Управление обновлениями Windows через групповые политики (GPO) позволяет централизованно настраивать параметры загрузки и установки обновлений на рабочих станциях и серверах в домене Active Directory. В этой статье подробно описывается, как настроить GPO для работы с локальным сервером WSUS или напрямую с серверами Windows Update, обеспечивая гибкость и контроль над процессом обновления.
Настройка клиентов WSUS через групповые политики
Для организаций с собственным сервером Windows Server Update Services (WSUS) необходимо настроить клиентские устройства для получения обновлений с локального сервера вместо серверов Microsoft в интернете. Это обеспечивает экономию трафика и централизованное управление.
Создание групп компьютеров в WSUS
Для разделения управления обновлениями между серверами и рабочими станциями начните с настройки сервера WSUS:
1. Откройте консоль управления WSUS, запустив команду wsus.msc.
2. В разделе Компьютеры -> Все компьютеры создайте две группы:
— Рабочие станции
— Серверы
3. В разделе Параметры найдите настройку Компьютеры и выберите опцию Использовать групповую политику или параметры реестра на компьютерах.
Эта настройка активирует client-side targeting, позволяя автоматически распределять компьютеры по группам в WSUS на основе параметров, заданных через GPO или реестр.
Создание групповых политик
Для настройки обновлений создайте две отдельные политики в консоли управления групповыми политиками (gpmc.msc):
— ServerWSUSPolicy — для серверов.
— WorkstationWSUSPolicy — для рабочих станций.
Настройка GPO для серверов (ServerWSUSPolicy)
Параметры для серверов настраиваются в разделе GPO: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows.
Цель — запретить автоматическую установку обновлений и перезагрузку серверов без подтверждения администратора. Обновления должны загружаться автоматически, но установка выполняется вручную в согласованные окна обслуживания, например, через Панель управления или модуль PowerShell PSWindowsUpdate.
Настройте следующие параметры:
1. Настройка автоматического обновления: Включено. Выберите 3 — Автоматическая загрузка и уведомление об установке. Это позволяет клиентам загружать обновления и уведомлять о готовности к установке.
2. Указать размещение службы обновлений Microsoft в интрасети: Включено. Укажите:
— Служба обновлений: http://srv-wsus.softcomputers.org:8530
— Сервер статистики: http://srv-wsus.softcomputers.org:8530
3. Не выполнять автоматическую перезагрузку при наличии активных пользователей: Включено. Это предотвращает перезагрузку сервера, если в системе есть активные пользовательские сессии.
4. Разрешить клиенту присоединение к целевой группе: Включено. Укажите имя группы: Servers. Это отнесет серверы к группе Servers в консоли WSUS.
Настройка GPO для рабочих станций (WorkstationWSUSPolicy)
Для рабочих станций настройка направлена на автоматическую загрузку и установку обновлений с перезагрузкой в нерабочее время, чтобы минимизировать вмешательство в рабочий процесс.
Настройте следующие параметры:
1. Разрешить немедленную установку автоматических обновлений: Отключено. Это предотвращает установку обновлений сразу после их загрузки.
2. Разрешить пользователям, не являющимся администраторами, получать уведомления: Включено. Пользователи будут видеть уведомления о новых обновлениях и смогут инициировать их установку вручную.
3. Настройка автоматического обновления: Включено. Выберите 4 — Автоматическая загрузка и установка по расписанию. Укажите:
— День установки: Ежедневно
— Время установки: 05:00
4. Разрешить клиенту присоединение к целевой группе: Включено. Укажите имя группы: Workstations.
5. Не выполнять автоматическую перезагрузку при наличии активных пользователей: Отключено. Система перезагрузится через 5 минут после установки обновлений.
6. Указать размещение службы обновлений Microsoft в интрасети: Включено. Укажите те же адреса WSUS: http://srv-wsus.softcomputers.org:8530.
7. Не разрешать политикам отсрочки обновлений использовать Windows Update: Включено.
8. Не подключаться к расположениям Windows Update в интернете: Включено. Это предотвращает обращение клиентов к серверам Microsoft.
9. Отключить автоматическую перезагрузку в активные часы: Включено. Установите активные часы, например, с 08:00 до 17:00, чтобы избежать перезагрузок в рабочее время.
Обеспечение работы службы Windows Update
Для обеих политик включите автоматический запуск службы wuauserv:
1. Перейдите в Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Службы системы.
2. Найдите Служба обновления Windows и задайте режим Автоматический запуск.
Привязка политик к OU
После настройки политик свяжите их с соответствующими контейнерами (OU) в Active Directory:
1. В консоли gpmc.msc выберите OU с серверами и привяжите ServerWSUSPolicy.
2. Аналогично привяжите WorkstationWSUSPolicy к OU с рабочими станциями.
3. Дополнительно привяжите ServerWSUSPolicy к OU Domain Controllers для контроллеров домена.
Гибкость привязки политик
В зависимости от структуры организации можно:
— Применить единую политику WSUS ко всем компьютерам домена, привязав GPO к корню домена.
— Использовать разные серверы WSUS для различных сайтов AD.
— Применять политики с использованием WMI-фильтров для более точного таргетинга.
Применение политик и регистрация клиентов
После привязки политик дождитесь их применения на клиентах или выполните принудительное обновление:
gpupdate /force
Для ускорения регистрации клиентов на сервере WSUS выполните:
$updateSession = New-Object -ComObject "Microsoft.Update.Session"
$updates = $updateSession.CreateUpdateSearcher().Search($criteria).Updates
wuauclt /reportnow
При необходимости перерегистрируйте клиента:
wuauclt /detectnow /resetAuthorization
Проверка настроек в реестре
Все параметры GPO записываются в ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. Их можно экспортировать в REG-файл для использования на компьютерах вне домена (например, в рабочих группах или DMZ):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"="http://srv-wsus.softcomputers.org:8530"
"WUStatusServer"="http://srv-wsus.softcomputers.org:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
Управление обновлениями на сервере WSUS
Клиенты отобразятся в консоли WSUS в группах Servers или Workstations с информацией об имени, IP, версии ОС и состоянии обновлений. Убедитесь, что обновления одобрены для установки (вручную или автоматически).
Обновления загружаются в каталог %windir%\SoftwareDistribution\Download. Логи загрузки и установки хранятся в файле WindowsUpdate.log.
Устранение ошибок
Если возникает ошибка 0x80244010, настройте частоту проверки обновлений через параметр Частота автоматического обнаружения обновлений в GPO.
Настройка обновлений через интернет
Если WSUS не используется, можно настроить получение обновлений напрямую с серверов Windows Update. В этом случае:
1. Указать размещение службы обновлений Microsoft в интрасети: Не задано.
2. Имя целевой группы для данного компьютера: Не задано.
3. Не разрешать политикам отсрочки обновлений использовать Windows Update: Отключено.
4. Не подключаться к расположениям Windows Update в интернете: Отключено.
Эти настройки позволяют управлять процессом загрузки и установки обновлений через GPO, сохраняя гибкость для интернет-подключений.
