Geum.ru

Windows Server Update Services (wsus) 0 Вэтом занятии будут рассмотрены службы Microsoft Windows Server Update Services (wsus) Этот продукт представляет собой универсальное решение

Вид материалаРешение

Содержание


10.4.Настройка клиентских компьютеров
10.5.Создание групп компьютеров
Подобный материал:
1   2   3   4   5   6

10.4.Настройка клиентских компьютеров


Для того чтобы компьютеры в Вашей организации получали обновления с Вашего сервера WSUS, их необходимо соответствующим образом настроить. За получение обновлений на компьютерах отвечает служба «Автоматическое обновление» (Automatic Updates). По умолчанию, она стартует автоматически на каждом компьютере с ОС Windows. Программа установки сервера WSUS автоматически настраивает IIS на передачу последней версии Automatic Updates всем компьютерам, подключающимся к серверу WSUS [7].

По умолчанию, служба Automatic Updates настроена на получение обновлений с серверов Microsoft Update. Поэтому Вам необходимо перенастроить компьютеры в Вашей организации на адрес Вашего сервера WSUS. Для этого Вы можете использовать доменную или локальную групповую политику в зависимости от того, используется у Вас Active Directory или нет. Дальнейшее описание предполагает использование доменной групповой политики.

Вам необходимо создать новый объект групповой политики (GPO) с настройками WSUS и привязать этот объект к Вашему домену. Настройки групповой политики, связанные со службой Automatic Updates, включены в административный шаблон wuau.adm. Так как этот шаблон включен в состав ОС по умолчанию, то в редактор групповой политики он уже включен [7].

Откройте редактор групповой политики. Разверните узлы «Конфигурация компьютера», «Административные шаблоны», «Компоненты Windows» и выберите «Windows Update» (см. рис. 10.37).



Рис. 10.37. Параметры «Windows Update»

Откройте свойства параметра «Настройка автоматического обновления». Выберите вариант «Включен» (см. рис. 10.38-1). Для свойства «Настройка автоматического обновления» (см. рис. 10.38-2), выберите один из следующих вариантов:

2 – Уведомлять перед загрузкой обновлений и уведомлять повторно перед их установкой. При выборе этого варианта зарегистрированный в системе пользователь с правами администратора уведомляется перед началом загрузки и установки обновлений [1]. Если на компьютере регистрируется пользователь без прав администратора, то он не будет уведомляться и обновления не будут устанавливаться до тех пор, пока в системе не зарегистрируется пользователь с правами администратора!!!

3 – Загружать обновления автоматически и уведомлять, когда они готовы к установке. При выборе этого варианта обновления начинают загружаться автоматически, а зарегистрированный в системе пользователь с правами администратора оповещается перед началом установки [1]. Если на компьютере регистрируется пользователь без прав администратора, то установка не будет начинаться до тех пор, пока в системе не зарегистрируется пользователь с правами администратора и не одобрит запуск установки обновлений!!!

4 – Автоматически загружать обновления и устанавливать их по заданному ниже расписанию.

5 – Разрешать локальным администраторам выбирать режим, в котором программа автоматического обновления будет уведомлять об обновлениях и устанавливать их. В этом случае локальные администраторы получают право самостоятельно настраивать параметры автоматического обновления через Панель управления. Например, они могут указать свое время для запланированной установки. Локальные администраторы не смогут выключить службу автоматического обновления [1].



Рис. 10.38. Свойства параметра «Настройка автоматического обновления»

Если Вы выберите вариант 4, то необходимо указать расписание установки (см. рис. 10.38 - 3, 4): день недели (или ежедневно) и время.

Как было указано выше, варианты 2 и 3 подразумевают, что уведомления о загрузке или установке обновлений будет выдаваться только пользователю с правами локального администратора. Если Вы хотите, чтобы уведомления выдавались также пользователям без администраторских прав, необходимо включить параметр «Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях» (см. рис. 10.37)

Следующий параметр, который необходимо настроить, это параметр «Указать размещение службы обновлений Microsoft в интрасети» (см. рис. 10.37). Откройте свойства этого параметра и выберите вариант «Включен» (см. рис. 10.39). В полях «Укажите службу обновлений в интрасети для поиска обновлений» и «Укажите сервер статистики в интрасети» укажите адрес сервера WSUS в формате «ера WSUS>», где <имя сервера WSUS> - сетевое имя сервера, на котором установлены службы WSUS.



Рис. 10.39. Свойства параметра «Указать размещение службы обновлений…»

Если Вы работаете с групповой политикой на основе Active Directory, то, по умолчанию, групповая политика на клиентском компьютере обновляется каждые 90 минут со случайным смещением 0-30 минут. Если необходимо обновить групповую политику раньше, то на клиентском компьютере необходимо выполнить команду ‘gpupdate /force’ [1].

После применения групповой политики, клиентский компьютер появится в административной консоли WSUS в течение 20 минут. Этот процесс можно ускорить, если на клиентском компьютере выполнить команду ‘wuauclt.exe /detectnow’ [7].

10.5.Создание групп компьютеров


Как указывается в [6], использование групп компьютеров является важной частью внедрения сервера WSUS в организации любого размера. Каждая группа компьютеров может содержать свой перечень одобренных обновлений.

Одним из преимуществ использования групп является возможность протестировать работу обновлений перед их широким применением во всей организации. Если тестирование прошло успешно, то вы можете одобрить эти обновления на группу «Все компьютеры». Не существует ограничений по количеству создаваемых групп [7].

Например, на рис. 10.40 представлены две созданные группы: «Тест» и «Бухгалтерия». Группа «Тест» содержит представительную выборку всех компьютеров различной конфигурации из группы «Бухгалтерия». Первоначально обновления одобряются для применения в группе «Тест». Если тестирование проходит успешно, то эти обновления одобряются на группу «Бухгалтерия» [6].



Рис. 10.40. Использование групп компьютеров [6]

По умолчанию, существует две группы: «Все компьютеры» и «Не назначенные компьютеры». Каждый компьютер, подключающийся к серверу WSUS в первый раз, добавляется сервером в обе эти группы [6].

Вы можете перемещать компьютеры из группы «Не назначенные» в созданную Вами группу. Группа «Все компьютеры» действительно включает в себя все компьютеры, и переместить из неё компьютер в другую группу не удастся. Она предназначена для применения обновлений всем компьютерам независимо от того в какую группу они входят. Группа «Не назначенные» позволяет Вам выбрать те компьютеры, которые Вы ещё не переместили в созданные Вами группы [6].

Существует два способа указать в какую группу входит компьютер [1]:

• Назначение со стороны сервера (server-side targeting). Этот способ подразумевает использование консоли администрирования WSUS и ручное перемещение компьютера в нужную группу.

• Назначение со стороны клиента (client-side targeting). Этот способ подразумевает использование групповой политики. См. параметр «Разрешить клиенту присоединение к целевой группе» на рис. 10.37.

Рассмотрим первый способ. Во-первых, необходимо создать группу на сервере WSUS. Для этого в консоли администрирования WSUS разверните узел «Компьютеры» и в контекстном меню узла «Все компьютеры» выполните команду «Добавить группу компьютеров…». В появившемся окне введите название создаваемой группы и нажмите кнопку «Добавить».

Во-вторых, необходимо указать выбранному Вами компьютеру новую группу. Для этого в консоли администрирования WSUS в узле «Все компьютеры» найдите нужный компьютер, вызовите его контекстное меню и выполните команду «Изменить членство…». В появившемся окне выберите нужную группу и нажмите кнопку «OK». Если Вы не выберите ни одной группы, то компьютер будет перемещен в группу «Не назначенные компьютеры». Как указано во встроенной справке WSUS, один компьютер можно входить сразу в несколько групп, а сами группы могут образовывать иерархию. Это новая функция версии WSUS 3.0.