iOS 

Postavljanje windows xp wsus ažuriranja. Konfiguriranje WSUS klijenata korištenjem grupnih politika. Uklanjanje usluge iz automatskog pokretanja

Automatsko ažuriranje je važna funkcionalna karakteristika svakog operativnog sistema. Zahvaljujući njemu, računar prima važna ažuriranja na vrijeme, čineći sistem stabilnijim i sigurnijim. U operativnom sistemu Windows 7, funkcija se inicijalno aktivira. To znači da ako postoji veza sa Microsoft serverima, servis ažuriranja proverava dostupnost svežih paketa, preuzima ih i instalira. Obično se svi procesi odvijaju gotovo neprimijećeno od strane korisnika, ali kada se pojave stalne ponude za nadogradnju na 10, to je već pretjerano.

Teoretski, nema potrebe za onemogućavanjem automatskog preuzimanja ažuriranja. Koristan je jer zatvara sigurnosne praznine, optimizuje rad OS-a i dodaje mu nove karakteristike (u vezi sa „desetkama“). Postoji i lista razloga zašto bi uslugu automatskog ažuriranja trebalo onemogućiti:

  1. Korisniku se ne sviđa što tokom ažuriranja brzina interneta opada i/ili računar ne može da se isključi duže vreme.
  2. Računar ima skup ili ograničen bežični internet.
  3. Problemi nakon pokretanja ažuriranog OS-a.
  4. Greške tokom instalacije paketa ažuriranja.
  5. Nema dovoljno prostora na sistemskom volumenu da se prilagodi povećanje volumena Windows 7, koje raste sa svakim ažuriranjem.

Vrste

Ipak, prije nego što onemogućite ažuriranje za Windows 7, razmislite da li je ono zaista potrebno. Osim deaktiviranja usluge, može se prebaciti na sljedeće načine rada.

  1. Potpuno automatski - operacije se odvijaju bez intervencije korisnika, samo obavještavajući korisnika da je instalacija paketa završena.
  2. Pretražuje i preuzima najnovije popravke po rasporedu, a instalaciju paketa vrši korisnik.
  3. Automatska provjera i obavještavanje korisnika o dostupnosti ažuriranja.
  4. Samoažuriranje je onemogućeno. Sve se radi ručno.

Opcije se biraju u komponenti Centar za ažuriranje.

Metode isključenja

Postavke bilo kojeg Windowsa pohranjene su u njegovom registru. Ključu odgovornom za postavke centra za ažuriranje možete pristupiti na nekoliko jednostavnih i nekoliko složenijih načina. Pogledajmo ih sve.

Promijenite postavke centra za ažuriranje

Počnimo sa postavljanjem usluge za sebe. Da biste pristupili konfiguracijskom sučelju, morate otvoriti “Centar za ažuriranje” koristeći jedan od sljedećih metoda.

Sistem

  1. Preko kontekstnog menija My Computer, pozovite njegova “Properties”.
  1. U lijevom vertikalnom meniju kliknite na odgovarajući link koji se nalazi na dnu prozora.

  1. Idite na “Control Panel”.
  2. Otvorite odjeljak "Sistem, sigurnost".
  1. Pozovite element istog imena.

Ako su stavke kontrolne table prikazane kao ikone, a ne kategorije, u glavnom prozoru će se pojaviti veza do stavke.

  1. Dakle, nakon što uđete u željeni prozor, kliknite na "Parametri postavki".
  1. Idite na odjeljak "Važna ažuriranja" i odaberite odgovarajuću opciju sa padajuće liste.

Jedini način da potpuno onemogućite primanje ažuriranja na računaru sa Windows 7 je da zaustavite uslugu.

Onemogućavanje usluge

Upravljanje uslugama u "sedmorici" se odvija kroz:

  • direktno uređivanje ključeva registratora, što je vrlo nezgodno;
  • programi trećih strana za konfiguraciju OS-a (ovu opciju ćemo preskočiti);
  • Snap-in za MMC konzolu;
  • Konfiguracija sistema;
  • komandna linija;
  • Editor grupnih politika (prisutan u Windows 7 Ultimate, Enterprise).

Uklanjanje usluge iz automatskog pokretanja

Najbrži način da onemogućite ažuriranja je putem konfiguratora sistema.

  1. Izvršite “msconfig” u prozoru tumača komandi, koji će se otvoriti nakon što držite pritisnute tipke Win + R ili kliknete na dugme “Run” u Startu.
  1. Idite na karticu "Usluge".
  2. Pronađite „Windows Update“ (možda Windows Update) i poništite izbor u polju za potvrdu pored njega.
  1. Sačuvajte nove postavke.

Do kraja tekuće sesije, servis će raditi, uredno obavljajući zadatke koji su joj dodijeljeni. Da biste primijenili novu konfiguraciju, Windows 7 se mora ponovo pokrenuti.

Koristimo dodatak za MMC konzolu

Snap-in sistemske konzole istog imena omogućava pristup upravljanju svim uslugama na računaru. Počinje ovako.

  1. Otvorite kontekstni meni direktorijuma „Moj računar“.
  2. Pozovite komandu “Upravljanje”.
  1. U lijevom okomitom izborniku proširite stavku "Usluge i aplikacije". Zatim kliknite na vezu "Usluge".

Jednostavnija opcija za pozivanje istog prozora bila bi pokretanje naredbe “services.msc” kroz dijalog “Run”.

  1. Dođite do samog kraja liste usluga i otvorite "Svojstva" usluge Windows Update.
  1. Na padajućoj listi "Tip pokretanja" odaberite "Onemogućeno" umjesto "Automatski" kako biste se zauvijek oprostili od automatskih ažuriranja. Ako sada trebate onemogućiti uslugu, obavezno kliknite na “Stop”. Sačuvajte nove postavke pomoću dugmeta „Primeni“ i zatvorite sve prozore.

Računar nije potrebno ponovo pokrenuti da bi se postavke primijenile.

Editor grupnih politika

Još jedan MMC dodatak koji se zove Local Group Policy Editor će vam pomoći da konfigurišete bilo koji sistemski parametar.

Nije dostupan u matičnom izdanju Sedam!

  1. Alat se pokreće pokretanjem naredbe “gpedit.msc” kroz prozor “Run”.
  1. U pododjeljku “Konfiguracija računara” proširite granu “Administrativni predlošci”.
  1. Otvorite "Windows komponente" i potražite Centar za ažuriranje.
  2. Na desnoj strani prozora nalazimo parametar čije ime počinje sa “Podešavanje automatskog ažuriranja”.
  3. Pozovite njegove postavke.
  1. Pomaknite potvrdni okvir na poziciju “Onemogući” i kliknite na “OK” da zatvorite prozor i sačuvate promjene.

Koristimo komandnu liniju

Preko komandne linije izvode se sve iste operacije kao i korišćenje grafičkog interfejsa, pa čak i više, ali u tekstualnom režimu. Glavna stvar je znati njihovu sintaksu i parametre.

Komanda “cmd” je odgovorna za pozivanje komandne linije.

  1. Otvorite interpreter komandi i izvršite ga.


Objavljeno 18. februara 2009. od · Nema komentara

U ovom članku ću vam reći o nekim ključevima registratora koji su povezani sa Windows Update. Pokazat ću vam različite opcije koje ovi ključevi registra mogu poduzeti.

Ako ste propustili drugi dio ovog članka, pročitajte

Iako su i Windows Update i WSUS generalno prilično laki za konfiguraciju, ponekad možete dobiti veću kontrolu unosom nekih promjena u Windows registrator. U ovom članku ću vam pokazati neke ključeve registratora koji su povezani sa Windows Update. Pokazat ću vam različite opcije koje ovi ključevi registra mogu poduzeti.

Početi

Prvo ću obradovati advokate i upozoriti da unošenje izmena u registar može biti veoma opasno. Unošenje pogrešnih postavki registratora može dovesti do uništenja Windows-a i/ili bilo koje pokrenute aplikacije na uređaju. Pre nego što pokušate da izvršite promene u registru, morate napraviti potpunu rezervnu kopiju sistema, spreman sam da vam pokažem kako se to radi.

Postoji još jedna stvar o kojoj moram da vam kažem. Fino podešavanje o kojem želim da vam kažem odnosi se samo na računare koji koriste Windows XP. Možete direktno napraviti promjene na određenim mašinama ili ih možete primijeniti kao dio skripte za prijavu. Takođe, neki od ključeva o kojima ću govoriti možda neće postojati podrazumevano. Ako želite da koristite ključ koji ne postoji, prvo ga morate kreirati. Također biste trebali znati da se ponašanje ažuriranja za Windows može kontrolirati korištenjem grupnih politika. Politike grupe ponekad mogu modificirati ključeve registratora tako da slijede ponašanje koje specificiraju.

Eskalacija privilegija

Jedan od problema sa dobijanjem ažuriranja sa WSUS servera je taj što korisnici ne mogu odobriti ili odbiti ažuriranja osim ako nisu članovi grupe lokalnih administratora. Međutim, možete koristiti registar za podizanje privilegija korisnika tako da mogu instalirati ili odbiti instaliranje promjena, bez obzira na to jesu li članovi lokalne administratorske grupe ili ne. S druge strane, također možete spriječiti korisnike da instaliraju ažuriranja i prepustiti ovo pravo administratoru (Admin).

Ključ registra koji je odgovoran za ovo je: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins

Ključ ElevateNonAdmins ima dvije moguće vrijednosti. Zadana vrijednost 1 dozvoljava korisnicima koji nisu administratori da instaliraju ažuriranja. Ako promijenite ovu vrijednost na 0, samo će administratori moći instalirati ažuriranja.

Ciljne grupe

Jedna od sjajnih stvari sa WSUS-om je to što omogućava ciljanje na strani klijenta. Ideja sa pozicioniranjem na strani klijenta je da možete definisati različite grupe računara i distribuirati prava za instaliranje ažuriranja u zavisnosti od članstva u grupi. Po defaultu se ne koristi pozicioniranje na strani klijenta, ali ako ga odlučite koristiti, postoje dva ključa registratora koji će vam pomoći u tome. Prvi od ovih ključeva uključuje ciljanje na strani klijenta, a drugi označava ime grupe kojoj računar pripada. Oba ova ključa moraju biti kreirana u: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

Prvi ključ je DWORD ključ pod nazivom TargetGroupEnabled. Možete postaviti ovaj ključ na 0, što onemogućava ciljanje na strani klijenta, ili na 1, što omogućava ciljanje na strani klijenta.

Drugi ključ koji biste trebali kreirati trebao bi se zvati TargetGroup i imati vrijednost niza. Vrijednost ovog ključa mora biti ime grupe kojoj bi se računar trebao dodijeliti.

Instaliranje WSUS servera

Ako se već neko vrijeme bavite webom, vjerovatno znate da se web dizajn s vremenom mijenja. Stvari poput rasta kompanije, novih sigurnosnih zahtjeva i korporativnih ograničenja često čine osnovu za promjene mreže. Kako se ovo odnosi na ažuriranja za Windows? WSUS je skalabilan i može se instalirati na hijerarhijski način. To znači da organizacija može imati više instaliranih WSUS servera. Ako se računar premesti u drugi deo kompanije, WSUS server koji je prvobitno definisan za taj računar možda više nije odgovarajući za novu lokaciju. Na sreću, nekoliko jednostavnih modifikacija registra može promijeniti WSUS server sa kojeg PC prima ažuriranja.

Postoje dva ključa koji se koriste za identifikaciju WSUS servera. Svaki od njih se nalazi u: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Prvi ključ se zove WUServer. Ovaj ključ mora biti postavljen na tekstualnu vrijednost koja opisuje URL WSUS servera (na primjer: http://ime servera).

Drugi ključ koji biste trebali promijeniti je ključ koji se zove WUStatusServer. Ideja sa ovim ključem je da računar (PC) treba da prijavi svoj status WSUS serveru tako da WSUS server može da zna koje promene su instalirane na računaru. Ključ WUSatusServer obično sadrži potpuno istu vrijednost kao ključ WUServer (na primjer: http://ime servera).

Agent za automatsko ažuriranje

Dakle, govorio sam o tome kako povezati računar (PC) sa određenim WSUS serverom ili za određenu grupu (ciljnu grupu), ali to je samo pola procesa. Windows Update koristi agent za ažuriranje koji zapravo instalira ažuriranja. Postoji nekoliko ključeva registratora koji se nalaze u HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU koji kontrolišu agenta za automatsko ažuriranje.

Prvi od ovih tastera je taster AUOptions. Ova vrijednost DWORD može se postaviti na 2, 3, 4 ili 5. Vrijednost 2 znači da agent treba obavijestiti korisnika kada se ažuriranja preuzmu. Vrijednost 3 znači da će ažuriranje biti preuzeto automatski i korisnik će biti obaviješten o instalaciji. Vrijednost 4 znači da ažuriranje treba automatski preuzeti i instalirati prema rasporedu. Da bi ova opcija radila, morate postaviti i vrijednosti za ključeve ScheduledInstallDay i ScheduledInstallTime. Kasnije ću više pričati o ovim ključevima. Konačno, vrijednost 5 znači da je potrebno automatsko ažuriranje, ali ga krajnji korisnici mogu konfigurirati.

Sljedeći ključ o kojem želim govoriti je ključ AutoInstallMinorUpdates. Ovaj ključ može imati vrijednost 0 ili 1. Ako je vrijednost ključa 0, tada se manja ažuriranja obrađuju na isti način kao i svaka druga ažuriranja. Ako je vrijednost ključa 1, manja ažuriranja se instaliraju tiho u pozadini.

Drugi ključ koji se odnosi na agenta za automatsko ažuriranje je ključ DetectionFrequency. Ovaj ključ vam omogućava da postavite koliko često agent treba da provjerava ažuriranja. Vrijednost ključa mora biti cijeli broj od 1 do 22, što odražava broj sati između pokušaja da se zatraži ažuriranje.

Ključ registra koji je povezan s njim je ključ DetectionFrequencyEnabled. Kao što naziv govori, ovaj taster vam omogućava da omogućite ili onemogućite funkciju učestalosti detekcije. Ako postavite vrijednost ovog ključa na 0, tada će vrijednost ključa DetectionFrequency biti zanemarena, a ako postavite vrijednost ovog ključa na 1, agent će morati koristiti vrijednost ključa DetectionFrequency.

Sljedeći ključ o kojem želim govoriti je ključ NoAutoUpdate. Ako je vrijednost ovog ključa 0, tada je omogućeno automatsko ažuriranje. Ako je vrijednost ključa 1, automatsko ažuriranje je onemogućeno.

Posljednji ključ registratora o kojem želim razgovarati je ključ NoAutoRebootWithLoggedOnUsers. Kao što verovatno znate, neka ažuriranja možda neće stupiti na snagu bez ponovnog pokretanja sistema. Ako korisnik radi u ovom trenutku, ponovno pokretanje može biti vrlo nepoželjno. Ovo je posebno tačno ako je korisnik otišao sa svog stola i nije sačuvao svoj rad. U ovom slučaju, ključ NoAutoRebootWithLoggedOnUsers će pomoći. Vrijednost ovog ključa može biti 0 ili 1. Ako je vrijednost ključa 0, korisnici će dobiti upozorenje od 5 minuta prije nego što se sistem automatski ponovo pokrene. Ako je ključna vrijednost 1, tada će korisnici jednostavno dobiti poruku u kojoj se traži dozvola za ponovno pokretanje, ali korisnici mogu to učiniti po vlastitom nahođenju.

Zaključak

Postoji mnogo više ključeva registratora koji se odnose na Windows Update. O ostalima ću govoriti u drugom dijelu ovog članka.

www.windowsnetworking.com


Vidi također:

Komentari čitalaca (bez komentara)

Exchange 2007

Ako želite da pročitate prethodne delove ove serije članaka, pratite linkove: Nadgledanje Exchange 2007 pomoću System Manager-a...

Uvod U ovom višedelnom članku želim da vam pokažem proces koji sam nedavno koristio za migraciju iz postojećeg Exchange 2003 okruženja...

Ako ste propustili prvi dio ove serije, pročitajte ga na stranici Korištenje alata za analizu udaljenog povezivanja Exchange servera (dio...

Ako ste propustili prethodni dio ove serije članaka, idite na Monitoring Exchange 2007 pomoću System Center Operations Managera...

Pozdrav svima, danas napomena više za sebe, odnosno spisak Windows Update servera. Zašto bi ovo moglo biti korisno, na primjer, ako ste dobili grešku Ažuriranje nije pronađeno prilikom instaliranja WSUS uloge, ili obrnuto iz nekog razloga želite da ih zabranite, da biste uštedjeli promet ako nemate WSUS, jer nisu svi Windowsi ažuriranja su dobra, a posebno u svojim modernim verzijama, mislim da nema smisla podsjećati na grešku, iako se ova lista može nastaviti jako dugo. Razlog nije bitan, glavno je znati da postoji i s tim nekako možete raditi. U nastavku ću vam pokazati metode za blokiranje adresa Microsoft update servera, kako univerzalne, prikladne za pojedinačni računar, tako i za centralizovano upravljanje unutar preduzeća.

Zašto se ažuriranja za Windows ne instaliraju?

Evo snimka ekrana greške ako adresa vašeg Microsoftovog servera za ažuriranje nije dostupna. Kao što vidite, greška nije baš informativna. Dobijam ga na serveru koji igra ulogu WSUS-a, za one koji se ne sećaju šta je, onda je ovo lokalni update centar za preduzeća, radi uštede saobraćaja, a tu se ne instaliraju ažuriranja za Windows zbog nedostatak dostupnosti Microsoft servera.

Šta učiniti ako Windows ažuriranja nisu instalirana

  • Prije svega, provjerite da li imate Internet, jer je njegovo prisustvo obavezno za većinu ljudi, osim ako naravno nemate Active Directory domen i preuzimate ih sa svog WSUS-a
  • Zatim, ako postoji Internet, pogledajte kod greške, jer upravo po tome trebate tražiti informacije o rješavanju problema (iz nedavnih problema mogu dati primjer kako se rješava Greška 0x80070422 ili Error c1900101), ali lista se takođe može čuvati veoma dugo.
  • Provjeravamo na našem proxy serveru da li postoji zabrana na sljedećim adresama Microsoft ažuriranja.

Sama lista Microsoftovih servera za ažuriranje

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

U jednom od prethodnih članaka detaljno smo opisali proceduru. Nakon što ste konfigurisali server, potrebno je da konfigurišete Windows klijente (servere i radne stanice) da koriste WSUS server za primanje ažuriranja, tako da klijenti dobijaju ažuriranja sa internog servera za ažuriranje, a ne sa Microsoft Update servera preko Interneta. U ovom članku ćemo proći kroz proceduru za konfigurisanje klijenata za korištenje WSUS servera koristeći pravila grupe domena Active Directory.

Smernice grupe AD dozvoljavaju administratoru da automatski dodeljuje računare različitim WSUS grupama, eliminišući potrebu za ručnim premeštanjem računara između grupa na WSUS konzoli i održavanjem tih grupa ažurnim. Dodjeljivanje klijenata različitim WSUS ciljnim grupama zasniva se na oznaci registra na klijentu (oznake se postavljaju smernicama grupe ili direktnim uređivanjem registra). Ova vrsta dodjele klijenata WSUS grupama se zove klijentstranaciljanje(Ciljanje na strani klijenta).

Pretpostavlja se da će naša mreža koristiti dvije različite politike ažuriranja - posebnu politiku instalacije ažuriranja za servere ( Serveri) i za radne stanice ( Radne stanice). Ove dvije grupe treba kreirati u WSUS konzoli u odjeljku Svi računari.

Savjet. Politika za to kako klijenti koriste WSUS server za ažuriranje u velikoj mjeri zavise od organizacijske strukture OU-a u Active Directory-u i pravila instalacije ažuriranja organizacije. U ovom članku ćemo pogledati samo određenu opciju koja vam omogućava da shvatite osnovne principe korištenja AD politika za instaliranje Windows ažuriranja.

Prije svega, trebate navesti pravilo za grupisanje računara u WSUS (ciljanje) konzoli. Podrazumevano, u WSUS konzoli, administratori ručno distribuiraju računare u grupe (ciljanje na strani servera). Nismo zadovoljni ovim, pa ćemo istaći da su računari raspoređeni u grupe na osnovu ciljanja na strani klijenta (po određenom ključu u registru klijenta). Da biste to učinili, u WSUS konzoli idite na odjeljak Opcije i otvorite parametar Kompjuteri. Promijenite vrijednost na Koristite smernice grupe ili postavke registra na računarima(Koristite smernice grupe ili postavke registratora na računarima).

Sada možete kreirati GPO za konfiguriranje WSUS klijenata. Otvorite konzolu za upravljanje pravilima grupe domene i kreirajte dvije nove grupne politike: ServerWSUSPolicy i WorkstationWSUSPolicy.

WSUS grupna pravila za Windows servere

Počnimo s opisom politike servera ServerWSUSPolicy.

Postavke grupne politike odgovorne za rad usluge Windows Update nalaze se u odjeljku GPO: KompjuterKonfiguracija -> Politike-> Administrativnošabloni-> WindowsKomponenta-> WindowsAžuriraj(Konfiguracija računara -> Administrativni predlošci -> Windows komponente -> Windows Update).

U našoj organizaciji očekujemo da ćemo koristiti ovu politiku za instaliranje WSUS ažuriranja na Windows servere. Očekuje se da će svi računari obuhvaćeni ovom politikom biti dodijeljeni grupi Serveri u WSUS konzoli. Osim toga, želimo spriječiti automatsku instalaciju ažuriranja na servere kada ih primi. WSUS klijent mora jednostavno preuzeti dostupna ažuriranja na disk, prikazati upozorenje za nova ažuriranja u sistemskoj paleti i čekati da administrator započne instalaciju (bilo ručno ili daljinski koristeći ) da bi započeo instalaciju. To znači da produktivni serveri neće automatski instalirati ažuriranja i ponovo pokrenuti sistem bez odobrenja administratora (obično ove radove izvodi administrator sistema kao dio mjesečnog planiranog održavanja). Da bismo implementirali takvu šemu, postavit ćemo sljedeće politike:

  • KonfigurišiAutomatskiAžuriranja(Podešavanje automatskog ažuriranja): Omogući. 3 – Autoskinutiiobavijestitizainstalirati(Automatski preuzmite ažuriranja i obavijestite vas kada su spremna za instalaciju)– klijent automatski preuzima nova ažuriranja i obavještava o njihovoj dostupnosti;
  • OdreditiIntranetMicrosoftažuriratiuslugalokacija(Navedite lokaciju Microsoft Update na intranetu): Omogući. Postavite uslugu ažuriranja intraneta za otkrivanje ažuriranja: http://srv-wsus.site:8530, Postavite server statistike intraneta: http://srv-wsus.site:8530– ovde treba da navedete adresu vašeg WSUS servera i servera statistike (obično su isti);
  • Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja(Nemojte automatski restartovati kada automatski instalirate ažuriranja ako na sistemu postoje korisnici): Omogući– zabraniti automatsko ponovno pokretanje kada postoji korisnička sesija;
  • Omogućiklijent-stranaciljanje ( Dozvolite klijentu da se pridruži ciljnoj grupi): Omogući. Naziv ciljne grupe za ovaj računar: Serveri– u WSUS konzoli dodijelite klijente grupi Serveri.

Bilješka. Prilikom postavljanja politike ažuriranja, preporučujemo da se pažljivo upoznate sa svim postavkama dostupnim u svakoj od opcija u odjeljku GPO WindowsAžuriraj i postavite parametre koji odgovaraju vašoj infrastrukturi i organizaciji.

Politika instalacije WSUS ažuriranja za radne stanice

Pretpostavljamo da će ažuriranja na radnim stanicama klijenta, za razliku od politike servera, biti instalirana automatski noću odmah nakon prijema ažuriranja. Nakon instaliranja ažuriranja, računari bi se trebali automatski ponovo pokrenuti (upozorenje korisnika 5 minuta unaprijed).

U ovoj GPO (WorkstationWSUSPolicy) navodimo:

  • DopustitiAutomatskiAžuriranjaodmahinstalacija(Dozvolite trenutnu instalaciju automatskih ažuriranja): Onemogućeno- zabrana trenutne instalacije ažuriranja po prijemu;
  • Dopustitinon-administratoritoprimitiažuriratiobavještenja(Dozvoli korisnicima koji nisu administratori da primaju obavještenja o ažuriranju): Omogućeno- prikazati upozorenje neadministratorima o novim ažuriranjima i dozvoliti njihovu ručnu instalaciju;
  • Konfigurirajte automatsko ažuriranje:Omogućeno. Konfigurirajte automatsko ažuriranje: 4 - Automatsko preuzimanje i zakazivanje instalacije. Planirani dan instalacije: 0 - Svakidan. Planirano vrijeme instalacije: 05:00 – kada primi nova ažuriranja, klijent ih preuzima u lokalnu keš memoriju i zakazuje njihovu automatsku instalaciju u 5:00 ujutro;
  • Naziv ciljne grupe za ovaj računar: Radne stanice– u WSUS konzoli dodijeliti klijenta grupi Radne stanice;
  • Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja: Onemogućeno- sistem će se automatski ponovo pokrenuti 5 minuta nakon završetka instalacije ažuriranja;
  • Odredite lokaciju usluge Microsoft ažuriranja na intranetu: Omogući. Postavite uslugu ažuriranja intraneta za otkrivanje ažuriranja: http://srv-wsus.site:8530, Postavite server statistike intraneta: http://srv-wsus.site:8530– adresa korporativnog WSUS servera.

Na Windows 10 1607 i novijim verzijama, iako ste im rekli da dobiju ažuriranja sa internog WSUS-a, oni i dalje mogu pokušati da kontaktiraju Windows Update servere na Internetu. Ova "karakteristika" se zove DualSkeniraj. Da biste onemogućili primanje ažuriranja sa Interneta, morate dodatno omogućiti politiku UradinedopustitiažuriratiodlaganjepolitiketouzrokskeniraprotivWindowsAžuriraj ().

Savjet. Da bi se poboljšao „nivo zakrpe“ računara u organizaciji, obe politike se mogu konfigurisati da nametnu početak usluge ažuriranja (wuauserv) na klijentima. Da biste to učinili, u odjeljku Konfiguracija računara -> Politike-> Windows postavke -> Sigurnosne postavke -> Sistemske usluge Pronađite uslugu Windows Update i podesite je da se automatski pokreće ( Automatski).

Dodjela WSUS politika Active Directory OU

Sljedeći korak je dodjela kreiranih politika odgovarajućim Active Directory kontejnerima (OU). U našem primjeru, OU struktura u AD domenu je što jednostavnija: postoje dva kontejnera – Serveri (sadrži sve servere organizacije, pored kontrolera domena) i WKS (Radne stanice – korisnički računari).

Savjet. Razmatramo samo jednu prilično jednostavnu opciju za vezivanje WSUS politika za klijente. U stvarnim organizacijama, moguće je vezati jednu WSUS politiku za sve računare u domeni (GPO sa WSUS postavkama je vezan za koren domene), distribuirati različite tipove klijenata u različitim OU (kao u našem primeru - mi kreirane različite WSUS politike za servere i radne stanice), u velikim distribuiranim domenima mogu biti povezani, ili dodijeljeni GPO-ovi na osnovu, ili kombinacija gore navedenih metoda.

Da biste dodijelili politiku OU, kliknite na željenu OU u konzoli za upravljanje pravilima grupe i odaberite stavku menija Veza kao postojeći GPO i izaberite odgovarajuću politiku.

Savjet. Ne zaboravite na poseban OU sa kontrolerima domena (Kontroleri domena); u većini slučajeva, ovom kontejneru treba dodijeliti politiku WSUS “server”.

Na potpuno isti način, potrebno je da dodijelite Politiku WorkstationWSUSPolicy AD WKS kontejneru u kojem se nalaze Windows radne stanice.

Sve što ostaje je ažuriranje grupnih politika na klijentima kako bi se klijent vezao za WSUS server:

Sve postavke sistema Windows ažuriranja koje smo postavili pomoću grupnih politika trebalo bi da se pojave u registru klijenata u grani HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Ova reg datoteka se može koristiti za prijenos WSUS postavki na druge računare koji ne mogu konfigurirati postavke ažuriranja koristeći GPO (računari u radnoj grupi, izolirani segmenti, DMZ, itd.)

Windows Registry Editor verzija 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Serveri"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Takođe je zgodno kontrolisati primenjene WSUS postavke na klijentima pomoću rsop.msc.

I nakon nekog vremena (u zavisnosti od broja ažuriranja i propusnog opsega kanala do WSUS servera), morate provjeriti u traci iskačuće obavijesti o prisutnosti novih ažuriranja. Klijenti bi se trebali pojaviti na WSUS konzoli u odgovarajućim grupama (tabela prikazuje ime klijenta, IP, OS, procenat njih “zakrpljenih” i datum posljednjeg ažuriranja statusa). Jer Dodelili smo računare i servere raznim WSUS grupama prema smernicama; oni će primati samo ažuriranja odobrena za instalaciju u odgovarajućim WSUS grupama.

Bilješka. Ako se ažuriranja ne pojave na klijentu, preporučuje se da pažljivo pregledate dnevnik usluge Windows Update na problematičnom klijentu (C:\Windows\WindowsUpdate.log). Imajte na umu da Windows 10 (Windows Server 2016) koristi . Klijent preuzima ažuriranja u lokalni folder C:\Windows\SoftwareDistribution\Download. Da biste započeli traženje novih ažuriranja na WSUS serveru, trebate pokrenuti naredbu:

wuauclt/detectnow

Takođe, ponekad morate prisilno ponovo registrovati klijenta na WSUS serveru:

wuauclt /detectnow /resetAuthorization

U posebno teškim slučajevima možete pokušati popraviti uslugu wuauserv. Ako se to dogodi, pokušajte da promenite učestalost provere ažuriranja na WSUS serveru pomoću politike učestalosti otkrivanja automatskog ažuriranja.

U sljedećem članku ćemo opisati karakteristike. Takođe preporučujemo da pročitate članak između grupa na WSUS serveru.

Sa razvojem Interneta, stalno ažuriranje operativnog sistema postalo je uobičajeno. Sada programeri mogu popraviti i poboljšati sistem tokom čitavog perioda podrške. Ali česta ažuriranja Windows 10 nisu uvijek zgodna. Zato bi bilo dobro da ih možete isključiti.

Razlozi za isključivanje automatskog ažuriranja

Razlozi mogu biti vrlo različiti, a samo vi možete odlučiti koliko vam je potrebno da onemogućite ažuriranja. Vrijedi uzeti u obzir da se uz poboljšanja određenih mogućnosti isporučuju i važne popravke za sistemske ranjivosti. Pa ipak, situacije kada bi nezavisna ažuriranja trebala biti onemogućena često se javljaju:

  • plaćeni internet - ponekad je ažuriranje prilično veliko i njegovo preuzimanje može biti skupo ako plaćate promet. U tom slučaju, bolje je odgoditi preuzimanje i preuzimanje kasnije pod drugim uvjetima;
  • nedostatak vremena - nakon preuzimanja, ažuriranje će početi da se instalira dok je računar isključen. Ovo može biti nezgodno ako trebate brzo prekinuti posao, na primjer na laptopu. Ali ono što je još gore je da će prije ili kasnije Windows 10 zahtijevati da ponovo pokrenete računalo, a ako to ne učinite, nakon nekog vremena će ponovno pokretanje biti prisilno. Sve to odvlači pažnju i ometa rad;
  • sigurnost - iako sama ažuriranja često sadrže važne sistemske promjene, niko nikada ne može sve predvidjeti. Kao rezultat toga, neka ažuriranja mogu otvoriti vaš sistem za napad virusa, dok će ga druga jednostavno pokvariti odmah nakon instalacije. Razuman pristup u ovoj situaciji je ažuriranje neko vrijeme nakon objavljivanja sljedeće verzije, nakon što smo prethodno proučili recenzije.

Onemogućite automatska ažuriranja za Windows 10

Postoji mnogo načina da isključite ažuriranja za Windows 10. Neki od njih su vrlo jednostavni za korisnika, drugi su složeniji, a treći zahtijevaju instalaciju programa trećih strana.

Onemogućavanje putem centra za ažuriranje

Korištenje ažuriranja za njegovo onemogućavanje nije najbolja opcija, iako ga Microsoft programeri nude kao službeno rješenje. Možete zapravo isključiti automatsko preuzimanje ažuriranja putem njihovih postavki. Problem je što će ovo rješenje na ovaj ili onaj način biti privremeno. Izdavanje većeg ažuriranja za Windows 10 će promijeniti ovu postavku i vratiti sistemska ažuriranja. Ali ipak ćemo proučiti proces gašenja:

Nakon ovih promjena, manja ažuriranja se više neće instalirati. Ali ovo rješenje vam neće pomoći da se zauvijek riješite preuzimanja ažuriranja.