Як увімкнути оновлення віндовс у реєстрі. Налаштування клієнтів WSUS за допомогою групових політик. Редактор групової політики

Ця стаття об'єднує відомі мені способи ремонту агента WSUS.

1. Перший скрипт найпростіший, і, насправді, навіть не для лікування використовується, а для того, щоб примусово запустити перевірку на оновлення, ну і заразом чистить папку, в якій накопичуються дистрибутиви вже встановлених оновлень:

wsus_detect_manual.cmd

net stop wuauserv && net stop bits && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow exit

2. Другий скрипт необхідний у тому, щоб “оживити” непрацюючий сервіс WSUS. У ньому йде чистка від старих оновлень, після чого папки SoftwareDistribution і Catroot2 перейменовуються, що при перезапуску сервісу призведе до їх перестворення. Потім системні DLL бібліотеки перереєструються.

fix_wsus_service.cmd

net stop bits
net stop wuauserv
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

net start bits
net start wuauserv
net start cryptsvc

wuauclt /detectnow

exit

3. Цей скрипт застосовується в тих випадках, коли комп'ютер був нещодавно клонований, або в тих, коли реєстрація в WSUS у комп'ютера так і не відбулася. Він відрізняється від попереднього лише передостаннім рядком, в якому проводиться обнулення авторизації з перегенерацією ідентифікатора. Наведу тільки цей рядок:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo on
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow

5. Іноді, для того, щоб все запрацювало, потрібно перевстановити агента WSUS. Спочатку потрібно завантажити latest Windows Update Agent , а потім встановити відповідну редакцію

для x32 версій Windows

windowsupdateagent30-x86.exe /wuforce

для x64 версій Windows

windowsupdateagent30-x64.exe /wuforce

Якщо ви щасливий володар Itanium – самі здогадаєтеся:-)

Після встановлення агента потрібно обов'язково перезавантажитись.

6. Для “лікування” помилок 0x80070005, тобто. помилок доступу може стати в нагоді наведений нижче скрипт.Він відновлює доступи для адміністраторів та системи до реєстру та системних папок.

Для виконання цього скрипта знадобиться майкрософтівська утиліта subinacl.exe. Вона входить у resource kit для Windows Server 2003, але користуватися версією, що входить туди не варто, т.к. там неприємні помилки. Слід завантажити subinacl.exe версії 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo off
REM Застосовувати при помилках 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /subdirectories %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=system=f

Всі ці скрипти можна виконувати практично автоматично у разі виникнення проблем. Якщо в результаті проблему таки не вирішено, то доводиться розбиратися вже щільніше. І тут нам знадобиться той самий windowsupdate.log, який лежить в корені папки Windows. Якщо комп'ютер проблемний, файл цей великого розміру. Для простоти, бажано видалити його перед тим як запускати скрипти. Майже у всіх скриптах передбачено команду його видалення, але не все так просто. Незважаючи на зупинку сервісу wuauserv, як правило, його продовжують зберігати відкриті IE і т.п. Тому є хитрий спосіб. Запускаю

notepad.exe %windir%\windowsupdate.log

Виділяю весь текст, видаляю його та зберігаю замість старого файлу (не забути в діалозі збереження змінити тип файлу на *.*, а то за замовчуванням – *.txt)

Варто зауважити, що є випадки, коли змусити клієнта оновлюватися з wsus так і не виходить. Я маю прецеденти з парочкою Windows Server 2003 R2, які мені побороти так і не вдалося. Тому я їх оновлюю через інтернет:-)

Свіжі операційні системи типу Windows 7, Windows 2008 іноді "заводяться" важко. Для таких випадків, емпіричним шляхом, було знайдено алгоритм типу:
1. Оновлюємося вперше з сайту microsoft з оновленням агента
2. Потім оновлюємо агента вже локально
3. А потім все починає працювати

Сподіваюся, що плоди наших праць комусь допоможуть.

Для простоти викладаю всі ці скрипти у вже готовому вигляді:

З розвитком інтернету постійне оновлення операційної системи стало звичним явищем. Тепер розробники можуть виправляти та доопрацьовувати систему протягом усього терміну її підтримки. Але часті оновлення Windows 10 – це не завжди зручно. Саме тому добре вміти відключати їх.

Причини вимкнення автоматичного оновлення

Причини можуть бути різними, причому тільки ви самі можете вирішити, наскільки вам необхідно відключити оновлення. При цьому варто враховувати, що разом із покращеннями тих чи інших можливостей постачаються важливі виправлення уразливостей системи. І все ж таки ситуації, коли самостійні оновлення варто відключити, виникають досить часто:

• платний інтернет - часом оновлення є дуже великим і його завантаження може дорого обійтися, якщо ви платите за трафік. У такому разі краще відкласти завантаження та завантажити пізніше за інших умов;
• Нестача часу - після завантаження оновлення почне встановлюватися в процесі вимкнення комп'ютера. Це може бути незручно, якщо вам потрібно швидко завершити роботу, наприклад, ноутбук. Але ще гірше тут те, що рано чи пізно Windows 10 вимагатиме перезапустити комп'ютер, а якщо ви не зробите цього, то через якийсь час перезапуск пройде примусово. Все це відволікає та заважає працювати;
• безпека - хоч самі по собі оновлення часто містять важливі виправлення системи, ніхто і ніколи не може передбачити все. В результаті одні оновлення можуть відкрити вашу систему для вірусної атаки, інші просто порушать її роботу відразу після установки. Розумний підхід у цій ситуації – оновлюватись через деякий час після виходу чергової версії, попередньо вивчивши відгуки.

Вимкнення автоматичного оновлення Windows 10

Способів, як вимкнути оновлення Windows 10, є багато. Деякі з них дуже прості для користувача, інші складніші, а треті вимагають встановлення сторонніх програм.

Вимкнення через центр оновлень

Використання центру оновлення для відключення – не найкращий варіант, хоч його і пропонують як офіційне рішення розробники з Microsoft. Ви можете вимкнути автоматичне завантаження оновлень через їх налаштування. Проблема тут у тому, що це рішення так чи інакше буде тимчасовим. Реліз великого оновлення Windows 10 змінить це налаштування та поверне оновлення системи. Але ми все одно вивчимо процес відключення:

Після цих змін незначні оновлення більше не встановлюватимуться. Але це рішення не допоможе вам назавжди позбутися завантаження оновлень.

Автоматичне оновлення – важлива функціональна особливість будь-якої операційної системи. Завдяки їй комп'ютер вчасно отримує важливі апдейти, які роблять систему стабільнішою та безпечнішою. У Windows 7 функцію активовано спочатку. Це означає, що за наявності зв'язку з серверами Microsoft служба оновлень перевіряє наявність свіжих пакетів, завантажує їх і встановлює. Зазвичай всі процеси протікають практично непомітно для користувача, але, коли виникають постійні пропозиції оновитися до десятки, це вже перебір.

Теоретично вимикати автоматичне завантаження оновлень не варто. Вона корисна, тому що закриває проломи в безпеці, оптимізує роботу ОС, додає до неї нові можливості (щодо «десятки»). Також існує перелік приводів, за якими службу автооновлення слід відключити:

1. Користувачеві не подобається, що під час оновлення падає швидкість інтернету та/або довго не можна вимкнути ПК.
2. На комп'ютері дорогий або лімітований бездротовий Інтернет.
3. Проблеми після запуску оновленої ОС.
4. Збої в інсталяції пакетів оновлень.
5. На системному томі недостатньо місця збільшення обсягу Windows 7, зростаючого з кожним апдейтом.

Види

Все ж таки перед тим, як відключити оновлення Windows 7, подумайте, чи дійсно це потрібно. Крім деактивації служби, її можна перевести у такі режими роботи.

1. Цілком автоматичний – операції протікають без втручання користувача, лише повідомляючи останнього про завершення встановлення пакетів.
2. Пошук та завантаження свіжих виправлень за розкладом, а інсталяцію пакетів здійснює користувач.
3. Автоматична перевірка з повідомленням користувача про наявність оновлень.
4. Самооновлення вимкнено. Все здійснюється у ручному режимі.

Параметри вибираються у компоненті «Центр оновлень».

Способи відключення

Налаштування будь-якої Windows зберігаються у її реєстрі. Отримати доступ до ключа, який відповідає за налаштування центру оновлення, можна декількома простими та парою складніших шляхів. Розглянемо їх усі.

Зміна параметрів Центру оновлень

Почнемо з того, що налаштуємо роботу служби під себе. Для доступу до інтерфейсу конфігурації потрібно відкрити «Центр оновлень» одним із наведених способів.

Система

1. Через контекстне меню Мого комп'ютера викликаємо його «Властивості».

1. У лівому вертикальному меню клацаємо по відповідному посиланню, розташованому внизу вікна.

1. Ідемо до «Панель управління».
2. Відкриваємо розділ "Система, безпека".

1. Викликаємо однойменний елемент.

Якщо елементи панелі керування візуалізуються у вигляді іконок, а не категорій, посилання на елемент відображатиметься вже у головному вікні.

1. Отже, після влучення в потрібне вікно натискаємо «Налаштування параметрів».

1. Переміщуємося в секцію «Важливі оновлення» і вибираємо відповідний варіант зі списку.

Повністю вимкнути отримання апдейтів на комп'ютері з Windows 7 допоможе лише зупинення сервісу.

Відключаємо службу

Управління службами у «сімці» відбувається за допомогою:

• прямого редагування ключів реєстру, що дуже незручно;
• сторонніх програм для налаштування ОС (пропустимо цей варіант);
• оснастки консолі MMC;
• конфігурації системи;
• командного рядка;
• редактора групових політик (є у Windows 7 Максимальна, Корпоративна).

Видалення сервісу з автозапуску

Вимкнення оновлень найшвидше здійснюється через системний конфігуратор.

1. Виконуємо "msconfig" у вікні командного інтерпретатора, який відкриється після затискання клавіш Win + R або кліка за кнопкою "Виконати" у пуску.

1. Ідемо у вкладку «Служби».
2. Знаходимо «Центр оновлення Windows» (можливо Windows Update) і прибираємо прапорець, що стоїть біля неї.

1. Зберігаємо нові налаштування.

До завершення поточного сеансу служба буде працювати, виконуючи покладені на неї завдання. Для використання нової конфігурації Windows 7 необхідно перезавантажити.

Скористайтеся оснасткою консолі MMC

Однойменне оснащення системної консолі надає доступ до управління всіма сервісами на ПК. Запускається так.

1. Відкриваємо контекстне меню каталогу "Мій комп'ютер".
2. Викликаємо команду "Управління".

1. У лівому вертикальному меню розгортаємо пункт «Служби та програми». Далі клацаємо за посиланням «Служби».

Простішим варіантом виклику цього вікна буде запуск команди «services.msc» через діалог «Виконати».

1. Перегортаємо список сервісів в самий кінець і відкриваємо «Властивості» служби оновлень Windows.

1. У списку «Тип запуску» вибираємо «Відключена» замість «Автоматично», щоб розпрощатися з автоматичним оновленням назавжди. Якщо потрібно відключити сервіс зараз, обов'язково натискаємо «Зупинити». Зберігаємо нові параметри кнопкою «Застосувати» та закриваємо всі вікна.

Для застосування налаштувань ПК перезавантаження не потребує.

Редактор групової політики

Налаштувати будь-який системний параметр допоможе ще одне оснащення консолі MMC, що називається редактором групової локальної політики.

У домашній редакції "сімки" він недоступний!

1. Запускається інструмент шляхом запуску команди gpedit.msc через вікно Виконати.

1. У підрозділі "Конфігурація ПК" розгортаємо гілку "Адміністративні шаблони".

1. Відкриваємо «Компоненти Windows» та шукаємо центр оновлення.
2. У правій частині вікна знаходимо параметр, назва якого починається з "Налаштування автооновлення".
3. Викликаємо його налаштування.

1. Переміщуємо чекбокс у положення «Вимкнути» та натискаємо «ОК» для закриття вікна зі збереженням змін.

Скористаємося командним рядком

Через командний рядок виконуються ті самі операції, що й за допомогою графічного інтерфейсу, і навіть більше, але в текстовому режимі. Головне, знати їх синтаксис та параметри.

За виклик командного рядка відповідає команда cmd.

1. Відкриваємо командний інтерпретатор та виконуємо її.

В одній із попередніх статей ми детально описали процедуру. Після того, як ви налаштували сервер, потрібно налаштувати Windows-клієнтів (сервера та робочі станції) на використання сервера WSUS для отримання оновлень, щоб клієнти отримували оновлення з внутрішнього сервера оновлень, а не серверів Microsoft Update через Інтернет. У цій статті ми розглянемо процедуру налаштування клієнтів на використання сервера WSUS за допомогою групових політик домену Active Directory.

Групові політики AD дозволяють адміністратору автоматично призначити комп'ютери в різні групи WSUS, позбавляючи його необхідності ручного переміщення комп'ютерів між групами в консолі WSUS і підтримки цих груп у актуальному стані. Призначення клієнтів до різних цільових груп WSUS ґрунтується на мітці в реєстрі на клієнті (мітки задаються груповою політикою або прямим редагуванням реєстру). Такий тип співвідношення клієнтів до груп WSUS називається clientsidetargeting(Таргетинг за клієнта).

Передбачається, що в нашій мережі будуть використовуватися дві різні політики оновлення - окрема політика встановлення оновлень для серверів ( Servers) та для робочих станцій ( Workstations). Ці дві групи потрібно створити у консолі WSUS у секції All Computers.

Порада. Політика використання сервера оновлень WSUS клієнтами багато в чому залежить від організаційної структури OU в Active Directory та правил встановлення оновлення в організації. У цій статті ми розглянемо лише приватний варіант, що дозволяє зрозуміти базові принципи використання політик AD для встановлення оновлень Windows.

Насамперед необхідно вказати правило угруповання комп'ютерів у консолі WSUS (targeting). За промовчанням у консолі WSUS комп'ютери розподіляються адміністратором по групах вручну (server side targeting). Нас це не влаштовує, тому вкажемо, що комп'ютери розподіляються на групи на основі client side targeting (за певним ключем у реєстрі клієнта). Для цього в консолі WSUS перейдіть до розділу Optionsта відкрийте параметр Комп'ютери. Змініть значення на Use Group Policy or registry setting on computers(Використовувати групову політику або параметри реєстру на комп'ютерах).

Тепер можна створити GPO для настроювання клієнтів WSUS. Відкрийте доменну консоль управління груповими політиками (Group Policy Management) та створіть дві нові групові політики: ServerWSUSPolicy та WorkstationWSUSPolicy.

Групова політика WSUS для серверів Windows

Почнемо з опису серверної політики ServerWSUSPolicy.

Установки групових політик, які відповідають за роботу служби оновлень Windows, знаходяться в розділі GPO: Комп'ютерConfiguration -> Policies-> Administrativetemplates-> WindowsComponent-> WindowsUpdate(Конфігурація комп'ютера -> Адміністративні шаблони -> Компоненти Windows -> Windows Update).

У нашій організації ми маємо намір використовувати цю політику для встановлення оновлень WSUS на сервері Windows. Передбачається, що всі комп'ютери, що потрапляють під цю політику, будуть віднесені до групи Servers в консолі WSUS. Крім того, ми хочемо заборонити автоматичне встановлення оновлень на серверах при їх отриманні. Клієнт WSUS повинен просто завантажити доступні оновлення на диск, відобразити сповіщення про наявність нових оновлень у системному треї та очікувати запуску установки адміністратором (ручною або віддаленою за допомогою ) для початку інсталяції. Це означає, що продуктивні сервери не автоматично встановлюватимуть оновлення і перезавантажуватимуться без підтвердження адміністратора (зазвичай ці роботи виконуються системним адміністратором у рамках щомісячних планових регламентних робіт). Для реалізації такої схеми поставимо такі політики:

• ConfigureAutomaticUpdates(Налаштування автоматичного оновлення): Enable. 3 – Autodownloadandnotifyforinstall(Автоматично завантажувати оновлення та повідомляти про їхню готовність до встановлення)– клієнт автоматично завантажує нові оновлення та сповіщає про їхню появу;
• SpecifyIntranetMicrosoftupdateservicelocation(Вказати розміщення служби оновлень Майкрософт в інтрамережі): Enable. Set Intranet update service for detecting updates (Вкажіть службу оновлення в інтрамережі для пошуку оновлень): http://srv-wsus.сайт:8530, Set the intranet statistics server (Вкажіть сервер статистики в інтрамережі): http://srv-wsus.сайт:8530– тут потрібно вказати адресу вашого сервера WSUS та сервера статистики (зазвичай вони збігаються);
• No auto-restart with logged on users for scheduled автоматичні updates installations(Не виконувати автоматичне перезавантаження під час автоматичного встановлення оновлень, якщо в системі працюють користувача): Enable– заборонити автоматичне перезавантаження за наявності сесії користувача;
• Enableclient-sidetargeting (Дозволити клієнту приєднання до цільової групи): Enable. Target group name for this computer (Ім'я цільової групи для цього комп'ютера): Servers– у консолі WSUS віднести клієнти до групи Servers.

Примітка. Під час налаштування політики оновлення радимо уважно познайомитися з усіма параметрами, доступними в кожній з опцій розділу GPO WindowsUpdateі задати відповідні для вашої інфраструктури та організації параметри.

Політика встановлення оновлень WSUS для робочих станцій

Ми припускаємо, що оновлення клієнтських робочих станцій, на відміну від серверної політики, будуть встановлюватися автоматично вночі відразу після отримання оновлень. Після встановлення оновлень комп'ютери повинні перезавантажуватися автоматично (попереджаючи користувача за 5 хвилин).

У цій GPO (WorkstationWSUSPolicy) ми вказуємо:

• AllowAutomaticUpdatesimmediateinstallation(Дозволити негайне встановлення автоматичних оновлень): Disabled- заборона на негайне встановлення оновлень при їх отриманні;
• Allownon-administratorstoreceiveupdatenotifications(Дозволити користувачам, які не є адміністраторами, отримувати повідомлення про оновлення): Enabled- відображати не-адміністраторам попередження про появу нових оновлень та дозволити їхнє ручне встановлення;
• Configure Automatic Updates:Enabled. Configure automatic updating: 4 - Auto download and schedule the install. Scheduled install day: 0 - Everyday. Scheduled install time: 05:00 – при отриманні нових оновлень клієнт завантажує в локальний кеш та планує їх автоматичне встановлення на 5:00 ранку;
• Target group name for this computer: Workstations– у консолі WSUS віднести клієнта до групи Workstations;
• No auto-restart with logged on users для встановлених автоматичних updates installations: Disabled- система автоматично перезавантажиться через 5 хвилин після закінчення інсталяції оновлень;
• Specify Intranet Microsoft update service location: Enable. Set intranet update service for detecting updates: http://srv-wsus.сайт:8530, Set the intranet statistics server: http://srv-wsus.сайт:8530-Адреса корпоративного WSUS сервера.

У Windows 10 1607 і вище, незважаючи на те, що ви вказали отримувати оновлення з внутрішнього WSUS, все ще можуть намагатися звертатися до серверів Windows Update в інтернеті. Ця «фіча» називається DualScan. Для відключення отримання оновлень із інтернету потрібно додатково включати політику DonotallowupdatedeferralpoliciestocausescansagainstWindowsUpdate ().

Порада. Щоб покращити рівень пропатченості комп'ютерів в організації, в обох політиках можна налаштувати примусовий запуск служби оновлень (wuauserv) на клієнтах. Для цього у розділі Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Servicesзнайдіть службу Windows Update і задайте для неї автоматичний запуск ( Automatic).

Призначаємо політики WSUS на OU Active Directory

Наступний крок – призначити створені політики до відповідних контейнерів (OU) Active Directory. У нашому прикладі структура OU в домені AD максимально проста: є два контейнери - Servers (у ньому містяться всі сервери організації, крім контролерів домену) і WKS (Workstations - комп'ютери користувачів).

Порада. Ми розглядаємо лише один досить простий варіант прив'язування політик WSUS до клієнтів. У реальних організаціях можна прив'язати одну політику WSUS на всі комп'ютери домену (GPO з налаштуваннями WSUS вішається на корінь домену), рознести різні види клієнтів по різних OU (як у нашому прикладі – ми створили різні політики WSUS для серверів та робочих станцій), на великих розподілених доменах можна прив'язувати або призначати GPO на підставі або скомбінувати перелічені способи.

Щоб призначити політику на OU, клацніть у консолі управління груповими політиками за потрібним OU, виберіть пункт меню Link as Existing GPOта виберіть відповідну політику.

Порада. Не забудьте про окрему OU з контролерами домену (Domain Controllers), в більшості випадків цей контейнер слід прив'язати «серверну» політику WSUS.

Так само потрібно призначити політику WorkstationWSUSPolicy на контейнер AD WKS, у якому перебувають робочі станції Windows.

Залишилось оновити групові політики на клієнтах для прив'язування клієнта до сервера WSUS:

Усі налаштування системи оновлень Windows, які ми задали груповими політиками, повинні з'явитися в реєстрі клієнта у гілці HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Цей reg файл можна використовувати для перенесення налаштувань WSUS на інші комп'ютери, на яких не вдається налаштувати параметри оновлень за допомогою GPO (комп'ютери в робочій групі, ізольованих сегментах, DMZ тощо)

Windows Registry Editor Version 5.00

"WUServer"="http://srv-wsus.сайт:8530"
"WUStatusServer"="http://srv-wsus.сайт:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Також зручно контролювати застосовані налаштування WSUS на клієнтах за допомогою rsop.msc.

І через деякий час (залежить від кількості оновлень та пропускної спроможності каналу до сервера WSUS) потрібно перевірити в третій наявність спливаючих сповіщень про наявність нових оновлень. У консолі WSUS у відповідних групах мають з'явитися клієнти (у табличному вигляді відображається ім'я клієнта, IP, ОС, відсоток їхньої «пропатченості» та дата останнього оновлення статусу). Т.к. ми політиками прив'язали комп'ютери та сервери до різних груп WSUS, вони отримуватимуть лише оновлення, схвалені до встановлення на відповідні групи WSUS.

Примітка. Якщо клієнта оновлення не з'являються, рекомендується уважно вивчити на проблемному клієнті лог служби оновлень Windows (C:\Windows\WindowsUpdate.log). Зверніть увагу, що Windows 10 (Windows Server 2016) використовується . Клієнт завантажує оновлення до локальної папки C:\Windows\SoftwareDistribution\Download. Щоб запустити пошук нових оновлень на сервері WSUS, потрібно виконати команду:

wuauclt /detectnow

Також іноді доводиться примусово перереєструвати клієнта на сервері WSUS:

wuauclt /detectnow /resetAuthorization

В особливо складних випадках можна спробувати відремонтувати службу wuauserv. У разі виникнення , спробуйте змінити частоту перевірки оновлень на сервері WSUS за допомогою політики Automatic Update detection frequency.

У наступній статті ми опишемо особливості. Також рекомендуємо ознайомитись із статтею між групами на WSUS сервері.