So bemerken Sie Windows-Updates in der Registrierung. Nalashtuvannya WSUS-Clients für zusätzliche Gruppenrichtlinien. Gruppenrichtlinien-Editor

Dieser Artikel enthält Informationen zum Reparieren des WSUS-Agents.

1. Das erste Skript ist das einfachste und eigentlich nicht um des Sieges willen zu verwenden, sondern um den Primus nach Updates zu suchen und gleich den Ordner zu bereinigen, in dem sich die Distributions-Kits angesammelt haben nachdem die Updates installiert wurden:

wsus_detect_manual.cmd

net stop wuauserv && net stop bits && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow Ausfahrt

2. Ein weiteres Skript ist notwendig, um den nicht funktionierenden WSUS-Dienst wiederzubeleben. Auf eine neue Art und Weise alte Updates bereinigen, wonach die Ordner SoftwareDistribution und Catroot2 umbenannt werden, was sie beim Neustart des Dienstes zur Reorganisation bringt. Dann werden die System-DLL-Bibliotheken neu registriert.

fix_wsus_service.cmd

Netto-Stopbits
net stoppen wuauserver
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

Netto-Startbits
net start wuauserver
net start cryptsvc

wuauclt /detectnow

Ausfahrt

3. Dieses Skript zastosovetsya im Hintergrundmodus, wenn der Computer kürzlich geklont wurde, oder im Hintergrund, wenn die Registrierung in WSUS auf dem Computer noch nicht erkannt wurde. Vіdіznyаієєєє und vid vid odnogo lich sredstannymi row, in yakomu, um die Autorisierung mit der Regeneration der ID auf Null zu setzen. Ich werde nur diese Zeile leiten:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@Echo an
net stoppen wuauserver
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserver
wuauclt /resetauthorization /detectnow

5. Manchmal müssen Sie den WSUS-Agenten neu installieren, damit alles funktioniert. Zunächst müssen Sie den neuesten Windows Update Agent herunterladen und dann die neueste Version installieren

für x32-Versionen von Windows

windowsupdateagent30-x86.exe /wuforce

für x64-Versionen von Windows

windowsupdateagent30-x64.exe /wuforce

Was für ein glücklicher Itanium Volodar - Sie können es selbst erraten :-)

Nachdem der Agent installiert ist, muss er erneut genutzt werden.

6. Für „saftige“ Pardons 0x80070005, das heißt. Vergebung für den Zugriff finden Sie in der Anleitung unter dem Skript. Vіn vіdnovlyuє Zugriff für Administratoren des Systems auf die Registrierung von Systemordnern.

Um dieses Skript zu schreiben, benötigen Sie das Microsoft-Dienstprogramm subinacl.exe. Sie können das Resource Kit für Windows Server 2003 nicht eingeben, aber es gibt eine Version, die nicht enthalten sein muss. es gibt keine entschuldigungen. Als nächstes schnappen Sie sich subinacl.exe Version 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo aus
REM-Einfrieren 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /Unterverzeichnisse %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /Unterverzeichnisse %SystemDrive% /grant=system=f

Alle diese Skripte können bei Problemen fast automatisch behoben werden. Dadurch ist das Problem immer noch nicht gelöst, dann sollte es noch mehr behandelt werden. Und hier brauchen wir das gleiche windowsupdate.log, das sich im Stammverzeichnis des Windows-Ordners befindet. Wie ein problematischer Computer ist die Datei dieser großartigen Erweiterung. Der Einfachheit halber müssen Sie Yoga ausführen, bevor Sie das Skript ausführen. In allen Skripten wird der Befehl dazu weitergeleitet, aber nicht alles ist so einfach. Unabhängig vom Zeitpunkt des Wuauserv-Dienstes speichern sie in der Regel weiterhin IE und so weiter. Dazu gibt es einen schlauen Weg. starten

notepad.exe %windir%\windowsupdate.log

Ich sehe den ganzen Text, ich sehe ihn und ich speichere die alte Datei (vergessen Sie nicht, den Dateityp im Speicherdialog auf *.* zu ändern, sonst wird es *.txt zum Sperren)

Warto respektieren, dass es vipadki ist, wenn Sie wissen, dass der Client wsus wird, also gehen Sie nicht hinaus. Ich habe Präzedenzfälle mit einigen Windows Server 2003 R2, aber ich konnte sie nicht überwinden. Daher werde ich sie über das Internet aktualisieren :-)

Frische Betriebssysteme wie Windows 7, Windows 2008 und manchmal "Start up" ist wichtig. Für solche Verhaltensweisen wurde empirisch ein Algorithmus für den Typ gefunden:
1. Aktualisieren Sie zuerst von Microsoft Site Update Agent
2. Lassen Sie uns den Agenten bereits lokal aktualisieren
3. Und dann fangen wir alles an

Ich hoffe, dass die Früchte unserer Arbeit jemandem helfen werden.

Der Einfachheit halber habe ich alle Skripte in den bereits fertigen Look gestellt:

Mit der Entwicklung des Internets ist eine permanente Aktualisierung des Betriebssystems zu einem selbstverständlichen Phänomen geworden. Jetzt können die Einzelhändler das System korrigieren und ergänzen, indem sie den Begriff verlängern und її podtrimki. Alle Teile des Windows 10-Updates - nicht manuell starten. Es ist gut, wenn Sie sie selbst einbeziehen.

Führt dazu, dass das automatische Update fehlschlägt

Die Gründe können unterschiedlich sein, außerdem können Sie sich nur selbst die Schuld geben, so viel wie Sie das Update aktivieren müssen. Bei jedem Varto zur Sicherheit, dass gleich durch die Reduzierung von leisem Chi und anderen Möglichkeiten wichtige Korrekturen an den Macken des Systems vorgenommen werden. Und doch werden Situationen, wenn unabhängige Updates eingeschaltet sind, oft beschuldigt:

• bezahltes Internet - die Stunde des Updates ist noch größer und es kann teuer werden, weil Sie für den Datenverkehr bezahlen. In einer solchen Zeit ist es wahrscheinlicher, einen Gewinn und einen Gewinn für weniger Köpfe zu finden;
• Nicht genug Zeit - nach dem Start des Updates wird es später beim Herunterfahren des Computers installiert. Es kann praktisch sein, wenn Sie die Arbeit schnell erledigen müssen, zum Beispiel einen Laptop. Und noch mehr hier sind diejenigen, die den Computer in Windows 10 früh neu starten müssen, und wenn Sie ihn nicht töten, wird der Neustart nach einer weiteren Stunde durch den Primus gehen. All tse vodvolikaє das zavazhaє pratsyuvati;
• Sicherheit - auch wenn Sie selbst oft wichtige Verbesserungen im System reparieren, keiner und keiner kann alles vermitteln. Infolgedessen können einige Updates Ihr System für einen Virenangriff öffnen oder Ihren Roboter direkt nach der Installation beschädigen. Eine vernünftige Idee in dieser Situation ist es, sich in einer toten Stunde nach dem Ausgang der schwarzen Version zu ändern und den vіdguki vorne zu drehen.

Minderung der automatischen Aktualisierung von Windows 10

Methoden, wie man Windows 10-Updates aktiviert, sind reichhaltig. Einige von ihnen sind für einen Koristuvach noch einfacher, andere sind faltbar und drittens erfordern sie die Installation von Programmen von Drittanbietern.

Vimknennya durch das Zentrum der Innovation

Das Update-Center um Aufnahme zu bitten, ist nicht die beste Option, auch wenn man es als offizielle Lösung von Microsoft aussprechen möchte. Sie können den automatischen Bezug von Updates über deren Einstellungen deaktivieren. Das Problem hier ist, dass die Lösung so ist, dass Chi Inakshe Timchasovim sein wird. Die Veröffentlichung des großartigen Windows 10-Updates wird den Preis des System-Upgrades ändern. Ale mi, immerhin der Inklusionsprozess:

Nach diesen Änderungen werden kleinere Updates nicht mehr wiederhergestellt. Ale tse Entscheidung wird Ihnen für die Zukunft nicht helfen, das Erneuerungsinteresse wird verzögert.

Die automatische Aktualisierung ist ein wichtiges Funktionsmerkmal jedes Betriebssystems. Ihr Computer nimmt ständig wichtige Updates vor, um das System stabil und sicher zu halten. In Windows 7 ist die Funktion von Anfang an aktiviert. Das bedeutet, dass der Aktualisierungsdienst beim Vorhandensein einer Verbindung mit Microsoft-Servern das Vorhandensein frischer Pakete prüft, diese erfasst und installiert. Alle Prozesse, die für einen Koristuvach fließen, klingen praktisch unauffällig, aber wenn Sie die Post-Propositionen dafür verantwortlich machen, bis zu zehn zu gehen, dann ist das zu viel.

Theoretisch ist Wimikati nicht automatisch mit Updates beschäftigt. Vaughn ist kitschig, dass es die Sicherheitslücke schließt, den OS-Roboter optimiert, ihm neue Fähigkeiten hinzufügt (zum Beispiel „Dutzende“). Verwenden Sie auch den Wechsel von Laufwerken, für die der automatische Verlängerungsdienst aktiviert werden sollte:

1. Koristuvachevi ist nicht geeignet, wenn die Internetgeschwindigkeit nachlässt und/oder es längere Zeit nicht möglich ist, den PC auszuschalten.
2. Auf dem Computer ist ein teures oder begrenztes drahtloses Internet.
3. Probleme nach dem Starten eines aktualisierten Betriebssystems.
4. Probleme bei der Installation von Aktualisierungspaketen.
5. Auf dem Systemvolume ist nicht genug Platz für das Windows-7-Update, das mit einem Skin-Update wächst.

vidi

Denken Sie trotzdem darüber nach, was benötigt wird, bevor Sie das Windows 7-Update aktivieren. Service-Deaktivierungscreme, die auf solche Arbeitsmodi übertragen werden kann.

1. Völlig automatisch – die Vorgänge werden ohne Einfügen eines Coristuvach fortgesetzt und erinnern den Rest nur an den Abschluss der Installation der Pakete.
2. Poshuk, dass zavantazhennya frisch für das Layout und die Installation von Paketen in zdijsnyu koristuvach korrigiert.
3. Automatische erneute Überprüfung mit Benachrichtigungen des Melders über das Vorhandensein von Updates.
4. Selbstheilung deaktiviert. Alles funktioniert im manuellen Modus.

Die Parameter werden für die Update Center-Komponente ausgewählt.

Möglichkeiten zum Einschalten

Die Einstellungen für Windows werden aus der її-Registrierung gespeichert. Otrimati-Zugang zum Schlüssel, der für die Reparatur des Renovierungszentrums erforderlich ist, können Sie dem Dekіlkom und ein paar Faltwegen vergeben. Schauen wir uns ihre Ohren an.

Ändern von Parametern im Update Center

Werfen wir einen Blick darauf, was wir an der Arbeit des Dienstes für uns selbst getan haben. Um auf die Konfigurationsschnittstelle zuzugreifen, müssen Sie das „Update Center“ mithilfe einer der Anleitungsmethoden aufrufen.

System

1. Klicken Sie im Kontextmenü meines Computers auf Yoga "Power".

1. Klicken Sie im linken vertikalen Menü auf die spezielle Nachricht, die unten im Fenster versteckt ist.

1. Idemo zu "Systemsteuerung".
2. Vіdkrivaєmo verteilt "System, Sicherheit".

1. Wir klicken auf ein Ein-Menü-Element.

Dadurch werden die Elemente des Keybar-Panels vor den Icons visualisiert und nicht in den Kategorien an das anzuzeigende Element direkt neben dem Kopffenster gesendet.

1. Später, nachdem wir in Zukunft lernen müssen, drücken wir „Parameter einstellen“.

1. Wechseln Sie zum Abschnitt „Wichtige Aktualisierungen“ und wählen Sie die am besten geeignete Option aus der Liste aus.

Bitte schalten Sie die Updates auf Ihrem Computer mit Windows 7 wieder aus, um zur Verbesserung des Dienstes beizutragen.

Dienst aktivieren

Für die Unterstützung ist die Verwaltung der Dienste bei "simtsi" erforderlich:

• direkte Bearbeitung von Registrierungsschlüsseln, was nicht praktisch ist;
• Programme von Drittanbietern zum Anpassen des Betriebssystems (lassen Sie diese Option weg);
• MMC-Konsolen-Snap-Ins;
• Systemkonfiguration;
• Befehlszeile;
• Gruppenrichtlinien-Editor (für Windows 7 Maximum, Corporate).

Anzeigen eines Dienstes mit Autorun

Die gebräuchlichste Methode zur Aktualisierung ist der Systemkonfigurator.

1. Wir können "msconfig" im Fenster des Befehlsinterpreters sehen, das nach dem Drücken der Tasten Win + R oder dem Klicken auf die Schaltfläche "Vikonati" beim Start angezeigt wird.

1. Idemo auf der Registerkarte "Dienste".
2. Wir kennen das „Windows Update Center“ (evtl. Windows Update) und wählen die Fahne aus, die es kostet.

1. Wir nehmen neue Anpassungen vor.

Bis zum Ende der Streaming-Sitzung wird der Dienst pratsyuvati, vykonuyuchi pokladі auf ihrem zavdannya sein. Um eine neue Windows 7-Konfiguration wiederherzustellen, müssen Sie neu konfigurieren.

Beschleunigen Sie mit dem MMC-Konsolen-Snap-In

Eine Systemkonsole ist mit Zugriff auf die Verwaltung aller Dienste auf dem PC ausgestattet. Beginne so.

1. Öffnen Sie das Kontextmenü des Verzeichnisses „Arbeitsplatz“.
2. Aufruf des Befehls "Verwaltung".

1. Im linken vertikalen Menü wird der Punkt „Dienste und Programme“ angezeigt. Dali-Klick für die Meldungen des "Service".

Die einfachste Option für das Wochenende dieser Woche besteht darin, den Befehl „services.msc“ über den Dialog „Vikonati“ auszuführen.

1. Wir füllen die Liste der Dienste ganz am Ende neu und schalten die „Power“ des Windows-Update-Dienstes ein.

1. Wählen Sie in der Liste „Starttyp“ „Aktiviert“ und „Automatisch“, um sich für immer von automatischen Updates zu verabschieden. Sobald es notwendig ist, den Dienst sofort einzuschalten, ist es obov'yazkovo, der "Zupiniti" drückt. Wählen Sie neue Parameter mit der Schaltfläche „Herunterfahren“ und schließen Sie alle Fenster.

Für zastosuvannya nalashtuvan ist keine PC-Revanche erforderlich.

Gruppenrichtlinien-Editor

Passen Sie an, ob es zusätzlich zu einer weiteren Funktion der MMC-Konsole, die als Editor für lokale Gruppenrichtlinien bezeichnet wird, eine Systemeinstellung gibt.

In der Heimredaktion sind "Sim-Karten" nicht erhältlich!

1. Das Tool wird gestartet, indem der Befehl gpedit.msc über das Vikonati-Fenster ausgeführt wird.

1. Im Unterbereich „PC-Konfiguration“ wird das Label „Administrative Vorlagen“ erstellt.

1. Sehen Sie sich „Windows-Komponenten“ und das Update Center an.
2. Der rechte Teil des Fensters hat einen Parameter, dessen Name auf „Setting auto-update“ basiert.
3. Viklikayemo yoga nalashtuvannya.

1. Bewegen Sie das Kontrollkästchen neben die Position „Aktivieren“ und drücken Sie „OK“, um das Fenster zum Speichern der Änderungen zu schließen.

Beschleunigung in der Befehlszeile

Durch die Befehlszeile werden diese Operationen selbst konjugiert, die hinter der Hilfe einer grafischen Oberfläche stehen und mehr navigieren, aber im Textmodus. Golovne, kenne die Syntax und die Parameter.

Bei einem Befehlszeilen-Docht wird der Befehl cmd angefordert.

1. Überprüfen Sie den Befehlsinterpreter und winknow.

In einem der vorherigen Artikel haben wir das Verfahren ausführlich beschrieben. Da Sie den Server gepatcht haben, müssen Sie die Windows-Clients (Server und Arbeitsstationen) auf den WSUS-Server patchen, um Updates abzurufen, damit die Clients Updates vom internen Update-Server abrufen, nicht von den Microsoft Update-Servern über den Internet. In diesem Artikel betrachten wir die Vorgehensweise zum Einrichten von Clients auf dem WSUS-Server-Server für zusätzliche Gruppenrichtlinien für die Active-Directory-Domäne.

Die AD-Gruppenrichtlinien ermöglichen es dem Administrator, Computer in verschiedenen WSUS-Gruppen automatisch zu erkennen, sodass Computer nicht manuell zwischen Gruppen in der WSUS-Konsole verschoben und diese Gruppen in der aktuellen Station beibehalten werden müssen. Die Zuordnung von Clients zu verschiedenen WSUS-Zielgruppen wird dem Tag in der Registry auf dem Client zugewiesen (Tags werden durch die Gruppenrichtlinie oder durch direkte Bearbeitung der Registry gesetzt). Diese Art der Clientverweisung an WSUS-Gruppen wird als KlientSeiteAusrichtung(Targeting für den Kunden).

Es wird erwartet, dass es in unserer Serie zwei unterschiedliche Update-Richtlinien geben wird - mit Ausnahme der Server-Update-Richtlinie ( Server) und für Arbeitsplätze ( Arbeitsplätze). An der WSUS-Konsole im Abschnitt Alle Computer müssen zwei Gruppen erstellt werden.

Porada. Die Richtlinie zur Auswahl eines Servers zum Aktualisieren von WSUS durch Clients ist reich an dem, was in der Organisationsstruktur der Organisationseinheit in Active Directory und den Regeln zum Installieren von Updates in der Organisation liegt. In diesem Artikel können wir uns eine privatere Option ansehen, mit der Sie die Grundprinzipien der Verwendung von AD-Richtlinien zum Installieren von Windows-Updates verstehen können.

Wir müssen eine Computergruppierungsregel für die WSUS-Konsole angeben (Targeting). Für die Heraufstufung an der WSUS-Konsole werden Computer vom Administrator manuell Gruppen zugewiesen (serverseitiges Targeting). Wir sind nicht an der Macht, also nehmen wir an, dass Computer basierend auf der Ausrichtung auf Clientseite (hinter dem ersten Schlüssel in der Registrierung des Clients) in Gruppen eingeteilt werden. Gehen Sie dazu in der WSUS-Konsole zur Verteilung Optionen Geben Sie dann den Parameter ein Computers. Wert ändern auf Verwenden Sie Gruppenrichtlinien oder Registrierungseinstellungen auf Computern(Vykoristovuvat Gruppenrichtlinie oder Registrierungsparameter auf Computern).

Sie können jetzt ein Gruppenrichtlinienobjekt erstellen, um WSUS-Clients zu konfigurieren. Öffnen Sie die Domänengruppenrichtlinien-Verwaltungskonsole (Gruppenrichtlinienverwaltung) und erstellen Sie zwei neue Gruppenrichtlinien: ServerWSUSPolicy und WorkstationWSUSPolicy.

WSUS-Gruppenrichtlinie für Windows-Server

Lesen Sie mehr über die Beschreibung der Serverrichtlinie ServerWSUSPolicy.

Gruppenrichtlinieneinstellungen, die für den Betrieb des Windows-Update-Dienstes verantwortlich sind, befinden sich im GPO-Bereich: ComputerAufbau -> Richtlinien-> administrativVorlagen-> WindowsKomponente-> Windowsaktualisieren(Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update).

Unsere Organisation möchte möglicherweise eine Richtlinie für die Installation von WSUS-Updates auf einem Windows-Server gewinnen. Es wird erwartet, dass alle Computer, die diese Richtlinie verwenden, der Gruppe Server in der WSUS-Konsole hinzugefügt werden. Außerdem wollen wir automatisch Updates auf den Servern installieren, wenn diese entfernt werden. Der WSUS-Client ist nur dafür verantwortlich, verfügbare Updates auf die Festplatte herunterzuladen, Benachrichtigungen über neue Updates in der Taskleiste anzuzeigen und den Administrator aufzufordern, die Installation zu starten (manuell oder remote für Hilfe), um die Installation zu starten. Das bedeutet, dass die Server produktiv sind und Updates nicht automatisch installieren und ohne die Bestätigung des Administrators (der als Systemadministrator im Rahmen der sechstausend geplanten planmäßigen Wartung gesund ist) neu starten. Um ein solches Schema zu implementieren, werden wir die folgenden Richtlinien festlegen:

• KonfigurierenAutomatischAktualisierung(Automatisches Update einrichten): ermöglichen. 3 - AutomatischherunterladenundbenachrichtigenProInstallieren(Update automatisch starten und vor der Installation über dessen Bereitschaft informieren)– der Client nimmt automatisch neue Updates und Berichte über Neuankömmlinge auf;
• AngebenIntranetMicrosoftaktualisierenServiceLage(Geben Sie das Hosting des Microsoft Update-Dienstes in der Intramerge an): ermöglichen. Stellen Sie den Intranet-Aktualisierungsdienst zum Erkennen von Aktualisierungen ein: http://srv-wsus.site:8530, Legen Sie den Intranet-Statistikserver fest: http://srv-wsus.site:8530- hier müssen Sie die Adresse Ihres WSUS-Servers und des Statistikservers angeben (sound stink zbіgayutsya);
• Kein automatischer Neustart mit angemeldeten Benutzern für geplante Update-Installationen(Stellen Sie die Stunde der automatischen Installation des Updates nicht automatisch zurück, da dies im System funktioniert): ermöglichen– Zaun automatisch wieder vorrücken für die Anwesenheit der Sitzung des coristuvach;
• ermöglichenKlient-SeiteAusrichtung ( Lassen Sie den Kunden zur Zielgruppe kommen): ermöglichen. Zielgruppenname für diesen Computer Server– Fügen Sie in der WSUS-Konsole Clients zur Gruppe Server hinzu.

Notiz. Bitte beachten Sie die aktuellen Parameter, die in der GPO-Skin-Option verfügbar sind Windowsaktualisieren und stellen Sie die relevanten Parameter für Ihre Infrastruktur und Organisation ein.

WSUS-Updaterichtlinie für Arbeitsstationen

Wir erlauben, dass Updates von Client-Workstations auf der Grundlage von Serverrichtlinien automatisch nachts installiert werden, nachdem das Update abgebrochen wurde. Nach der Installation des Computer-Updates wird der Fehler automatisch zurückgesetzt (für 5 Credits).

Für dieses GPO (WorkstationWSUSPolicy) können Sie Folgendes angeben:

• ermöglichenAutomatischAktualisierungsofortInstallation(Nichtinstallation automatischer Updates zulassen): Behindert- ein Zaun auf einer Negaine wurde installiert und gleichzeitig erneuert;
• ermöglichennicht-AdministratorenzuerhaltenaktualisierenBenachrichtigungen(Ermöglichen Sie koristuvachs, wenn nicht є Administratoren, das Update zur Kenntnis zu nehmen): Ermöglicht- Nicht-Administratoren über das Erscheinen neuer Updates informieren und deren manuelle Installation zulassen;
• Automatische Updates konfigurieren:Ermöglicht. Automatisches Update konfigurieren: 4 - Automatisches Herunterladen und Planen der Installation. Geplanter Installationstag: 0 - JedenTag. Geplante Installationszeit: 05:00 – wenn Sie neue Updates erhalten, wird der Client in den lokalen Cache eingetragen und plant, diese automatisch um 5:00 Uhr zu installieren;
• Zielgruppenname für diesen Computer: Arbeitsplätze– Fügen Sie den Client an der WSUS-Konsole zur Gruppe Arbeitsstationen hinzu;
• Kein automatischer Neustart mit angemeldeten Benutzern für automatische Update-Installationen: Behindert- Das System wird nach 5 Minuten nach Abschluss der Installation automatisch neu geladen;
• Geben Sie den Speicherort des Microsoft-Updatediensts im Intranet an: Ermöglichen. Stellen Sie den Intranet-Aktualisierungsdienst zum Erkennen von Aktualisierungen ein: http://srv-wsus.site:8530, Legen Sie den Intranet-Statistikserver fest: http://srv-wsus.site:8530-Adressen des Unternehmens-WSUS-Servers.

Windows 10 1607 und mehr, unabhängig von denen, die angewiesen wurden, Updates vom internen WSUS zu akzeptieren, können weiterhin an Windows Update-Server im Internet gesendet werden. Tsya "Feature" heißt DualScan. Um das Entfernen von Updates aus dem Internet zu ermöglichen, muss die Richtlinie zusätzlich aktiviert werden MachennichtermöglichenaktualisierenAufschubRichtlinienzuweilscanntgegenWindowsaktualisieren ().

Porada. Um den Patch-Level von Computern in der Organisation zu verbessern, ist es in beiden Richtlinien möglich, den primären Start des Aktualisierungsdienstes (wuauserv) auf Clients anzupassen. Für wen teilst du Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Systemdienste Suchen Sie den Windows Update-Dienst und stellen Sie ihn so ein, dass er automatisch gestartet wird ( Automatisch).

Zuweisen von WSUS-Richtlinien zu OU Active Directory

Der nächste Schritt besteht darin, die Erstellung der Richtlinie an den entsprechenden Containern (OU) des Active Directory zu erkennen. In unserer Anwendung ist die OU-Struktur in der AD-Domäne so einfach wie möglich: zwei Container – Server (der neue enthält alle Server der Organisation, Crim-Controller in der Domäne) und WKS (Arbeitsstationen – Kerncomputer).

Porada. Wir betrachten nur eine einfache Option zum Verknüpfen von WSUS-Richtlinien mit Clients. In realen Organisationen können Sie eine WSUS-Richtlinie auf allen Computern an die Domäne binden (GPO mit WSUS-Einstellungen, die an das Stammverzeichnis der Domäne angehängt sind), verschiedene Ansichten von Clients durch verschiedene OUs trennen (wie in unserem Fall haben wir verschiedene WSUS-Richtlinien für erstellt Servern und Workstations). ), auf großen Subdomains können Sie GPOs an Substituenten binden oder erkennen oder Relisting-Methoden kombinieren.

Um die Richtlinie der OU zuzuweisen, klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole für die erforderliche OU auf den Menüpunkt Als vorhandenes Gruppenrichtlinienobjekt verknüpfen und wählen Sie eine andere Richtlinie.

Porada. Vergessen Sie nicht die OU mit Domänencontrollern (Domain Controllers), in den meisten Fällen sollte der Container die WSUS-Richtlinie "Server" binden.

Daher empfiehlt es sich, die WorkstationWSUSPolicy-Richtlinie dem AD WKS-Container zuzuweisen, in den Sie Windows-Arbeitsstationen ändern möchten.

Verlorenes Gruppenrichtlinien-Update auf Clients, um den Client an den WSUS-Server zu binden:

Wenn Sie Windows-Systemaktualisierungen einrichten, wie Sie es durch Gruppenrichtlinien festgelegt haben, liegt es in Ihrer Verantwortung, in der Registrierung des Kunden bei der Bank zu erscheinen HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Diese Reg-Datei kann für die Migration von WSUS auf andere Computer angepasst werden, auf denen es nicht möglich ist, die Update-Parameter mithilfe von GPO anzupassen (Computer in der Arbeitsgruppe, isolierte Segmente, nur DMZ)

Windows-Registrierungseditor Version 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"Zielgruppe"="Server"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 -
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Steuern Sie außerdem manuell das WSUS-Setup auf Clients für help rsop.msc.

І nach einer Stunde (Einzahlung abhängig von der Anzahl der Updates und der Bandbreite zum WSUS-Server) ist es notwendig, die Zusammenführungshinweise über die Verfügbarkeit neuer Updates auf die dritte umzustellen. An der WSUS-Konsole kann der Client in verschiedenen Gruppen erscheinen (in der Tabellenansicht werden Clientname, IP, Betriebssystem, Anzahl der Patches und das Datum der verbleibenden Statusaktualisierung angezeigt). Denn Meine Politiker haben Computer und Server an verschiedene WSUS-Gruppen gebunden, der Gestank wird nur aufgewertet, gelobt, bevor er auf einer anderen WSUS-Gruppe installiert wird.

Notiz. Wenn der Update-Client nicht angezeigt wird, wird empfohlen, dass Sie das Windows Update-Dienstprotokoll (C:\Windows\WindowsUpdate.log) auf dem problematischen Client sorgfältig überprüfen. Respektieren Sie, dass Windows 10 (Windows Server 2016) gewinnt. Der Client möchte auf den lokalen Ordner C:\Windows\SoftwareDistribution\Download aktualisieren. Um eine Suche nach neuen Updates auf dem WSUS-Server zu starten, müssen Sie den folgenden Befehl ausführen:

wuauclt /detectnow

Außerdem müssen Sie den Client manchmal auf dem WSUS-Server neu registrieren:

wuauclt /detectnow /resetAuthorization

Bei besonders faltbaren vpads können Sie den Dienst wuauserv ausprobieren. Wenn Sie sich schuldig fühlen, versuchen Sie, die Aktualisierungshäufigkeit auf dem WSUS-Server mithilfe der Richtlinie zur Erkennungshäufigkeit automatischer Updates zu ändern.

Wir werden die Besonderheiten des Offensivstatuts beschreiben. Es wird auch empfohlen, den Artikel zwischen Gruppen auf dem WSUS-Server zu lesen.