none
WSUS - GPO nastavení

    Dotaz

  • Zdravím,

    na Management Serveru mám rozjetý WSUS  (2012R2 STD) ( Windows 7,8.1, Office 2010 a 2013). Na doménovém řadiči (2012R2 STD) mám v Group policy vytvořen GPO s názvem WSUS a následně linkován na kontejner Computers, který se rozpadá na notebooks a workstations. 

    Potřeboval bych pomoct s nastavením GPO WSUS, jako základ jsem nastavil 

    Konfigurace automatických aktualizací - 4 - Automaticky stahovat a plánovat instalaci - denně 13:00
    Určit umístění intranetového serveru služby WSUS - http://mg01:8530 a http://mg01:8530 

    U sebe na stanici s W8.1 jsem provedl gpupdate /force > log on > log in > výsledek: http://i.nahraj.to/f/HY1.png

    Prosím o radu, které další parametry nastavit v GPO WSUS. 

    Byl bych rád, kdyby se podařilo nastavit alespoň tohle: 

    • Uživatelovi by se instalovaly updaty každý den v 13:00
    • Stáhnutí i instalace by probíhala automaticky, uživatel nemůže ani jedno odložit
    • Po nainstalování bude upozorněn, že za nějakou dobu bude stanice restartována

    Děkuji


    13. června 2014 11:02

Odpovědi

  • Nene, kazdy mluvime o necem jinem. Je nutne nastavit pravidla na konzoli WSUS serveru, tedy to, co se bude aktualizovat (operacni systemy, aplikace,...). Mrknete na navody

    http://technet.microsoft.com/en-us/library/hh852345.aspx

    S tim OU mi to neni jasne, jak to mate nastavene (ja na to nevidim). V WSUS mam pro kazdy operacni system vytvorenou skupinu. Nepouzivam defaultni OU pro pocitace, ale vytvarim pro kazdy operacni system zamostatnou OU. Je to prehlednejsi, i kdyz zdanlive trochu vic prace.

    Aktualizace jsem resil uplne jinak nez vy. V BIOSu jsou nastavene "budici casy" v noci a na noc je take nasledne naplanovane provedeni aktualizaci. Po provedeni aktualizaci se pocitace dalkove vypnou. To je vyhodny postup pro desktopy. Pro notebooky je dobre se s uzivateli domluvit. Ne kazdemu bude vyhovovat nastaveny cas ve 13h, pokud neni "narizena firemni prestavka".

    M.



    13. června 2014 20:16
    Moderátor
  • Aktualizace jsem resil uplne jinak nez vy. V BIOSu jsou nastavene "budici casy" v noci a na noc je take nasledne naplanovane provedeni aktualizaci...Ne kazdemu bude vyhovovat nastaveny cas ve 13h, pokud neni "narizena firemni prestavka".

    Přesně tak, pokud nemáte možnost buzení po síti (WakeOnLan) tak toto správná cesta.  BFU jinak začnou házet klacky pod nohy, když se jim počítače budou restartovat v době kdy si odběhnou na WC a neuloží rozpracovaný dokument či jinou práci. A to bez ohledu na to že to nemají dělat, bez ohledu na nějaké proškolení na téma best practice. A už vůbec je nesmyslem neumožnit jim odložení restartu! A počitejte že standardních 10 či 15 minut na odložení není dostatečné. Je jenom otázkou času, kdy toto sám tazatel pochopí.

    Je vhodně zvlášť řešit desktopy, zvlášť notebooky, servery. A taky mít nějakou testovací OU, kde budete schvalovat updaty přednostně. Na ostatních OU bych doporučoval jisté zpoždění, v závislosti na tom o jakou aktualizaci se jedná - rychleji schvalovat aktualizace charakteru "critical" (najdete ve WSUSu v položce MSRC severity) než ty se severity "Low".

    Já osobně dávám přednost WoL (výhodou je větší flexibilita oproti buzení Biosem) spouštěnému v noci z Pá na So dávkou ze serveru. A v So večer to můžete pro jistotu zopakovat. Ale dovedu si představit že jinému bude vyhovovat třeba den uprostřed týdne. Jde však o to, nakupovat výhradně desktopy kde WoL funguje (to by dnes mělo být standardem téměř u všech). Nejlépe je mít toto ošetřeno v nákupní smlouvě s dodavatelem a postupně se přirozenou obnovou HW dostat do žádoucího stavu.

    BTW. pokud instalace updatů kombinujete ještě s instalacemi softwaru přes GPO, tak může být vhodné jednotlivé budící Magic pakety neposílat najednou, aby jste si nezahltil síť či server. Záleží na velikosti prostředí resp. počtu desktopů, něco jiného je prostředí s pár desítkami PC, jinak tomu bude u stovek či tisíců.

    16. června 2014 16:26

Všechny reakce

  • Tohle nastaveni funguje, nebo  nefunguje?

    Pokud chcete automaticke aktualizace, pak musite nastavit i na serveru pravidla a spustit je.

    Osobne bych místo Computers pouzival vlastní OU.

    M.

    13. června 2014 11:17
    Moderátor
    • V konzoli WSUSu se mi stanice zobrazuji, ale jak jsem jiz psal, chci docilit toho aby se updaty stahovaly z WSUS serveru automaticky a poté automaticky nainstalovaly - aby uzivatel nemohl do procesu aktualizace vubec zasahovat.
    • jake pravidla mate na mysli ? 
    • mam OU "XXX.local"  v ni computers (workstations & notebooks). 

    13. června 2014 11:24
  • Automatickou instalaci aktualizací docílíš právě tou volbou č.4 "Automaticky stahovat a plánovat instalaci".

    Když ještě navíc zakážeš nastavení "Zakázat automatické restartování v případě přihlášených uživatelů . . .", tak dojde i k automatickému restartu. Ale s tím raději opatrně . . .


    BB


    13. června 2014 11:52
  • Nene, kazdy mluvime o necem jinem. Je nutne nastavit pravidla na konzoli WSUS serveru, tedy to, co se bude aktualizovat (operacni systemy, aplikace,...). Mrknete na navody

    http://technet.microsoft.com/en-us/library/hh852345.aspx

    S tim OU mi to neni jasne, jak to mate nastavene (ja na to nevidim). V WSUS mam pro kazdy operacni system vytvorenou skupinu. Nepouzivam defaultni OU pro pocitace, ale vytvarim pro kazdy operacni system zamostatnou OU. Je to prehlednejsi, i kdyz zdanlive trochu vic prace.

    Aktualizace jsem resil uplne jinak nez vy. V BIOSu jsou nastavene "budici casy" v noci a na noc je take nasledne naplanovane provedeni aktualizaci. Po provedeni aktualizaci se pocitace dalkove vypnou. To je vyhodny postup pro desktopy. Pro notebooky je dobre se s uzivateli domluvit. Ne kazdemu bude vyhovovat nastaveny cas ve 13h, pokud neni "narizena firemni prestavka".

    M.



    13. června 2014 20:16
    Moderátor
  • Aktualizace jsem resil uplne jinak nez vy. V BIOSu jsou nastavene "budici casy" v noci a na noc je take nasledne naplanovane provedeni aktualizaci...Ne kazdemu bude vyhovovat nastaveny cas ve 13h, pokud neni "narizena firemni prestavka".

    Přesně tak, pokud nemáte možnost buzení po síti (WakeOnLan) tak toto správná cesta.  BFU jinak začnou házet klacky pod nohy, když se jim počítače budou restartovat v době kdy si odběhnou na WC a neuloží rozpracovaný dokument či jinou práci. A to bez ohledu na to že to nemají dělat, bez ohledu na nějaké proškolení na téma best practice. A už vůbec je nesmyslem neumožnit jim odložení restartu! A počitejte že standardních 10 či 15 minut na odložení není dostatečné. Je jenom otázkou času, kdy toto sám tazatel pochopí.

    Je vhodně zvlášť řešit desktopy, zvlášť notebooky, servery. A taky mít nějakou testovací OU, kde budete schvalovat updaty přednostně. Na ostatních OU bych doporučoval jisté zpoždění, v závislosti na tom o jakou aktualizaci se jedná - rychleji schvalovat aktualizace charakteru "critical" (najdete ve WSUSu v položce MSRC severity) než ty se severity "Low".

    Já osobně dávám přednost WoL (výhodou je větší flexibilita oproti buzení Biosem) spouštěnému v noci z Pá na So dávkou ze serveru. A v So večer to můžete pro jistotu zopakovat. Ale dovedu si představit že jinému bude vyhovovat třeba den uprostřed týdne. Jde však o to, nakupovat výhradně desktopy kde WoL funguje (to by dnes mělo být standardem téměř u všech). Nejlépe je mít toto ošetřeno v nákupní smlouvě s dodavatelem a postupně se přirozenou obnovou HW dostat do žádoucího stavu.

    BTW. pokud instalace updatů kombinujete ještě s instalacemi softwaru přes GPO, tak může být vhodné jednotlivé budící Magic pakety neposílat najednou, aby jste si nezahltil síť či server. Záleží na velikosti prostředí resp. počtu desktopů, něco jiného je prostředí s pár desítkami PC, jinak tomu bude u stovek či tisíců.

    16. června 2014 16:26