клиента подразумевает автоматическое добавление клиентов с помощью групповой политики или параметров реестра. Во-вторых, необходимо создать группу компьютеров в WSUS. В-третьих, необходимо переместить компьютеры в группы любым из выбранных на первом этапе способов.

В данной статье объясняется, как использовать назначение со стороны сервера и вручную перемещать компьютеры в группы с помощью консоли WSUS. Если необходимо назначить большое количество клиентских компьютеров в группы компьютеров, можно использовать назначение со стороны клиента. Это позволит автоматизировать процесс перемещения компьютеров в группы.

Можно использовать этап 6 для настройки тестовой группы, содержащей по крайней мере один тестовый компьютер.

Этот этап содержит следующие процедуры:

  • Определение способа назначения в группы — со стороны сервера.
  • Создание новой группы.
  • Перемещение компьютеров в группу.

Чтобы определить способ назначения компьютеров в группу

На панели инструментов консоли WSUS выберите Параметры, а затем — Параметры компьютера.

В окне Параметры компьютера установите флажок Использовать задание "Переместить компьютеры" в Windows Server Update Services.

В окне Задачи выберите Сохранить параметры и нажмите кнопку ОК в окне подтверждения.

Чтобы создать новую группу

На панели инструментов консоли WSUS выберите Компьютеры.

В окне Задачи выберите Создать группу компьютеров.

В поле Название группы введите Тест и нажмите кнопку ОК.

Используйте следующую процедуру для назначения клиентского компьютера, предназначенного для тестирования, в тестовую группу. Это может быть любой компьютер, имеющий конфигурацию, аналогичную конфигурации большинства компьютеров в сети, кроме компьютера, назначенного на критическую роль. Таким образом можно будет определить, насколько хорошо компьютеры, сравнимые с тестовым компьютером, будут работать с одобренными обновлениями.

Чтобы вручную добавить компьютер в группу «Тест»

На панели инструментов консоли WSUS выберите Компьютеры.

В окне Группы выберите группу компьютеров, в которую необходимо переместить компьютер.

В списке компьютеров выберите компьютер, который необходимо переместить.

В окне Задачи выберите Переместить выбранный компьютер.

В списке Группа компьютеров выберите группу компьютеров, в которую необходимо переместить компьютер, и нажмите кнопку ОК.

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

    .
  1. Настраиваем статический IP-адрес.
  2. При необходимости, добавляем компьютер в домен.
  3. Устанавливаем все обновления Windows.

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

Запуск диспетчера серверов в Windows Server

В правой части открытого окна нажимаем Управление - Добавить роли и компоненты:

Переходим к добавлению ролей Windows Server

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

Пропускаем стрницу приветствия

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Устанавливаем роли и компоненты

Далее выбираем сервер из списка, на который будем ставить WSUS:

Выбор целевого сервера для развертывания WSUS

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services - в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Выбираем для установки роль WSUS

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Никаких дополнительный компонентов устанавливать не нужно

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Предварительная настройка WSUS

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Выбор ролей службы WSUS

Прописываем путь, где WSUS будет хранить файлы обновлений:

Указываем путь, по которому WSUS должен хранить файлы обновлений

* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Переходим к настройке IIS

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

Не меняем настройки ролей служб при установки IIS

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Подтверждаем намерение установить роль WSUS

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Дожидаемся окончания установки WSUS

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства - Службы Windows Server Update Services:

Среди средств управления сервером выбираем Службы Windows Server Update Services

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

Завершаем установку WSUS, подтвердив путь хранения файлов обновлений

. и ждем завершения настройки:

Дожидаемся окончания постустановки

Откроется стартовое окно мастера настройки WSUS — идем далее:

Начальное окно при настройке WSUS

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Соглашаемся или отказывается принять участие в улучшении продуктов Microsoft

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

Настройка источника обновлений для WSUS

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

Настройка прокси-сервера

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

Подключаемся к серверу обновлений для получения списка обновлений

. и дожидаемся окончания процесса:

Ждем завершения подключения WSUS к центру обновлений

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Выбор языковых версий обновлений

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

Отмечаем программы Microsoft для обноления

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

Выбор классов обновлений для загрузки WSUS

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Настройка синхронизации обновлений между WSUS и настроенным центром обновлений

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

Завершение настройки WSUS

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

Переход к установке ролей и компонентов

Выбор для установки .NET Framework 3.5

Продолжаем установку и завершаем ее.

Загружаем Microsoft Report Viewer

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры - кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров. :

Переходим к добавлению группы компьютеров

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

Пример созданных групп компьютеров в WSUS

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел Параметры - Автоматические утверждения:

Переходим к настройкам автоматического утверждения обновлений

Кликаем по Создать правило:

Переходим к созданию правил

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

  • Для тестовой группы применять все обновления сразу после их выхода.
  • Для рабочих станций и серверов сразу устанавливать критические обновления.
  • Для рабочих станций и серверов применять обновления спустя 7 дней.
  • Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в Параметры - Компьютеры:

Переходим к параметрам компьютеров в WSUS

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Использовать на компьютерах групповую политику или параметры реестра

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

  1. Для тестовой группы.
  2. Для серверов.
  3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера - Политики - Административные шаблоны - Компоненты Windows - Центр обновления Windows. Стоит настроить следующие политики:

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:

  • AUOptions, REG_DWORD — значение 2
  • AutoInstallMinorUpdates, REG_DWORD — значение 0
  • NoAutoUpdate, REG_DWORD — значение 0
  • ScheduledInstallDay, REG_DWORD — значение 0
  • ScheduledInstallTime, REG_DWORD — значение 3
  • UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры - Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.

В одной из предыдущих статей по службам Windows Server Update Services, а именно в статье «Планирование архитектуры WSUS», я говорил, что для каждой модели развертывания серверов WSUS целесообразно использовать группы компьютеров. Группы позволяют вам предотвратить развертывание обновлений, которые могут ухудшить работоспособность операционной системы ваших сотрудников. Например, вы можете создать группы для тестирования и пилотного развертывания обновлений, предназначенные для лабораторного тестирования новых обновлений, а также развертывания в испытательной группе, сотрудники которой являются компетентными ИТ-специалистами, помогающими идентифицировать и устранять возникшие неполадки. Помимо этого, вы можете создавать дополнительные группы для развертывания обновлений для различных моделей компьютеров, например, отдельные группы для почтовых серверов, для контроллеров домена, а также группы, в которые будут входить ваши пользователи. Настройка пользователей на конкретные группы позволяет вам гарантировать, что каждый компьютер получит нужное рабочее обновление в удобное для пользователя время. Стоит обратить внимание, что каждый клиентский компьютер может быть настроен на подключение только к одному серверу обновлений. Другими словами, если в вашей организации разворачивается дополнительный WSUS-сервер и компьютер пользователя перенаправляют на второй WSUS-сервер, он автоматически перестает подключаться к первому серверу. Несмотря на это, на том сервере обновлений, который использовался клиентом ранее, клиентский компьютер все еще останется в списке компьютеров и групп, а сам сервер будет вам периодически напоминать о времени последнего подключения компьютера к данному серверу.

По умолчанию на серверах WSUS созданы две группы: «Все компьютеры» и «Неназначенные компьютеры», куда изначально входят все клиентские компьютеры, подключенные к WSUS-серверу. Группы вы можете создавать вручную, образовывая так называемую иерархию. Количество групп может быть не ограниченным. В этой статье вы узнаете о самом процессе создания групп, а также о настройке клиентских компьютеров средствами групповой политики.

Создание групп компьютеров и назначение компьютеров в группы со стороны сервера

Создание групп компьютеров с помощью оснастки «Update Services» – процесс довольно таки простой. Для того чтобы создать дополнительную группу, выполните следующие действия:

  1. Нажмите на кнопку «Пуск», выберите группу «Администрирование», а затем откройте компонент «Windows Server Update Services»;
  2. В дереве консоли «Update Services» разверните узел с именем сервера, узел «Компьютеры», нажмите правой кнопкой на группе «Все компьютеры» или на другой группе, внутри которой вам нужно создать новую группу, а затем из контекстного меню выберите команду «Добавить группу компьютеров…»;
  3. В диалоговом окне «Добавление группы компьютеров», в текстовом поле «Имя» введите имя новой группы, например, «Тестирование» и нажмите на кнопку «Добавить», как показано на следующей иллюстрации:

*

Рис. 1. Добавление группы компьютеров

Если в вашей организации для назначения компьютеров в группы компьютеров не используется назначение со стороны клиентов средствами параметров групповых политик или системного реестра, вы можете назначать клиентские компьютеры в группы со стороны сервера, а именно средствами оснастки «Update Services». Для того чтобы назначить компьютер в группу компьютеров со стороны сервера, выполните следующие действия:

  1. В оснастке «Update Services», в дереве консоли разверните узлы «Компьютеры» и «Все компьютеры», после чего выберите группу «Неназначенные компьютеры», где должны отображаться компьютеры, которые не были назначены в конкретные группы;
  2. Выделите компьютер, который следует поместить в определенную группу, щелкните на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить членство»;
  3. В диалоговом окне «Настройка членства в группах компьютеров» установите флажок для одной или нескольких групп, в которые нужно включить компьютер и нажмите на кнопку «ОК».

Назначение клиентских компьютеров в группы компьютеров со стороны клиента

В большинстве случаев, в организациях принято назначать клиентские компьютеры в группы компьютеров со стороны клиента, а именно средствами групповых политик. Данный способ позволяет автоматически назначать все настройки клиентам, которые добавляются в сеть. Прежде чем переходить к процедуре назначения компьютера в группу компьютеров средствами групповых политик, рассмотрим параметры групповой политики, доступные для управления клиентскими компьютерами Windows Server Update Services:

  • Включить рекомендуемые обновления через автоматическое обновление. Используя этот параметр групповой политики, вы можете определить, будет ли на клиентском компьютере служба автоматического обновления Windows доставлять обновления, которые помечены как важные и рекомендуемые из Центра обновления Windows. В том случае, если вы отключите данный параметр, то будут доставляться только важные обновления;
  • Включить уведомление о наличии программ. Этот параметр позволяет вам отображать подробные расширенные уведомления от службы центра обновления Майкрософт пользователям, что ускоряет установку и использование дополнительных приложений;
  • Задержка перезагрузки при запланированных установках. При помощи этого параметра вы можете указать промежуток времени, в течение которого операционная система будет ожидать перед плановой перезагрузкой. Данный параметр применяется для службы автоматического обновления только в том случае, если установка обновлений настроена по расписанию, в противном случае вам придется выполнять перезагрузку в ручном режиме. Если данный параметр политики отключен, то перед перезагрузкой компьютер будет ожидать 15 минут, если же вы включите данный параметр, то промежуток времени будет изменен до 5 минут;
  • Настройка автоматического обновления. Данный параметр групповой политики позволяет вам определить, как именно клиентский компьютер будет получать обновления для операционной системы и приложений. Если вы включите данный параметр, вам нужно будет выбрать один из четырех параметров, которые выполняют те же функции, что и параметры, расположенные в раскрывающемся списке «Важные обновления» в окне настроек параметров центра обновления Windows. Если вы выберите параметр «2 – уведомление о загрузке и установке», то при обнаружении операционной системой новых обновлений, в области уведомлений будет отображаться значок, свидетельствующий о том, что вы можете загрузить и установить обновления. После того как будут выбраны обновления, необходимые для загрузки, они будут загружены в фоновом режиме и вам нужно будет их установить. Данный вариант приемлем для персонала, тестирующего обновления, а также для некоторых домашних пользователей, но его ни в коем случае не стоит выбирать для пользователей в организации, так как следить за состоянием своей операционной системы будет от силы один из десяти ваших пользователей. Если установить параметр «3 – авт. загрузка и уведом. об устан», что равносильно значению «Загружать обновления, но решение об установке принимается мной» в графическом пользовательском интерфейсе, то после того как операционная система обнаружит новые обновления, она их автоматически загрузит на компьютер в фоновом режиме и вам нужно будет только установить загруженные обновления. Выбрав параметр «4 – авт. загрузка и устан. по расписанию», то обновления будут автоматически загружены и установлены в указанное в данном параметре время, причем, если для завершения установки понадобится перезагрузить компьютер, он будет перезагружен в автоматическом режиме. Установив параметр под номером 5, вы разрешите локальным администраторам выбирать режим вывода уведомлений об обновлениях и их установке, что, по моему мнению, стоит выбирать только в самых крайних случаях.
  • Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи. Этот параметр групповой политики позволяет для завершения установки обновлений по расписанию запретить автоматическую перезагрузку компьютера, тем самым дав пользователям возможность перезагружать систему автоматически при первом входе в систему;
  • Не задавать по умолчанию параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows». Используя текущий параметр, вы можете определить, будет ли в диалоговом окне завершения работы операционной системы по умолчанию отображаться команда «Установить обновления и завершить работу». В том случае, когда завершение установки обновления требует перезагрузки, то отображается именно эта команда, но если включить данный параметр групповой политики, то в диалоговом окне завершения работы операционной системы будет установлена по умолчанию та команда, которая задана в настройках операционной системы;
  • Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows». Многие из вас знают, что если на компьютере есть обновления, которые будут установлены после перезагрузки компьютера, то команда «Завершить работу» меняется на «Установить обновления и завершить работу». Такое название команды может довести некоторых пользователей практически до предынфарктного состояния. Чтобы избежать таких ситуаций вы можете воспользоваться данным параметром групповой политики. При включенном параметре команда «Завершение работы» всегда будет иметь такое название даже в том случае, если на компьютере присутствуют обновления, которые будут установлены после перезагрузки или выключения компьютера;
  • Перенос запланированных автоматических установок обновлений. Данный параметр групповой политики позволяет вам указать период ожидания после загрузки операционной системы до выполнения пропущенной ранее установки обновлений по расписанию. По умолчанию пропущенная установка обновлений по расписанию выполняется через одну минуту после загрузки системы, при отключении данного параметра, система будет ждать до следующей установки по расписанию. Если же вы включите данный параметр, то сможете указать период времени, в течение которого операционная система будет ждать до выполнения установки пропущенных обновлений;
  • Повторный запрос для перезагрузки при запланированных установках. Периодически практически у каждого пользователя случаются такие ситуации, когда он загружает и устанавливает обновления, но не хочет перезагружать компьютер для завершения установки некоторых обновлений. В этом случае каждые 10 минут выскакивает предупреждающее приглашения с предложением перезагрузить компьютер, которое может действовать некоторым людям на нервы. Если вы относитесь к таким пользователям, то этот параметр групповой политики разработан специально для вас. При помощи этого параметра вы можете определить период времени, через который пользователь увидит запрос для перезагрузки компьютера;
  • Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях. По умолчанию, в том случае если у вас не выбрана установка обновлений по расписанию, только локальные администраторы компьютеров могут получать уведомления об обновлениях. Если же перед вами стоит задача дать наряду с локальными администраторами обычным пользователям возможность получать уведомления, а также устанавливать важные, рекомендуемые и необязательные обновления, то вам нужно воспользоваться текущим параметром групповой политики, причем, для установки обновлений пользователи даже не увидят диалогового окна UAC;
  • Разрешить клиенту присоединение к целевой группе. Именно при помощи этого параметра вы можете назначить клиентский компьютер в группу компьютеров сервера Windows Server Update Services. Если группа не указана, а пользователь подключается к WSUS-серверу, то вы сможете найти этот компьютер в группе «Неназначенные компьютеры». Если же вам нужно поместить пользователя не в одну группу, а в несколько, то разделите группы точками с запятой;
  • Разрешить немедленную установку автоматических обновлений. Помимо обновлений, которые для завершения установки требуют перезагрузку компьютера, есть и такие обновления, которые могут устанавливаться в работающей операционной системе без всяких перезагрузок компьютера. При помощи текущего параметра групповой политики вы можете задать службе автоматического обновления немедленную установку обновлений без прерывания каких-либо служб операционной системы или ее перезагрузки;
  • Разрешить прием обновлений с подписью из службы обновлений Майкрософт в интрасети. Если помимо обновлений из серверов Microsoft, ваш WSUS-сервер распространяет обновления, разработанные другими компаниями, которые подписаны сертификатом, расположенным в хранилище «Доверенные издатели» на локальном компьютере, то данный параметр групповой политики позволит вам устанавливать такие обновления. Если же данный параметр отключен, то на клиентские компьютеры будут распространяться только обновления для продуктов компании Microsoft;
  • Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений. Если в вашей организации обновления устанавливаются автоматически по расписанию, то целесообразно устанавливать время расписания установки обновлений на ночь и не выключать полностью компьютеры, а переводить их в режим гибернации. Данный параметр групповой политики позволяет вам для установки обновлений переводить компьютер в обычный режим для установки обновлений;
  • Указать размещение службы обновлений Майкрософт в интрасети. По умолчанию, ваши клиентские компьютеры не знают, установлен ли в вашей организации WSUS-сервер. Используя этот параметр групповой политики, вы можете указать путь к WSUS-серверу, который будет служить внутренним сайтом служб обновлений в вашей организации. Здесь вам необходимо указать два параметра, а именно имя сервера, на котором будет выполняться поиск и загрузка обновлений, а также сервер, на который будет выполняться статистика. В большинстве случаев это один и тот же сервер;
  • Частота поиска автоматических обновлений. При помощи текущего параметра групповой политики вы можете указать промежуток времени между поиском новых обновлений на своем WSUS-сервере. По умолчанию доступные обновления проверяются с интервалом в 22 часа. Если вы включите данный параметр, то можете указать время ожидания в часах путем вычитания от 0 до 20% от установленного вами времени. Данную политику указывать бессмысленно в том случае, если у вас настроен параметр групповой политики «Настройка автоматического обновления»;
  • Запретить использование любых средств Центра обновления Windows. Данный параметр групповой политики доступен только в разделе конфигурации пользователя и позволяет полностью запретить доступ к центру обновления Windows. Не рекомендую использовать данный параметр в производственной среде.

Теперь, после того как вы узнали о параметрах групповой политики, позволяющих управлять настройками центра, попробуем назначить на контроллере домена клиентский компьютер в группу компьютеров. Для этого выполните следующие действия:

Рис. 2. Узел «Центр обновления Windows» оснастки «Редактор управления групповыми политиками»

Рис. 3. Параметры политики «Указать размещение службы обновлений Майкрософт в сети»

Рис. 4. Параметры политики «Разрешить клиенту присоединение к целевой группе»

Рис. 5. Параметры политики «Настройка автоматического обновления»

После того как объект групповой политики будет окончательно настроен, для того чтобы на клиентских компьютерах моментально обновились параметры групповой политики вам нужно будет на каждом клиентском компьютере в командной строке выполнить команду «gpupdate /force» от имени учетной записи, которая входит в группу администраторов.

Заключение

В этой статье вы узнали о том, как можно создавать и управлять группами компьютеров. Также были рассмотрены способы назначения клиентских компьютеров в группы компьютеров на стороне сервера, а именно средствами оснастки «Update Services» и со стороны клиента, т.е. при помощи групповых политик. Помимо этого были подробно рассмотрены все параметры групповой политики, которые имеют отношение к центру обновлений Windows и службе автоматического обновления.

Читайте также: