Задача: Разобрать настройки посредством которых будет осуществлять прописывание сервера WSUS на рабочие станции под управлением Windows дабы рабочие системы получали последние обновления не из интернета, а из локальной сети одобренные системным администратором.
После того, как установили роль WSUS на систему Windows Server 2012 R2 Std нужно в оснастке Update Services перейти в Options — Computers где изменить дефолтную настройку с «Use the Update Services console» на «Use Group Policy or registry settings on computers» после нажать Apply — Ok, т. е. Только через управление групповыми политиками назначение сервиса WSUS производить регистрацию на сервере WSUS.
Затем предопределяю (Approve) какие пакеты обновлений нужно устанавливать и нацеливаю их на группу или если удалить/отменить то (Decline).
Авторизуюсь на домен контроллере с правами пользователя входящим в группу Domain Admins
Запускаю оснастку Group Policy Management и создаю политику направленную на рабочие станции или группу рабочих станций:
Администрирование 1С. Установка и обновление платформы 1С через групповые политики
Win +X → Control Panels — Administrative Tools (Администрирование) — Управление групповой политикой и в текущем домене создаю: GPO_WSUS
Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы:
- Центр обновления Windows → ставлю галочку у «Определить следующий параметр политики» и «Выберите режим запуска службы» на «Автоматически» после чего нажимаю «Применить» и «ОК».
Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Центр обновления Windows
- Указать размещение службы обновления Майкрософт в интрасети: Включено
- Укажите службу обновлений в интрасети для поиска обновлений: http://srv-wsus.polygon.local:8530
- Укажите сервер статистики в интрасети: http://srv-wsus.polygon.local:8530
и нажимаю Применить и OK.
- Настройка автоматического обновления: Включено
- Настройка автоматического обновления: 4 — авт. Загрузка и устан.По расписанию
Установка по расписанию — день: 0 — ежедневно
Установка по расписанию — время: 20.00
и нажимаю Применить и OK.
- Разрешить клиенту присоединение к целевой группе: Включено
- Имя целевой группы для данного компьютера: office2010
и нажимаю Применить и OK.
- Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи: Включено
- Включить рекомендуемые обновления через автоматическое обновление: Включено
- Разрешить немедленную установку автоматических обновлений: Включено
- Частота поиска автоматических обновлений: Включено (6часов)
На сервере с ролью WSUS я отметил для пакета Office 2010, что устанавливать мне необходимо (Products and Classifications): Critical Updates, Definition Updates, Feature Packs, Security Updates, Service Packs, Update Rollups.
Настройка AD GP: Как установить 1С на все ПК домена
После нужно добавить в политику вкладка «Делегирование» права для группу «Прошедшие проверку»: чтение, дабы рабочие станции не получали сообщение при формировании результирующей: «Отказано в доступе (фильтрация ограничений безопасности») через gpresult /f /h gp.html
- Связи: Размещение: OU=WSUS
- Фильтры безопасности: Имя компьютера в домене
- Фильтр WMI: опционально.
Теперь переключаюсь к рабочей станции на которую назначена данная групповая политика, у меня это W7X64 с установленным пакетом Microsoft Office 2010 Pro Rus и дабы система вот прям сейчас получила данную политику в консоли командной строки хоть из под пользователя или администратора домена запускаю команду: gpupdate /force , а после отправить систему в перезагрузку ( shutdown /r /t 3 ) или дождаться покуда рабочая станция перезагрузится.
На заметку: и вот что еще служба Windows Updates на рабочих станциях должна быть включена: sc config wuauserv start= auto, net start wuauserv
На заметку: Если политика не применяется, то следует обратиться к лог файлу: C:WindowsWindowsUpdate.txt дабы разъяснить данную ситуацию.
Когда политика будет применена к рабочей станции, то открыв оснастку Update Services: Computer — All Computers — группа office2010, выставив фильтр: Status: any и нажав Refresh искомый компьютер(ы) отобразятся здесь и % отношение к установленным пакетам назначенных политикой.
На заметку: многие обновления могут не устанавливать на ПК, т. к. они зависят от установки предшествующих обновлений и покуда WSUS сервер не синхронизируется с сервером обновлений Майкрософта, а после обновления не будут назначены на группу, они не смогут установиться на ПК.
У меня все получилось, заметка полностью работоспособна. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.
От ekzorchik
Всем хорошего дня, меня зовут Александр. Я под ником — ekzorchik, являюсь автором всех написанных, разобранных заметок. Большинство вещей с которыми мне приходиться разбираться, как на работе, так и дома выложены на моем блоге в виде пошаговых инструкции. По сути блог — это шпаргалка онлайн.
Каждая новая работа где мне случалось работать вносила новые знания и нюансы работы и соответственно я расписываю как сделать/решить ту или иную задачу. Это очень помогает. Когда сам разбираешь задачу, стараешься ее приподнести в виде структурированной заметки чтобы было все наглядно и просто, то процесс усвоения идет в гору.
Источник: www.ekzorchik.ru
GPUpdate: команда обновления параметров групповых политик
После изменения любых настроек групповых политик с помощью локального редактора GPO (gpedit.msc) или доменного редактора политик (gpmc.msc), новые настройки политик применяются к пользователю (или компьютеру) не сразу. Вы можете дождаться автоматического обновления политик (придётся ждать до 90 минут), либо можете обновить и применить политики вручную с помощью команды GPUpdate. Команда GPUpdate используется для принудительного обновления групповых политик компьютера и/или пользователя.
Совет. В Windows 2000 для ручного обновления групповых политик использовалась команда secedit /refreshpolicy . В следующих версиях Windows она была заменена утилитой GPUpdate.
Полный синтаксис команда gpupdate выглядит так:
Gpupdate [/Target:] [/Force] [/Wait:] [/Logoff] [/Boot] [/Sync]
При запуске команды gpupdate без параметров выполняется обновление только новыех и изменённых настроек политик пользователя и компьютера
Updating policy…
Computer Policy update has completed successfully.
User Policy update has completed successfully.
Вы можете обновить только политики пользователя или только политики компьютера с помощью параметра /target. Например:
Gpupdate /target:computer
Для принудительного обновления настроек групповых политик используется команда GPUpdate /force. В чем разница между GPUpdate и GPUpdate /force ?
Команда gpupdate применяет только измененные политики, а команда GPUpdate /force заново переприменяет все политики клиента — и новые и старые (вне зависимости от того, были ли они изменены).
В большинстве случаев для обновления политик на компьютере нужно использовать gpupdate. В больших доменах Active Directory частое использование ключа /force при обновлении GPO вызывает большую нагрузку на контроллеры домена (т.к. компьютеры запрашивают заново все нацеленные на них или на пользователей политики).
Как мы уже говорили ранее групповые политики обновляются автоматически каждые 90 минут или во время загрузки компьютера. Поэтому в большинстве случае использование опции gpupdate /force не оправдано (особенно в различных скриптах) из-за высокой нагрузки на клиентские компьютеры, контроллеры домена и каналы передачи данных. Не стоит часто использовать параметр /force для принудительного обновления натсроек политик у клиентов, подключенных по медленным и нестабильным каналам передачи.
Вы можете добавить задержку (до 600 секунд) при обновлении политик с помощью параметра /wait:
Т.к. некоторые политики пользователя нельзя обновить в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т.д.), вы можете выполнить logoff для текущего пользователя командой:
gpupdate /logoff
Некоторые настройки политик компьютера могут применится только при загрузке Windows, поэтому вы можете инициировать перезагрузку компьютера с помощью параметра /Boot:
gpupdate /Boot
Параметр /Sync указывает, что следующее применение политики должно выполняться синхронно. Активные применения политики происходят при перезагрузке компьютера или при входе пользователя в систему.
В PowerShell 3.0 был добавлен командлет Invoke-GPUpdate , который можно использовать для обновления политик на удаленных компьютерах. Например, следующая команда запустит удаленное обновление групповых политик на компьютере msk-PC-1-22:
Invoke-GPUpdate -Computer msk-PC-1-22 -Force
Вы можете удаленно запустить принудительное обновление политик на всех компьютерах в указанном OU Active Directory с помощью команд:
$Comps = Get-AdComputer -SearchBase «OU=Computers,OU=MSK,DC=vmblog,DC=ru» -Filter *
Foreach ($Comp in $Comps)
Источник: vmblog.ru
Записки IT специалиста — Форум
Вернуться в блог 
03 июля 2023, 13:18
Цитата дня:
Одно из неприятных свойств нашего времени состоит в том, что те, кто испытывает уверенность, глупы, а те, кто обладает хоть каким-то воображением и пониманием, исполнены сомнений и нерешительности. Бертран Рассел
- Записки IT специалиста — Форум
- ► Сети и инфрастуктура
- ► Active Directory
- ► Групповая политика и установка программ
Групповая политика и установка программ
Автор Silver23, 02 октября 2016, 16:40
0 Пользователей и 1 Гость просматривают эту тему.
Источник: interface31.ru