iOS 

Postavljanje ažuriranja Windows XP wsus. Konfiguriranje WSUS klijenata pomoću pravila grupe. Uklanjanje usluge iz automatskog pokretanja

Automatska ažuriranja važna su funkcionalna značajka svakog operativnog sustava. Zahvaljujući njemu, računalo prima važna ažuriranja na vrijeme, čineći sustav stabilnijim i sigurnijim. U sustavu Windows 7 funkcija se inicijalno aktivira. To znači da ako postoji veza s Microsoftovim poslužiteljima, usluga ažuriranja provjerava dostupnost svježih paketa, preuzima ih i instalira. Obično se svi procesi odvijaju gotovo nezapaženo od strane korisnika, ali kada se pojavljuju stalne ponude za nadogradnju na 10, to je već pretjerano.

Teoretski, nema potrebe za onemogućavanjem automatskog preuzimanja ažuriranja. Korisno je jer uklanja sigurnosne rupe, optimizira rad OS-a i dodaje mu nove značajke (što se tiče "desetki"). Tu je i popis razloga zašto bi usluga automatskog ažuriranja trebala biti onemogućena:

  1. Korisniku se ne sviđa što tijekom ažuriranja brzina interneta pada i/ili se računalo ne može isključiti na dulje vrijeme.
  2. Računalo ima skup ili ograničen bežični internet.
  3. Problemi nakon pokretanja ažuriranog OS-a.
  4. Greške tijekom instalacije paketa ažuriranja.
  5. Nema dovoljno prostora na volumenu sustava da bi se prilagodio povećanom volumenu sustava Windows 7, koji raste sa svakim ažuriranjem.

Vrste

Ipak, prije nego što onemogućite ažuriranje sustava Windows 7, razmislite je li ono doista potrebno. Osim deaktivacije usluge, moguće ju je prebaciti na sljedeće načine rada.

  1. Potpuno automatski - operacije se odvijaju bez intervencije korisnika, samo se obavještava korisnika da je instalacija paketa završena.
  2. Pretražuje i preuzima najnovije popravke prema rasporedu, a instalaciju paketa obavlja sam korisnik.
  3. Automatska provjera i obavještavanje korisnika o dostupnosti ažuriranja.
  4. Samoažuriranje je onemogućeno. Sve se radi ručno.

Opcije su odabrane u komponenti Update Center.

Metode odspajanja

Postavke bilo kojeg sustava Windows pohranjene su u njegovom registru. Ključu koji je odgovoran za postavke Centra za ažuriranje možete pristupiti na nekoliko jednostavnih i nekoliko složenijih načina. Pogledajmo ih sve.

Promijenite postavke Centra za ažuriranje

Počnimo s postavljanjem usluge za sebe. Da biste pristupili konfiguracijskom sučelju, morate otvoriti “Centar za ažuriranje” na jedan od sljedećih načina.

Sustav

  1. Kroz kontekstni izbornik Moje računalo pozovite njegova "Svojstva".
  1. U lijevom okomitom izborniku kliknite na odgovarajuću poveznicu koja se nalazi na dnu prozora.

  1. Idite na "Upravljačku ploču".
  2. Otvorite odjeljak "Sustav, sigurnost".
  1. Nazovite istoimeni element.

Ako su stavke upravljačke ploče prikazane kao ikone, a ne kategorije, poveznica na stavku pojavit će se u glavnom prozoru.

  1. Dakle, nakon što uđete u željeni prozor, kliknite "Parametri postavki".
  1. Prijeđite na odjeljak "Važna ažuriranja" i odaberite odgovarajuću opciju s padajućeg popisa.

Jedini način da potpuno onemogućite primanje ažuriranja na računalu sa sustavom Windows 7 je zaustaviti uslugu.

Onemogućavanje usluge

Upravljanje uslugama u "sedam" odvija se kroz:

  • izravno uređivanje ključeva registra, što je vrlo nezgodno;
  • programi trećih strana za konfiguriranje OS-a (preskočit ćemo ovu opciju);
  • MMC konzola snap-in;
  • sistemska konfiguracija;
  • naredbeni redak;
  • Uređivač grupnih pravila (prisutan u sustavu Windows 7 Ultimate, Enterprise).

Uklanjanje usluge iz automatskog pokretanja

Najbrži način da onemogućite ažuriranja je putem konfiguratora sustava.

  1. Izvršite “msconfig” u prozoru tumača naredbi koji će se otvoriti nakon što držite pritisnute tipke Win + R ili kliknete na gumb “Pokreni” u Startu.
  1. Idite na karticu "Usluge".
  2. Pronađite “Windows Update” (možda Windows Update) i poništite okvir pokraj njega.
  1. Spremite nove postavke.

Do kraja tekuće sesije, usluga će raditi, pravilno obavljajući zadatke koji su joj dodijeljeni. Za primjenu nove konfiguracije potrebno je ponovno pokrenuti Windows 7.

Upotrijebimo dodatak MMC konzole

Istoimeni dodatak konzole sustava omogućuje pristup upravljanju svim uslugama na računalu. Počinje ovako.

  1. Otvorite kontekstni izbornik direktorija "Moje računalo".
  2. Pozovite naredbu "Upravljanje".
  1. U lijevom okomitom izborniku proširite stavku "Usluge i aplikacije". Zatim kliknite vezu "Usluge".

Jednostavnija opcija za pozivanje istog prozora bila bi pokretanje naredbe “services.msc” kroz dijaloški okvir “Pokreni”.

  1. Dođite do samog kraja popisa usluga i otvorite "Svojstva" usluge Windows Update.
  1. Na padajućem popisu "Vrsta pokretanja" odaberite "Onemogućeno" umjesto "Automatski" kako biste se zauvijek oprostili od automatskih ažuriranja. Ako sada trebate onemogućiti uslugu, svakako kliknite "Zaustavi". Spremite nove postavke pomoću gumba "Primijeni" i zatvorite sve prozore.

Računalo se ne mora ponovno pokrenuti za primjenu postavki.

Uređivač pravila grupe

Još jedan MMC dodatak koji se zove uređivač pravila lokalne grupe pomoći će vam da konfigurirate bilo koji parametar sustava.

Nije dostupan u kućnom izdanju Sedmice!

  1. Alat se pokreće pokretanjem naredbe “gpedit.msc” kroz prozor “Pokreni”.
  1. U pododjeljku "Konfiguracija računala" proširite granu "Administrativni predlošci".
  1. Otvorite “Komponente sustava Windows” i potražite Centar za ažuriranje.
  2. Na desnoj strani prozora nalazimo parametar čije ime počinje s "Postavljanje automatskog ažuriranja".
  3. Pozovite njegove postavke.
  1. Pomaknite potvrdni okvir na položaj "Onemogući" i kliknite "U redu" kako biste zatvorili prozor i spremili promjene.

Upotrijebimo naredbeni redak

Kroz naredbeni redak izvode se sve iste operacije kao i korištenjem grafičkog sučelja, pa čak i više, ali u tekstualnom načinu. Glavna stvar je znati njihovu sintaksu i parametre.

Naredba “cmd” odgovorna je za pozivanje naredbenog retka.

  1. Otvorite interpreter naredbi i izvršite ga.


Objavio 18. veljače 2009. · Nema komentara

U ovom ću vam članku reći o nekim ključevima registra koji su povezani s Windows Updateom. Pokazat ću vam različite opcije koje ti ključevi registra mogu prihvatiti.

Ako ste propustili drugi dio ovog članka, pročitajte

Iako su i Windows Update i WSUS općenito prilično jednostavni za konfiguriranje, ponekad možete dobiti veću kontrolu unosom nekih promjena u Windows registar. U ovom ću vam članku pokazati neke ključeve registra koji su povezani s Windows Updateom. Pokazat ću vam različite opcije koje ti ključevi registra mogu prihvatiti.

Početi

Prvo ću razveseliti odvjetnike i upozoriti da izmjene u registru mogu biti vrlo opasne. Unos netočnih postavki registra može dovesti do uništenja sustava Windows i/ili bilo koje pokrenute aplikacije na računalu. Prije nego što pokušate napraviti promjene u registru, morate napraviti punu sigurnosnu kopiju sustava, spreman sam vam pokazati kako se to radi.

Ima još jedna stvar o kojoj ti moram reći. Fino podešavanje o kojem vam želim reći odnosi se samo na računala sa sustavom Windows XP. Možete izravno napraviti promjene na određenim strojevima ili ih možete primijeniti kao dio skripte za prijavu. Također, neki od ključeva o kojima ću govoriti možda ne postoje prema zadanim postavkama. Ako želite koristiti ključ koji ne postoji, prvo ga morate izraditi. Također biste trebali znati da se ponašanje ažuriranja sustava Windows može kontrolirati pomoću pravila grupe. Grupna pravila ponekad mogu modificirati ključeve registra tako da slijede ponašanje koje specificiraju.

Eskalacija privilegija

Jedan od problema s dobivanjem ažuriranja s WSUS poslužitelja je taj što korisnici ne mogu odobriti ili odbiti ažuriranja osim ako nisu članovi lokalne administratorske grupe. Međutim, možete koristiti registar za podizanje korisničkih povlastica tako da mogu instalirati ili odbiti instalirati promjene, bez obzira jesu li članovi lokalne administratorske grupe ili ne. S druge strane, također možete spriječiti korisnike da instaliraju ažuriranja i to pravo prepustiti administratoru (Admin).

Ključ registra koji je odgovoran za ovo je: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins

Ključ ElevateNonAdmins ima dvije moguće vrijednosti. Zadana vrijednost 1 omogućuje korisnicima koji nisu administratori da instaliraju ažuriranja. Ako ovu vrijednost promijenite na 0, samo će administratori moći instalirati ažuriranja.

Ciljane skupine

Jedna od sjajnih stvari s WSUS-om je ta što omogućuje ciljanje na strani klijenta. Ideja s pozicioniranjem na strani klijenta je da možete definirati različite grupe računala i distribuirati prava za instaliranje ažuriranja ovisno o članstvu u grupi. Prema zadanim postavkama, pozicioniranje na strani klijenta se ne koristi, ali ako ga odlučite koristiti, postoje dva ključa registra koji će vam pomoći u tome. Prvi od ovih ključeva uključuje ciljanje na strani klijenta, a drugi označava naziv grupe kojoj računalo pripada. Oba ova ključa moraju biti kreirana u: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

Prvi ključ je DWORD ključ pod nazivom TargetGroupEnabled. Ovaj ključ možete postaviti na 0, što onemogućuje ciljanje na strani klijenta, ili na 1, što omogućuje ciljanje na strani klijenta.

Drugi ključ koji biste trebali stvoriti trebao bi se zvati TargetGroup i imati vrijednost niza. Vrijednost ovog ključa mora biti naziv grupe kojoj računalo treba biti dodijeljeno.

Instaliranje WSUS poslužitelja

Ako ste se neko vrijeme bavili webom, vjerojatno znate da se web dizajn s vremenom mijenja. Stvari poput rasta tvrtke, novih sigurnosnih zahtjeva i korporativnih ograničenja često čine osnovu za mrežne promjene. Kako se to odnosi na ažuriranja sustava Windows? WSUS je skalabilan i može se instalirati na hijerarhijski način. To znači da organizacija može imati instalirano više WSUS poslužitelja. Ako se računalo premjesti u drugi dio tvrtke, WSUS poslužitelj koji je izvorno definiran za to računalo možda više neće odgovarati novoj lokaciji. Srećom, nekoliko jednostavnih izmjena registra može promijeniti WSUS poslužitelj s kojeg računalo prima ažuriranja.

Postoje dva ključa koji se koriste za identifikaciju WSUS poslužitelja. Svaki od njih nalazi se u: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Prvi ključ se zove WUServer. Ovaj ključ mora biti postavljen na tekstualnu vrijednost koja opisuje URL WSUS poslužitelja (na primjer: http://ime poslužitelja).

Drugi ključ koji biste trebali promijeniti je ključ pod nazivom WUStatusServer. Ideja s ovim ključem je da računalo (PC) treba prijaviti svoj status WSUS poslužitelju tako da WSUS poslužitelj može znati koje su promjene instalirane na računalu. WUStatusServer ključ obično sadrži točno istu vrijednost kao WUServer ključ (na primjer: http://servername).

Agent za automatsko ažuriranje

Dakle, govorio sam o tome kako spojiti računalo (PC) na određeni WSUS poslužitelj ili za određenu skupinu (ciljanu skupinu), ali to je samo pola procesa. Windows Update koristi agenta za ažuriranje koji zapravo instalira ažuriranja. Postoji nekoliko ključeva registra koji se nalaze u HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU koji kontroliraju agenta za automatsko ažuriranje.

Prva od ovih tipki je tipka AUOptions. Ova DWORD vrijednost može se postaviti na 2, 3, 4 ili 5. Vrijednost 2 znači da bi agent trebao obavijestiti korisnika kada se ažuriranja preuzmu. Vrijednost 3 znači da će se ažuriranje automatski preuzeti i da će korisnik biti obaviješten o instalaciji. Vrijednost 4 znači da se ažuriranje treba automatski preuzeti i instalirati prema rasporedu. Kako bi ova opcija radila, također morate postaviti vrijednosti za ključeve ScheduledInstallDay i ScheduledInstallTime. Kasnije ću više govoriti o ovim ključevima. Konačno, vrijednost 5 znači da je potrebno automatsko ažuriranje, ali to mogu konfigurirati krajnji korisnici.

Sljedeći ključ o kojem želim govoriti je ključ AutoInstallMinorUpdates. Ovaj ključ može imati vrijednost 0 ili 1. Ako je vrijednost ključa 0, tada se manja ažuriranja obrađuju isto kao i sva druga ažuriranja. Ako je vrijednost ključa 1, tada se manja ažuriranja tiho instaliraju u pozadini.

Drugi ključ povezan s agentom za automatsko ažuriranje je ključ DetectionFrequency. Ovaj ključ vam omogućuje da postavite koliko često agent treba provjeravati ažuriranja. Vrijednost ključa mora biti cijeli broj od 1 do 22, što odražava broj sati između pokušaja traženja ažuriranja.

Ključ registra povezan s njim je ključ DetectionFrequencyEnabled. Kao što ime sugerira, ova tipka vam omogućuje da omogućite ili onemogućite funkciju detekcije frekvencije. Ako postavite vrijednost ovog ključa na 0, tada će vrijednost ključa DetectionFrequency biti zanemarena, a ako postavite vrijednost ovog ključa na 1, tada će agent morati koristiti vrijednost ključa DetectionFrequency.

Sljedeći ključ o kojem želim govoriti je ključ NoAutoUpdate. Ako je vrijednost ovog ključa 0, omogućeno je automatsko ažuriranje. Ako je vrijednost ključa 1, automatsko ažuriranje je onemogućeno.

Posljednji ključ registra o kojem želim govoriti je ključ NoAutoRebootWithLoggedOnUsers. Kao što vjerojatno znate, neka ažuriranja možda neće stupiti na snagu bez ponovnog pokretanja sustava. Ako korisnik radi u ovom trenutku, ponovno pokretanje može biti vrlo nepoželjno. Ovo je osobito istinito ako je korisnik otišao od svog stola i nije spremio svoj rad. U ovom slučaju pomoći će ključ NoAutoRebootWithLoggedOnUsers. Vrijednost ovog ključa može biti 0 ili 1. Ako je vrijednost ključa 0, korisnici će dobiti upozorenje od 5 minuta prije nego što se sustav automatski ponovno pokrene. Ako je vrijednost ključa 1, tada će korisnici jednostavno primiti poruku u kojoj se traži dopuštenje za ponovno pokretanje, ali korisnici to mogu odabrati prema vlastitom nahođenju.

Zaključak

Postoji mnogo više ključeva registra koji se odnose na Windows Update. O ostalima ću govoriti u drugom dijelu ovog članka.

www.windowsnetworking.com


Vidi također:

Komentari čitatelja (Bez komentara)

Razmjena 2007

Ako želite pročitati prethodne dijelove ove serije članaka, molimo slijedite poveznice: Praćenje sustava Exchange 2007 pomoću upravitelja sustava...

Uvod U ovom višedijelnom članku, želim vam pokazati proces koji sam nedavno koristio za migraciju iz postojećeg okruženja Exchange 2003...

Ako ste propustili prvi dio ove serije, pročitajte ga na Korištenje alata za analizu daljinske povezanosti Exchange Servera (dio...

Ako ste propustili prethodni dio ove serije članaka, idite na Praćenje sustava Exchange 2007 pomoću System Center Operations Managera...

Pozdrav svima, danas još jedna napomena za sebe, naime popis poslužitelja Windows Update. Zašto bi ovo moglo biti korisno, na primjer, ako ste dobili pogrešku Update not found kada instalirate WSUS ulogu, ili obrnuto iz nekog razloga ih želite zabraniti, da uštedite promet ako nemate WSUS, jer nisu svi Windowsi ažuriranja su dobra, a posebno u modernim verzijama, mislim da nema smisla podsjećati na pogrešku, iako se ovaj popis može nastaviti jako dugo. Razlog nije važan, glavna stvar je znati da postoji i da možete nekako raditi s njim. U nastavku ću vam pokazati metode za blokiranje adresa Microsoftovih poslužitelja za ažuriranje, univerzalne, prikladne za pojedinačno računalo i za centralizirano upravljanje unutar poduzeća.

Zašto se Windows ažuriranja ne instaliraju?

Ovdje je snimak zaslona pogreške ako adresa vašeg Microsoftovog poslužitelja za ažuriranje nije dostupna. Kao što vidite, pogreška nije vrlo informativna. Dobivam ga na poslužitelju koji igra ulogu WSUS-a, za one koji se ne sjećaju što je to, onda je ovo lokalni centar za ažuriranje za poduzeća, radi uštede prometa, a ovdje se ažuriranja za Windows ne instaliraju zbog nedostatak dostupnosti Microsoftovih poslužitelja.

Što učiniti ako ažuriranja za Windows nisu instalirana

  • Prije svega provjerite imate li internet, jer je njegova prisutnost obavezna za većinu ljudi, osim naravno ako nemate Active Directory domenu i preuzimate ih sa svog WSUS-a
  • Dalje, ako postoji internet, pogledajte kod greške, jer po njemu trebate tražiti informacije o rješavanju problema (iz nedavnih problema mogu dati primjer kako se rješava pogreška 0x80070422 ili pogreška c1900101), ali popis se također može čuvati jako dugo.
  • Na našem proxy poslužitelju provjeravamo postoji li zabrana sljedećih adresa poslužitelja za ažuriranje Microsofta.

Sam popis Microsoftovih poslužitelja za ažuriranje

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

U jednom od prethodnih članaka detaljno smo opisali postupak. Nakon što ste konfigurirali poslužitelj, trebate konfigurirati Windows klijente (poslužitelje i radne stanice) da koriste WSUS poslužitelj za primanje ažuriranja, tako da klijenti primaju ažuriranja s internog poslužitelja za ažuriranje, a ne s Microsoft Update poslužitelja preko Interneta. U ovom ćemo članku proći kroz proceduru za konfiguriranje klijenata za korištenje WSUS poslužitelja pomoću grupnih pravila domene Active Directory.

Pravila grupe AD dopuštaju administratoru da automatski dodjeljuje računala različitim WSUS grupama, eliminirajući potrebu za ručnim premještanjem računala između grupa u WSUS konzoli i održavanjem tih grupa ažurnim. Dodjela klijenata različitim ciljnim skupinama WSUS-a temelji se na oznaci registra na klijentu (oznake se postavljaju grupnim pravilima ili izravnim uređivanjem registra). Ova vrsta dodjele klijenata WSUS grupama se zove klijentstranaciljanje(Ciljanje na strani klijenta).

Pretpostavlja se da će naša mreža koristiti dva različita pravila ažuriranja - zasebno pravilo instalacije ažuriranja za poslužitelje ( poslužitelji) i za radne stanice ( Radne stanice). Ove dvije grupe potrebno je kreirati u WSUS konzoli u odjeljku Sva računala.

Savjet. Pravila za to kako klijenti koriste WSUS poslužitelj za ažuriranje uvelike ovise o organizacijskoj strukturi OU-a u Active Directoryju i pravilima instalacije ažuriranja organizacije. U ovom ćemo članku pogledati samo određenu opciju koja vam omogućuje razumijevanje osnovnih načela korištenja AD pravila za instaliranje ažuriranja sustava Windows.

Prije svega, trebate odrediti pravilo za grupiranje računala u WSUS (targeting) konzoli. Prema zadanim postavkama, u WSUS konzoli, administrator ručno raspodjeljuje računala u grupe (ciljanje na strani poslužitelja). Nismo zadovoljni s tim, stoga ćemo istaknuti da su računala raspoređena u grupe na temelju ciljanja na strani klijenta (po određenom ključu u registru klijenata). Da biste to učinili, u WSUS konzoli idite na odjeljak Mogućnosti i otvorite parametar Računala. Promijenite vrijednost u Koristite pravila grupe ili postavke registra na računalima(Koristite pravila grupe ili postavke registra na računalima).

Sada možete stvoriti GPO za konfiguriranje WSUS klijenata. Otvorite konzolu za upravljanje grupnim pravilima domene i kreirajte dvije nove grupne politike: ServerWSUSPolicy i WorkstationWSUSPolicy.

Pravila grupe WSUS za Windows poslužitelje

Počnimo s opisom politike poslužitelja ServerWSUSPolicy.

Postavke pravila grupe odgovorne za rad usluge Windows Update nalaze se u odjeljku GPO: RačunaloKonfiguracija -> Politike-> Upravnišablone-> Windowskomponenta-> WindowsAžuriraj(Konfiguracija računala -> Administrativni predlošci -> Komponente sustava Windows -> Ažuriranje sustava Windows).

U našoj organizaciji očekujemo korištenje ovog pravila za instaliranje WSUS ažuriranja na Windows poslužiteljima. Očekuje se da će sva računala obuhvaćena ovom politikom biti dodijeljena grupi poslužitelja na WSUS konzoli. Osim toga, želimo spriječiti automatsku instalaciju ažuriranja na poslužiteljima kada ih primimo. WSUS klijent mora jednostavno preuzeti dostupna ažuriranja na disk, prikazati upozorenje za nova ažuriranja u programskoj traci i pričekati da administrator pokrene instalaciju (bilo ručno ili daljinski koristeći ) kako bi započeo instalaciju. To znači da produktivni poslužitelji neće automatski instalirati ažuriranja i ponovno se pokrenuti bez odobrenja administratora (obično ove radove obavlja administrator sustava kao dio planiranog mjesečnog održavanja). Da bismo implementirali takvu shemu, postavit ćemo sljedeća pravila:

  • KonfiguriratiAutomatskinadopune(Postavljanje automatskog ažuriranja): Omogućiti. 3 – Automatskipreuzimanje datotekaiobavijestitizainstalirati(Automatski preuzima ažuriranja i obavještava vas kada budu spremna za instalaciju)– klijent automatski preuzima nova ažuriranja i obavještava o njihovoj dostupnosti;
  • NavediteIntranetMicrosoftAžurirajservismjesto(Navedite intranetsku lokaciju Microsoft Update): Omogućiti. Postavite intranetsku uslugu ažuriranja za otkrivanje ažuriranja: http://srv-wsus.site:8530, Postavite intranet poslužitelj statistike: http://srv-wsus.site:8530– ovdje morate navesti adresu vašeg WSUS poslužitelja i statističkog poslužitelja (obično su isti);
  • Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja(Nemojte automatski ponovno pokretati sustav kada automatski instalirate ažuriranja ako postoje korisnici koji rade na sustavu): Omogućiti– zabrani automatsko ponovno pokretanje kada postoji korisnička sesija;
  • Omogućitiklijent-stranaciljanje ( Dopustite klijentu da se pridruži ciljnoj skupini): Omogućiti. Naziv ciljne skupine za ovo računalo: poslužitelji– u WSUS konzoli dodijelite klijente grupi Servers.

Bilješka. Prilikom postavljanja pravila ažuriranja, preporučujemo da se pažljivo upoznate sa svim postavkama dostupnim u svakoj od opcija u odjeljku GPO WindowsAžuriraj i postavite parametre koji odgovaraju vašoj infrastrukturi i organizaciji.

Pravila instalacije ažuriranja WSUS-a za radne stanice

Pretpostavljamo da će se ažuriranja na klijentskim radnim stanicama, za razliku od pravila poslužitelja, automatski instalirati noću odmah nakon primanja ažuriranja. Nakon instaliranja ažuriranja, računala bi se trebala automatski ponovno pokrenuti (upozorenje korisnika 5 minuta unaprijed).

U ovom GPO-u (WorkstationWSUSPolicy) navodimo:

  • DopustiAutomatskinadopuneneposrednamontaža(Dopusti trenutnu instalaciju automatskih ažuriranja): Onemogućeno- zabrana trenutne instalacije ažuriranja nakon što su primljena;
  • Dopustine- administratoridoprimitiAžurirajobavijesti(Dopusti korisnicima koji nisu administratori primanje obavijesti o ažuriranju): Omogućeno- prikazati upozorenje neadministratorima o novim ažuriranjima i omogućiti njihovu ručnu instalaciju;
  • Konfigurirajte automatska ažuriranja:Omogućeno. Konfigurirajte automatsko ažuriranje: 4 - Automatsko preuzimanje i zakazivanje instalacije. Planirani dan instalacije: 0 - Svakidan. Zakazano vrijeme instalacije: 05:00 – kada se primi nova ažuriranja, klijent ih preuzima u lokalnu predmemoriju i zakazuje njihovu automatsku instalaciju u 5:00 ujutro;
  • Naziv ciljne skupine za ovo računalo: Radne stanice– u WSUS konzoli dodijelite klijenta grupi Radne stanice;
  • Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja: Onemogućeno- sustav će se automatski ponovno pokrenuti 5 minuta nakon završetka instalacije ažuriranja;
  • Navedite intranet Microsoftovu lokaciju usluge ažuriranja: Omogući. Postavite intranetsku uslugu ažuriranja za otkrivanje ažuriranja: http://srv-wsus.site:8530, Postavite intranet poslužitelj statistike: http://srv-wsus.site:8530– adresa korporativnog WSUS poslužitelja.

U sustavu Windows 10 1607 i novijim, iako ste im rekli da dobivaju ažuriranja s internog WSUS-a, oni će možda pokušati kontaktirati poslužitelje Windows Update na Internetu. Ova se "osobina" zove DualSkenirati. Da biste onemogućili primanje ažuriranja s interneta, morate dodatno omogućiti pravilo ČininedopustitiAžurirajodgodapolitikedouzrokskeniraprotivWindowsAžuriraj ().

Savjet. Kako bi se poboljšala "razina krpanja" računala u organizaciji, obje politike mogu se konfigurirati da prisilno pokreću uslugu ažuriranja (wuauserv) na klijentima. Da biste to učinili, u odjeljku Konfiguracija računala -> Pravila-> Postavke sustava Windows -> Sigurnosne postavke -> Usluge sustava Pronađite uslugu Windows Update i postavite je da se automatski pokreće ( Automatski).

Dodjeljivanje WSUS pravila OU-ima Active Directory-a

Sljedeći korak je dodjeljivanje kreiranih pravila odgovarajućim spremnicima aktivnog imenika (OU). U našem primjeru OU struktura u AD domeni je najjednostavnija: postoje dva spremnika – Servers (sadrži sve servere organizacije, osim kontrolera domene) i WKS (Workstations – korisnička računala).

Savjet. Razmatramo samo jednu prilično jednostavnu opciju za vezanje WSUS pravila za klijente. U stvarnim organizacijama moguće je vezati jedno WSUS pravilo za sva računala u domeni (GPO s WSUS postavkama priložen je korijenu domene), za distribuciju različitih tipova klijenata po različitim OU (kao u našem primjeru - mi stvorena različita WSUS pravila za poslužitelje i radne stanice), u velikim distribuiranim domenama mogu se povezati ili dodijeliti GPO-ovi na temelju ili kombinaciji gore navedenih metoda.

Da biste dodijelili politiku OU-u, kliknite na željeni OU u konzoli za upravljanje pravilima grupe i odaberite stavku izbornika Poveži kao postojeći GPO i odaberite odgovarajuću politiku.

Savjet. Ne zaboravite na zasebnu OU s kontrolerima domene (kontrolori domene); u većini slučajeva ovom spremniku treba dodijeliti politiku WSUS "poslužitelja".

Na potpuno isti način trebate dodijeliti WorkstationWSUSPolicy pravilo AD WKS spremniku u kojem se nalaze Windows radne stanice.

Sve što preostaje je ažurirati pravila grupe na klijentima kako bi se klijent vezao na WSUS poslužitelj:

Sve postavke sustava za ažuriranje sustava Windows koje postavljamo pomoću grupnih pravila trebale bi se pojaviti u registru klijenata u grani HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Ova reg datoteka može se koristiti za prijenos WSUS postavki na druga računala koja ne mogu konfigurirati postavke ažuriranja koristeći GPO (računala u radnoj grupi, izolirani segmenti, DMZ, itd.)

Windows Registry Editor verzija 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Poslužitelji"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOpcije"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Također je zgodno kontrolirati primijenjene WSUS postavke na klijentima pomoću rsop.msc.

I nakon nekog vremena (ovisno o broju ažuriranja i propusnosti kanala do WSUS poslužitelja), trebate provjeriti u traci skočne obavijesti o prisutnosti novih ažuriranja. Klijenti bi se trebali pojaviti u WSUS konzoli u odgovarajućim grupama (tablica prikazuje ime klijenta, IP, OS, postotak "zakrpanih" i datum zadnjeg ažuriranja statusa). Jer Računala i poslužitelje dodijelili smo različitim WSUS grupama prema pravilima; oni će primati samo ažuriranja odobrena za instalaciju u odgovarajućim WSUS grupama.

Bilješka. Ako se ažuriranja ne pojavljuju na klijentu, preporuča se pažljivo pregledati zapisnik usluge Windows Update Service na problematičnom klijentu (C:\Windows\WindowsUpdate.log). Imajte na umu da Windows 10 (Windows Server 2016) koristi . Klijent preuzima ažuriranja u lokalnu mapu C:\Windows\SoftwareDistribution\Download. Da biste započeli traženje novih ažuriranja na WSUS poslužitelju, morate pokrenuti naredbu:

wuauclt/detectnow

Također, ponekad morate nasilno ponovno registrirati klijenta na WSUS poslužitelju:

wuauclt /detectnow /resetAuthorization

U posebno teškim slučajevima možete pokušati popraviti uslugu wuauserv. Ako se to dogodi, pokušajte promijeniti učestalost provjere ažuriranja na WSUS poslužitelju pomoću pravila učestalosti otkrivanja automatskog ažuriranja.

U sljedećem članku ćemo opisati značajke. Također preporučujemo da pročitate članak između grupa na WSUS poslužitelju.

S razvojem Interneta, stalno ažuriranje operativnog sustava postalo je uobičajeno. Sada programeri mogu popraviti i poboljšati sustav tijekom cijelog razdoblja podrške. Ali česta ažuriranja sustava Windows 10 nisu uvijek zgodna. Zato bi bilo dobro da ih možete isključiti.

Razlozi za isključivanje automatskog ažuriranja

Razlozi mogu biti vrlo različiti, a samo vi možete odlučiti koliko trebate onemogućiti ažuriranja. Vrijedno je uzeti u obzir da se uz poboljšanja određenih mogućnosti isporučuju i važni popravci za ranjivosti sustava. Pa ipak, često se javljaju situacije kada bi neovisna ažuriranja trebala biti onemogućena:

  • plaćeni internet - ponekad je ažuriranje prilično veliko i njegovo preuzimanje može biti skupo ako plaćate promet. U ovom slučaju, bolje je odgoditi preuzimanje i preuzeti kasnije pod drugim uvjetima;
  • nedostatak vremena - nakon preuzimanja ažuriranje će se početi instalirati dok je računalo isključeno. To može biti nezgodno ako morate brzo prekinuti rad, primjerice na prijenosnom računalu. Ali ono što je još gore je to što će prije ili kasnije Windows 10 zahtijevati da ponovno pokrenete računalo, a ako to ne učinite, nakon nekog vremena restart će biti prisilan. Sve to odvlači i ometa rad;
  • sigurnost - iako sama ažuriranja često sadrže važne promjene sustava, nitko nikada ne može sve predvidjeti. Kao rezultat toga, neka ažuriranja mogu otvoriti vaš sustav napadu virusa, dok će ga druga jednostavno pokvariti odmah nakon instalacije. Razuman pristup u ovoj situaciji je ažuriranje neko vrijeme nakon izdavanja sljedeće verzije, nakon što ste prethodno proučili recenzije.

Onemogućite automatsko ažuriranje sustava Windows 10

Postoji mnogo načina za isključivanje ažuriranja sustava Windows 10. Neki od njih su vrlo jednostavni za korisnika, drugi su složeniji, a treći zahtijevaju instalaciju programa trećih strana.

Onemogućivanje putem Centra za ažuriranje

Korištenje ažuriranja za onemogućavanje nije najbolja opcija, iako je Microsoftovi programeri nude kao službeno rješenje. Zapravo možete isključiti automatsko preuzimanje ažuriranja putem njihovih postavki. Problem je u tome što će ovo rješenje na ovaj ili onaj način biti privremeno. Izdanje velikog ažuriranja sustava Windows 10 promijenit će ovu postavku i vratiti ažuriranja sustava. Ali još ćemo proučiti postupak gašenja:

Nakon ovih promjena, manja ažuriranja više se neće instalirati. Ali ovo vam rješenje neće pomoći da se zauvijek riješite preuzimanja ažuriranja.