GPO Pour clients WSUS
Par Pierre le lundi 9 juin 2008, 08:28 - WSUS - Lien permanent
On va voir comment déployer sa stratégie de mises à jour des clients WSUS par GPO
Pour faciliter le déploiement de cette GPO il est conseillé de créer une
unité d'organisation qui s'appellera par exemple Ordinateurs gérés par WSUS.
Ensuite on va affilier une stratégie de groupe à cette UO par le biais de
GPMC.
Donc il faut se rendre dans dans GPMC, ensuite il faut aller dans Configuration Ordinateur, Modèles d'administration, Windows Update
Ensuite une fois ici dans l'onglet de droite il y a une stratégie qui s'appelle Spécifier l'emplacement intranet du service de Mise à jour Microsoft
Donc on clique dessus on l'active et ensuite on rentre
l'adresse du serveur WSUS : http://servWSUS
Maintenant tous les ordinateurs qui sont dans l'UO Ordinateurs gérés par
WSUS sont configurés pour utiliser les mises à jours Windows en
interne.
Après cela il existe de nombreuses options pour configurer les mises à jours
pour laisser le choix pour les utilisateurs de les installer, de les planifier
à une heure précise ...
Voici les différentes options :
Dans le noeud Configuration Ordinateur :
- Ne pas afficher l'option Installer les mises à jour et éteindre ... : si cette stratégie est active, l'option d'installation des mises à jour avant extinction ne sera pas disponible aux utilisateurs.
- Ne pas modifier l'option par défaut Installer les mises à jour et éteindre ... : si cette stratégie est active, alors la fonction arrêt de la machine par défaut sera celle avec l'installation des mises à jour.
- Configuration des mises à jours automatiques : Cette
stratégie va permettre d'activer le service "Mise à jour automatique" et
ensuite le fonctionnement de celle-ci
Fonctionnement des mises à jour possible:
Notification avant téléchargement et notification avant installation des mises
à jour
Téléchargement automatique des mises à jour et notification avant installation
des mises à jour
L'installation des mises à jour est automatique et planifié en fonction des
valeurs ScheduledInstallDay et ScheduledInstallTime
La planification des mises à jour est configuré mais l'utilisateur final peut
le configurer
- Autoriser le ciblage coté client : vous pouvez créer des groupes dans WSUS. L'objectif de cette stratégie est de spécifier le nom de groupe que les ordinateurs doivent utiliser pour télécharger les mises à jour.
- Replanifier les installations planifiées des mises à jours automatiques : si l'installation planifiée précédente a été manquée, alors on renseigne le temps depuis le démarrage de la machine avant une nouvelle planification.
- Pas de redémarrage planifié des installations planifiés des mises à jour automatiques : ne permet pas à la fonction Mise à jour automatique de redémarrer la machine si celle-ci est planifiée. Seul l'utilisateur le fera manuellement
- Fréquence de détection des mises à jour automatiques : elle permet de configurer la durée entre chaque vérification de mise à jour (de -20% à 0%) sur le serveur WSUS (par défaut: 22 heures, donc vérification après une durée de 18h24 et 22h)
- Autoriser l'installation immédiate des mises à jour automatique : si la mise à jour ne nécessite pas de redémarrage de Windows ou de services Windows alors, si la stratégie est active, l'installation des mises à jour s'effectue de suite.
- Délai de redémarrage pour les installations planifiées : cette stratégie permet de renseigner la durée entre la fin de l'installation de mise à jour et le redémarrage de la machine. (par défaut 5 minutes)
- Redemander un redémarrage avec les installations planifiées : permet de spécifier une demande de redémarrage après un laps de temps, si la précédente a été refusée
- Autoriser les non-administrateurs à recevoir les notifications de mises à jours : cette stratégie va permettre d'autoriser les utilisateurs non-administrateurs de recevoir les notifications de mises à jour. L'utilisateur pourra ou non confirmer l'installation des mises à jour.
Dans le noeud Configuration Utilisateur :
- Supprimer l'accès à l'utilisation de toutes les fonctionnalités de Windows Update : permet de désactiver toutes les interactions avec Windows Update. Il est fortement conseillé de l'activer pour éviter de faire doublon avec le service WSUS
- Ne pas afficher l'option Installer les mises à jour et éteindre ... : si cette option est active, alors l'option d'installation des mises à jour avant extinction ne sera pas disponible aux utilisateurs.
- Ne pas modifier l'option par défaut Installer les mises à jour et éteindre ... : si cette option est active, alors la fonction arrêt de la machine par défaut sera celle avec l'installation des mises à jours