Настройка клиентских компьютеров WSUS

• Введение
• Создание групп компьютеров и назначение компьютеров в группы со стороны сервера
• Назначение клиентских компьютеров в группы компьютеров со стороны клиента
• Заключение

Введение

В одной из предыдущих статей по службам Windows Server Update Services, а именно в статье «Планирование архитектуры WSUS», я говорил, что для каждой модели развертывания серверов WSUS целесообразно использовать группы компьютеров. Группы позволяют вам предотвратить развертывание обновлений, которые могут ухудшить работоспособность операционной системы ваших сотрудников. Например, вы можете создать группы для тестирования и пилотного развертывания обновлений, предназначенные для лабораторного тестирования новых обновлений, а также развертывания в испытательной группе, сотрудники которой являются компетентными ИТ-специалистами, помогающими идентифицировать и устранять возникшие неполадки. Помимо этого, вы можете создавать дополнительные группы для развертывания обновлений для различных моделей компьютеров, например, отдельные группы для почтовых серверов, для контроллеров домена, а также группы, в которые будут входить ваши пользователи. Настройка пользователей на конкретные группы позволяет вам гарантировать, что каждый компьютер получит нужное рабочее обновление в удобное для пользователя время. Стоит обратить внимание, что каждый клиентский компьютер может быть настроен на подключение только к одному серверу обновлений. Другими словами, если в вашей организации разворачивается дополнительный WSUS-сервер и компьютер пользователя перенаправляют на второй WSUS-сервер, он автоматически перестает подключаться к первому серверу. Несмотря на это, на том сервере обновлений, который использовался клиентом ранее, клиентский компьютер все еще останется в списке компьютеров и групп, а сам сервер будет вам периодически напоминать о времени последнего подключения компьютера к данному серверу.

По умолчанию на серверах WSUS созданы две группы: «Все компьютеры» и «Неназначенные компьютеры», куда изначально входят все клиентские компьютеры, подключенные к WSUS-серверу. Группы вы можете создавать вручную, образовывая так называемую иерархию. Количество групп может быть не ограниченным. В этой статье вы узнаете о самом процессе создания групп, а также о настройке клиентских компьютеров средствами групповой политики.

Создание групп компьютеров и назначение компьютеров в группы со стороны сервера

Создание групп компьютеров с помощью оснастки «Update Services» – процесс довольно таки простой. Для того чтобы создать дополнительную группу, выполните следующие действия:

1. Нажмите на кнопку «Пуск», выберите группу «Администрирование», а затем откройте компонент «Windows Server Update Services»;
2. В дереве консоли «Update Services» разверните узел с именем сервера, узел «Компьютеры», нажмите правой кнопкой на группе «Все компьютеры» или на другой группе, внутри которой вам нужно создать новую группу, а затем из контекстного меню выберите команду «Добавить группу компьютеров…»;
3. В диалоговом окне «Добавление группы компьютеров», в текстовом поле «Имя» введите имя новой группы, например, «Тестирование» и нажмите на кнопку «Добавить», как показано на следующей иллюстрации:





Рис. 1. Добавление группы компьютеров

Если в вашей организации для назначения компьютеров в группы компьютеров не используется назначение со стороны клиентов средствами параметров групповых политик или системного реестра, вы можете назначать клиентские компьютеры в группы со стороны сервера, а именно средствами оснастки «Update Services». Для того чтобы назначить компьютер в группу компьютеров со стороны сервера, выполните следующие действия:

1. В оснастке «Update Services», в дереве консоли разверните узлы «Компьютеры» и «Все компьютеры», после чего выберите группу «Неназначенные компьютеры», где должны отображаться компьютеры, которые не были назначены в конкретные группы;
2. Выделите компьютер, который следует поместить в определенную группу, щелкните на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить членство»;
3. В диалоговом окне «Настройка членства в группах компьютеров» установите флажок для одной или нескольких групп, в которые нужно включить компьютер и нажмите на кнопку «ОК».

Назначение клиентских компьютеров в группы компьютеров со стороны клиента

В большинстве случаев, в организациях принято назначать клиентские компьютеры в группы компьютеров со стороны клиента, а именно средствами групповых политик. Данный способ позволяет автоматически назначать все настройки клиентам, которые добавляются в сеть. Прежде чем переходить к процедуре назначения компьютера в группу компьютеров средствами групповых политик, рассмотрим параметры групповой политики, доступные для управления клиентскими компьютерами Windows Server Update Services:

• Включить рекомендуемые обновления через автоматическое обновление. Используя этот параметр групповой политики, вы можете определить, будет ли на клиентском компьютере служба автоматического обновления Windows доставлять обновления, которые помечены как важные и рекомендуемые из Центра обновления Windows. В том случае, если вы отключите данный параметр, то будут доставляться только важные обновления;
• Включить уведомление о наличии программ. Этот параметр позволяет вам отображать подробные расширенные уведомления от службы центра обновления Майкрософт пользователям, что ускоряет установку и использование дополнительных приложений;
• Задержка перезагрузки при запланированных установках. При помощи этого параметра вы можете указать промежуток времени, в течение которого операционная система будет ожидать перед плановой перезагрузкой. Данный параметр применяется для службы автоматического обновления только в том случае, если установка обновлений настроена по расписанию, в противном случае вам придется выполнять перезагрузку в ручном режиме. Если данный параметр политики отключен, то перед перезагрузкой компьютер будет ожидать 15 минут, если же вы включите данный параметр, то промежуток времени будет изменен до 5 минут;
• Настройка автоматического обновления. Данный параметр групповой политики позволяет вам определить, как именно клиентский компьютер будет получать обновления для операционной системы и приложений. Если вы включите данный параметр, вам нужно будет выбрать один из четырех параметров, которые выполняют те же функции, что и параметры, расположенные в раскрывающемся списке «Важные обновления» в окне настроек параметров центра обновления Windows. Если вы выберите параметр «2 – уведомление о загрузке и установке», то при обнаружении операционной системой новых обновлений, в области уведомлений будет отображаться значок, свидетельствующий о том, что вы можете загрузить и установить обновления. После того как будут выбраны обновления, необходимые для загрузки, они будут загружены в фоновом режиме и вам нужно будет их установить. Данный вариант приемлем для персонала, тестирующего обновления, а также для некоторых домашних пользователей, но его ни в коем случае не стоит выбирать для пользователей в организации, так как следить за состоянием своей операционной системы будет от силы один из десяти ваших пользователей. Если установить параметр «3 – авт. загрузка и уведом. об устан», что равносильно значению «Загружать обновления, но решение об установке принимается мной» в графическом пользовательском интерфейсе, то после того как операционная система обнаружит новые обновления, она их автоматически загрузит на компьютер в фоновом режиме и вам нужно будет только установить загруженные обновления. Выбрав параметр «4 – авт. загрузка и устан. по расписанию», то обновления будут автоматически загружены и установлены в указанное в данном параметре время, причем, если для завершения установки понадобится перезагрузить компьютер, он будет перезагружен в автоматическом режиме. Установив параметр под номером 5, вы разрешите локальным администраторам выбирать режим вывода уведомлений об обновлениях и их установке, что, по моему мнению, стоит выбирать только в самых крайних случаях.
• Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи. Этот параметр групповой политики позволяет для завершения установки обновлений по расписанию запретить автоматическую перезагрузку компьютера, тем самым дав пользователям возможность перезагружать систему автоматически при первом входе в систему;
• Не задавать по умолчанию параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows». Используя текущий параметр, вы можете определить, будет ли в диалоговом окне завершения работы операционной системы по умолчанию отображаться команда «Установить обновления и завершить работу». В том случае, когда завершение установки обновления требует перезагрузки, то отображается именно эта команда, но если включить данный параметр групповой политики, то в диалоговом окне завершения работы операционной системы будет установлена по умолчанию та команда, которая задана в настройках операционной системы;
• Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows». Многие из вас знают, что если на компьютере есть обновления, которые будут установлены после перезагрузки компьютера, то команда «Завершить работу» меняется на «Установить обновления и завершить работу». Такое название команды может довести некоторых пользователей практически до предынфарктного состояния. Чтобы избежать таких ситуаций вы можете воспользоваться данным параметром групповой политики. При включенном параметре команда «Завершение работы» всегда будет иметь такое название даже в том случае, если на компьютере присутствуют обновления, которые будут установлены после перезагрузки или выключения компьютера;
• Перенос запланированных автоматических установок обновлений. Данный параметр групповой политики позволяет вам указать период ожидания после загрузки операционной системы до выполнения пропущенной ранее установки обновлений по расписанию. По умолчанию пропущенная установка обновлений по расписанию выполняется через одну минуту после загрузки системы, при отключении данного параметра, система будет ждать до следующей установки по расписанию. Если же вы включите данный параметр, то сможете указать период времени, в течение которого операционная система будет ждать до выполнения установки пропущенных обновлений;
• Повторный запрос для перезагрузки при запланированных установках. Периодически практически у каждого пользователя случаются такие ситуации, когда он загружает и устанавливает обновления, но не хочет перезагружать компьютер для завершения установки некоторых обновлений. В этом случае каждые 10 минут выскакивает предупреждающее приглашения с предложением перезагрузить компьютер, которое может действовать некоторым людям на нервы. Если вы относитесь к таким пользователям, то этот параметр групповой политики разработан специально для вас. При помощи этого параметра вы можете определить период времени, через который пользователь увидит запрос для перезагрузки компьютера;
• Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях. По умолчанию, в том случае если у вас не выбрана установка обновлений по расписанию, только локальные администраторы компьютеров могут получать уведомления об обновлениях. Если же перед вами стоит задача дать наряду с локальными администраторами обычным пользователям возможность получать уведомления, а также устанавливать важные, рекомендуемые и необязательные обновления, то вам нужно воспользоваться текущим параметром групповой политики, причем, для установки обновлений пользователи даже не увидят диалогового окна UAC;
• Разрешить клиенту присоединение к целевой группе. Именно при помощи этого параметра вы можете назначить клиентский компьютер в группу компьютеров сервера Windows Server Update Services. Если группа не указана, а пользователь подключается к WSUS-серверу, то вы сможете найти этот компьютер в группе «Неназначенные компьютеры». Если же вам нужно поместить пользователя не в одну группу, а в несколько, то разделите группы точками с запятой;
• Разрешить немедленную установку автоматических обновлений. Помимо обновлений, которые для завершения установки требуют перезагрузку компьютера, есть и такие обновления, которые могут устанавливаться в работающей операционной системе без всяких перезагрузок компьютера. При помощи текущего параметра групповой политики вы можете задать службе автоматического обновления немедленную установку обновлений без прерывания каких-либо служб операционной системы или ее перезагрузки;
• Разрешить прием обновлений с подписью из службы обновлений Майкрософт в интрасети. Если помимо обновлений из серверов Microsoft, ваш WSUS-сервер распространяет обновления, разработанные другими компаниями, которые подписаны сертификатом, расположенным в хранилище «Доверенные издатели» на локальном компьютере, то данный параметр групповой политики позволит вам устанавливать такие обновления. Если же данный параметр отключен, то на клиентские компьютеры будут распространяться только обновления для продуктов компании Microsoft;
• Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений. Если в вашей организации обновления устанавливаются автоматически по расписанию, то целесообразно устанавливать время расписания установки обновлений на ночь и не выключать полностью компьютеры, а переводить их в режим гибернации. Данный параметр групповой политики позволяет вам для установки обновлений переводить компьютер в обычный режим для установки обновлений;
• Указать размещение службы обновлений Майкрософт в интрасети. По умолчанию, ваши клиентские компьютеры не знают, установлен ли в вашей организации WSUS-сервер. Используя этот параметр групповой политики, вы можете указать путь к WSUS-серверу, который будет служить внутренним сайтом служб обновлений в вашей организации. Здесь вам необходимо указать два параметра, а именно имя сервера, на котором будет выполняться поиск и загрузка обновлений, а также сервер, на который будет выполняться статистика. В большинстве случаев это один и тот же сервер;
• Частота поиска автоматических обновлений. При помощи текущего параметра групповой политики вы можете указать промежуток времени между поиском новых обновлений на своем WSUS-сервере. По умолчанию доступные обновления проверяются с интервалом в 22 часа. Если вы включите данный параметр, то можете указать время ожидания в часах путем вычитания от 0 до 20% от установленного вами времени. Данную политику указывать бессмысленно в том случае, если у вас настроен параметр групповой политики «Настройка автоматического обновления»;
• Запретить использование любых средств Центра обновления Windows. Данный параметр групповой политики доступен только в разделе конфигурации пользователя и позволяет полностью запретить доступ к центру обновления Windows. Не рекомендую использовать данный параметр в производственной среде.

Теперь, после того как вы узнали о параметрах групповой политики, позволяющих управлять настройками центра, попробуем назначить на контроллере домена клиентский компьютер в группу компьютеров. Для этого выполните следующие действия:

1. На контроллере домена откройте оснастку «Управление групповой политикой», создайте объект GPO, например «Клиенты WSUS» и привяжите его к подразделению с вашими клиентами;
2. Нажмите на данном объекте GPO правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
3. В оснастке «Редактор управления групповыми политиками» перейдите в узел Конфигурация компьютера\Политики\Административные шаблоны\Конфигурация Windows\Центр обновления Windows, как показано на следующей иллюстрации:




Увеличить рисунок

Рис. 2. Узел «Центр обновления Windows» оснастки «Редактор управления групповыми политиками»

4. На панели сведений выберите политику «Указать размещение службы обновлений Майкрософт в сети» и дважды щелкните на ней, чтобы открыть диалоговое окно параметра групповой политики. В отобразившемся диалоговом окне выберите опцию «Включить» и в текстовом поле «Укажите службу обновлений в интрасети для поиска обновлений» введите имя своего WSUS-сервера, например, в моем случае это «SERVER03.BIOPHARMACEUTIC.COM», а в текстовом поле «Укажите сервер статистики в интрасети» введите адрес сервера статистики, например, «http://Server03». Нажмите на кнопку «ОК»;




Увеличить рисунок

Рис. 3. Параметры политики «Указать размещение службы обновлений Майкрософт в сети»

5. На панели сведений откройте политику «Разрешить клиенту присоединение к целевой группе», установите переключатель на опции «Включить» и в текстовом поле «Имя целевой группы для данного компьютера» введите название группы компьютеров, для которой назначаются компьютеры, на которых распространяется групповая политика. Например, в моем случае группа называется «Клиентские компьютеры». После того как изменения будут внесены, нажмите на кнопку «ОК»;




Увеличить рисунок

Рис. 4. Параметры политики «Разрешить клиенту присоединение к целевой группе»

6. На панели сведений откройте политику «Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows»» и установите переключатель опции «Включить». Нажмите на кнопку «ОК»;
7. На панели сведений откройте политику «Настройка автоматического обновления», установите переключатель на опцию «Включить», в раскрывающемся списке выберите опцию «4 – Автоматическая загрузка и установка по расписанию» и установите в соответствующих полях дни недели и время для установки обновлений по расписанию. Например, ежедневно в 5 часов ночи, как показано на следующей иллюстрации:




Увеличить рисунок

Рис. 5. Параметры политики «Настройка автоматического обновления»

8. На панели сведений откройте политику «Включить уведомления о наличии программ» и установите переключатель на опции «Включить». Нажмите на кнопку «ОК»;
9. На панели сведений откройте политику «Включить рекомендуемые обновления через автоматическое обновление» и установите переключатель на опции «Включить». Нажмите на кнопку «ОК»;
10. На панели сведений откройте политику «Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи» и установите переключатель на опции «Включить». Нажмите на кнопку «ОК»;
11. Закройте оснастку «Редактор управления групповыми политиками».

После того как объект групповой политики будет окончательно настроен, для того чтобы на клиентских компьютерах моментально обновились параметры групповой политики вам нужно будет на каждом клиентском компьютере в командной строке выполнить команду «gpupdate /force» от имени учетной записи, которая входит в группу администраторов.

Заключение

В этой статье вы узнали о том, как можно создавать и управлять группами компьютеров. Также были рассмотрены способы назначения клиентских компьютеров в группы компьютеров на стороне сервера, а именно средствами оснастки «Update Services» и со стороны клиента, т.е. при помощи групповых политик. Помимо этого были подробно рассмотрены все параметры групповой политики, которые имеют отношение к центру обновлений Windows и службе автоматического обновления.