Remove From My Forums

GPOでクライアント端末だけ自動更新を有効にしたい。その他もろもろ。

質問
0

サインインして投票

こんにちわ。haru1banと申します。

WSUS導入に際し、以下内容の疑問がございます。

お手すきのときのご教授いただければ幸いです。

■環境

・サーバ環境

　・Windows2003　でドメコンが構築されている。シングルドメイン構成。

　・それ以外にもExcahnge等WindowsサーバOSでサーバが構築されている（ドメイン参加済み）

　・ファイルサーバはWindowsStorageサーバで構築されている（ドメイン参加済み）

・クライアント環境

　・OSはWindows2000、XP（ドメイン参加済み）

・OU環境

　ビルトインのOUしかありません。

・GPO環境

　自動更新に関する変更などは行っていない。なので、自動更新の設定は利用者側に任せています。

　（GPOは未構成になっております）

　なので、GPOはdefault domain policy、default domain controller policyぐらいしかないです。

　

■今回のシステム変更

・別機器でWSUSサーバを構築して、ドメイン環境に導入する。WSUSはシングル構成。

■自動更新に関する要件

・クライアント端末は、自動更新先をWSUSに変更する。自動更新は有効にする

・サーバ端末は、自動更新をさせない。

■その他要件

・クライアントとサーバでOUを分ける運用はしない。

　※新規でOUを作成したりする運用は避けたいので。

○質問

　OUを分けずに上記要件を満たすことができますでしょうか

　新規でOUを作成して、自動更新を有効にするクライアント端末と、自動更新を無効にするサーバ端末をそれぞれ

　別OUで運用しないとできないのではと考えております。

　現在検証環境で検証を実施していますが、サーバ側のLGPOで自動更新を無効にする設定にしていますが

　ドメインのGPOに上書きされてしまっているようで、サーバ側も自動更新が有効になってしまいます。

　

以上です。

何卒宜しくお願いいたします。

　

2009年1月6日 5:52

返信

|

引用

回答

1

サインインして投票
まず、WSUSのポリシーをどこにリンクしているのかが問題でしょう。

「Active Directoryユーザーとコンピュータ」または「グループポリシーの管理」を開いてみて、

最上位のドメイン(XXXXX.comなど)のDefault Domain Policy の下にWSUSのポリシーを作成・リンクしているならComputersのコンテナからコンピュータオブジェクトを移動しなくてもWSUSのポリシーは適用されるはずです。これはクライアントより、したの「GPResult」や「ポリシーの結果セット」を叩いてみれば確認できます。またWSUSサーバーでWSUS管理コンソールを開いて、WSUSクライアントの状態が正しく報告されているか確認してみてください。

「ポリシーの結果セット」

http://support.microsoft.com/kb/312321/ja

「GPResult」

http://www.microsoft.com/japan/windowsxp/using/setup/expert/gpresults.mspx

ただ、その場合にはグループポリシーによる自動更新を有効にするクライアント端末と自動更新を無効にするサーバ端末を分けることはできないように思います。

つぎに、したのページの「グループ管理機能」についてですが、コンピュータをWSUSサーバー側でグループ分けすることについては、WSUSのポリシーの「コンピュータの構成」→「管理用テンプレート」→「Windows コンポーネント」→「Windows Update」→「クライアント側のターゲツトを有効にする」の「このコンピュータのグループ名をターゲットにする」に対応するものと解釈していますが確証はありません。

http://www.atmarkit.co.jp/fwin2k/operation/wsus02/wsus02_02.html

さいごに、当方ではOUを複数に分けて、コンピュータオプジェクトをそれぞれのOUに移動させ、それぞれのWSUSポリシーを作成・リンクしていますが、Computersのコンテナからコンピュータオブジェクトを移動させずに自動更新を有効にするクライアント端末と、自動更新を無効にするサーバ端末を分けたり、更新プログラムの適用時間を複数に分けたりすることについては申し訳ありませが、他の回答者からの回答を待たれるか、Microsoftサポートへ問い合わせされるかしかないと思います。
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月24日 2:02

返信

|

引用
0

サインインして投票
WSUSはOUに設定することになっているので、OUなしだと確かにちょっと厳しいですね。

ただ、ログオンスクリプトが使えるならば、ログオンスクリプト中でWindows 2000/XPであればWindows Updateクライアントが参照しているレジストリを強制的に書き換えるという技も使えるのではないかと思います。
- 回答としてマーク服部清次 2009年2月3日 7:44
2009年1月6日 15:47

返信

|

引用
0

サインインして投票
haru1ban さん、

ログオンスクリプトはサーバーやクライアントに問題なく実行できます。

しかし、ログオンスクリプトをグループポリシーで、例えばドメイン全体 (Default Domain Policy) に設定した場合、グループポリシーはドメイン全てのユーザーに適用されてしまいます。結果、すべてのコンピュータにてスクリプトが実行されてしまうと思います。

他に案として以下 2 つがあります。

1. GPO の WMI フィルタの機能を利用する。

WMI フィルタを使用することによりグループポリシー適用後、フィルタに従ってグループポリシーが適用されるかどうかが判断されます。そのため、適切なフィルタを設定することにより、グループポリシーを適用する対象のコンピュータやユーザーをわけることが可能です。

これも参考になるでしょう。

2. グループポリシーに対する権限を変更する。

例えば以下のような設定でグループポリシーを 2 つ作成する。

(1) 自動更新を WSUS に設定する。

(2) 自動更新を無効にする。

両方のグループポリシーをドメイン全体に対しリンクさせる。

(1) のグループポリシーのプロパティを開き、[セキュリティ] タブにて対象にしたくないセキュリティグループ (サーバーのコンピュータアカウント) に対し、[グループポリシーの適用] に拒否を与える。同じように (2) に対してはクライアントコンピュータアカウントが含まれるセキュリティグループに対し、[セキュリティ] タブより [グループポリシーの適用] に拒否を与えます。

上の方法はあくまでも例なので、haru1ban さんの環境にあった方法をテストしながら確認しましょう。
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月9日 0:02

返信

|

引用
0

サインインして投票
チャブーンです。

GPO を区分けするには OU が一番簡単なので、これをしないで他の方法で、という場合、どれも同じ程度には面倒な方法にはなるでしょうね。

それでも一番『設定の手間がかからない』な方法、ということなら、専用で作った GPO をドメインにリンクして、OS のバージョン情報で判定した WMI フィルタを設定するとよいでしょう。WMI フィルタによる方法や OS バージョン方法判定方法の一例は、したのぺーじをみたらよいでしょう。

http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy06/gpolicy06_03.html

ですが、うえが使えるのはクライアントが Windows XP 以降の場合だけで、Windows 2000 のクライアントは対象になりません。この場合、多少手間がかかりますが、クライアントのドメイン参加前にコンピュータアカウントを作る前提で、これらをメンバとするグループを別に用意しておいて、このグループを使って GPO のセキュリティグループによるフィルタを構成します。これについてもうえのページに書いてありますね。

OU があると困るのではなく、OU にオブジェクトを移動することが手間なのでしたくない、という場合、Windows Server 2003 ドメイン機能レベルであれば、「ドメイン参加直後のクライアントがデフォルトで配置される OU を指定(リダイレクト)する」という設定が可能です。これは下のページを見てみてください。

http://support.microsoft.com/kb/324949/ja
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月11日 11:57

返信

|

引用

モデレータ
0

サインインして投票
WSUSのポリシー(Windows Update)は、

コンピュータの構成→管理用テンプレート→Windows コンポーネント→Windows Update

の位置にあり、コンピュータに適用されるものであり、ユーザーに適用されるものではありません。

特定のコンピュータには、WSUSの適用を有効にし、その他のコンピュータには、WSUSの適用を無効にすることはできます。

例えば、下記の設計図のようにWSUSの適用を有効にするコンピュータ群と無効にするコンピュータ群に分けることはできます。

WSUSを有効にするAutoUpdate_PC (作成したOU )・・・・・（１）

WSUSを無効にするAutoUpdateNo_PC (作成したOU )・・・・・（２）

===================================

Active Directory ユーザーとコンピュータ

===================================

sample.com

  + Builtin

  + Computers

  + Domain Controllers

  + ForeignSecurityPrincipals

  + Users

  +ALL_COMPUTERS(作成したOU )

  ｜+ AutoUpdate_PC (作成したOU )・・・・・（１）

　｜+ AutoUpdateNo_PC (作成したOU )・・・・・（２）　　　　　　

　+ALL_USERS(作成したOU )　　　　　　

AutoUpdate_PC ( 作成したOU )・・・・・（１）　には、WSUS(Windows Update)を有効にしたポリシーをリンクする。（クライアント端末にWSUSによる更新のポリシーを適用させるなら、クライアント端末のコンピュータアカウントを入れる。）

AutoUpdateNo_PC ( 作成したOU )・・・・・（２）　には、WSUS(Windows Update)を有効にしたポリシーをリンクしない。（サーバー端末にWSUSによる更新のポリシーを適用させないのなら、メンバーサーバー端末のコンピュータアカウントを入れる。）

ドメインコントローラはデフォルトで作成される「Domain Controllers」ＯＵから移動させない。（ドメインコントローラのみのDefault domain controllers policyがリンクされているためです。）

なお、

>・サーバOSにはアカウントがない。

ということはありません。メンバーサーバー端末ではローカルのアドミニストレータでしかログオンしていない・ドメインコントローラではドメインのビルトインAdministratorでしかログオンしていないからでしょう。コンピュータアカウントとドメインユーザーアカウントが一対一になっていると考えてはいけません。
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月14日 10:57

返信

|

引用
0

サインインして投票
haru1ban さん、

コンピュータアカウントは [Active Directory ユーザーとコンピュータ] で確認できる、種類が [コンピュータ] となっているオブジェクトのことです。

ユーザーアカウントは種類が [ユーザー] となっているオブジェクトのことです。

つまり WSUS のグループポリシーを特定の OU にリンクさせた場合、その OU に移動させるオブジェクトは種類が [コンピュータ] となっているコンピュータアカウントのことです。

下あたりの情報を少し読んでみてください。

ユーザー、グループ、およびコンピュータを管理する

http://technet.microsoft.com/ja-jp/library/cc779483.aspx
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月14日 14:24

返信

|

引用
0

サインインして投票
http://www.atmarkit.co.jp/fwin2k/operation/wsus02/wsus02_02.html

うえの資料の「グループ管理機能」は

（以下抜粋すると）

>こうしてグループに分類すると、以後、グループ単位で更新プログラムの承認やインストール期日（後述）の設定、検出結果の閲ができるようになる。

とあるように、たとえばビル別・部門別またはＯＳ別などにコンピュータグループを分け、WSUSサーバー側でそのグループごとに「エラーが発生した」「更新が必要」「インストール済み」「状態が報告されていない」のコンピュータ台数・コンピュータ名およびコンピュータごとのパッチの適用状態等の詳細レポートを把握する目的のためと理解しています。

自動更新を有効にする・自動更新を無効にするコンピュータを分けるのであれば、それぞれＯＵを作成しそれぞれのポリシーをリンクしコンピュータアカウントをコンピュータコンテナから移動する必要があります。
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月22日 10:39

返信

|

引用

すべての返信

0

サインインして投票
WSUSはOUに設定することになっているので、OUなしだと確かにちょっと厳しいですね。

ただ、ログオンスクリプトが使えるならば、ログオンスクリプト中でWindows 2000/XPであればWindows Updateクライアントが参照しているレジストリを強制的に書き換えるという技も使えるのではないかと思います。
- 回答としてマーク服部清次 2009年2月3日 7:44
2009年1月6日 15:47

返信

|

引用
0

サインインして投票

KKamegawa様

お忙しい中、早々とご教授いただきまして、誠にありがとうございます。

＞ログオンスクリプトが使えるならば、ログオンスクリプト中でWindows 2000/XPであればWindows Updateクライアントが参照しているレジストリを強制的に書き換えるという技も使えるのではないかと思います。

なるほどです。

ただ、対象がサーバOSとなるのですが、その場合もそれを実施できるのでしょうか？

お手すきのときにご教授いただければと思います。

何卒宜しくお願いいたします。

2009年1月7日 1:17

返信

|

引用
0

サインインして投票
haru1ban さん、

ログオンスクリプトはサーバーやクライアントに問題なく実行できます。

しかし、ログオンスクリプトをグループポリシーで、例えばドメイン全体 (Default Domain Policy) に設定した場合、グループポリシーはドメイン全てのユーザーに適用されてしまいます。結果、すべてのコンピュータにてスクリプトが実行されてしまうと思います。

他に案として以下 2 つがあります。

1. GPO の WMI フィルタの機能を利用する。

WMI フィルタを使用することによりグループポリシー適用後、フィルタに従ってグループポリシーが適用されるかどうかが判断されます。そのため、適切なフィルタを設定することにより、グループポリシーを適用する対象のコンピュータやユーザーをわけることが可能です。

これも参考になるでしょう。

2. グループポリシーに対する権限を変更する。

例えば以下のような設定でグループポリシーを 2 つ作成する。

(1) 自動更新を WSUS に設定する。

(2) 自動更新を無効にする。

両方のグループポリシーをドメイン全体に対しリンクさせる。

(1) のグループポリシーのプロパティを開き、[セキュリティ] タブにて対象にしたくないセキュリティグループ (サーバーのコンピュータアカウント) に対し、[グループポリシーの適用] に拒否を与える。同じように (2) に対してはクライアントコンピュータアカウントが含まれるセキュリティグループに対し、[セキュリティ] タブより [グループポリシーの適用] に拒否を与えます。

上の方法はあくまでも例なので、haru1ban さんの環境にあった方法をテストしながら確認しましょう。
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月9日 0:02

返信

|

引用
0

サインインして投票
チャブーンです。

GPO を区分けするには OU が一番簡単なので、これをしないで他の方法で、という場合、どれも同じ程度には面倒な方法にはなるでしょうね。

それでも一番『設定の手間がかからない』な方法、ということなら、専用で作った GPO をドメインにリンクして、OS のバージョン情報で判定した WMI フィルタを設定するとよいでしょう。WMI フィルタによる方法や OS バージョン方法判定方法の一例は、したのぺーじをみたらよいでしょう。

http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy06/gpolicy06_03.html

ですが、うえが使えるのはクライアントが Windows XP 以降の場合だけで、Windows 2000 のクライアントは対象になりません。この場合、多少手間がかかりますが、クライアントのドメイン参加前にコンピュータアカウントを作る前提で、これらをメンバとするグループを別に用意しておいて、このグループを使って GPO のセキュリティグループによるフィルタを構成します。これについてもうえのページに書いてありますね。

OU があると困るのではなく、OU にオブジェクトを移動することが手間なのでしたくない、という場合、Windows Server 2003 ドメイン機能レベルであれば、「ドメイン参加直後のクライアントがデフォルトで配置される OU を指定(リダイレクト)する」という設定が可能です。これは下のページを見てみてください。

http://support.microsoft.com/kb/324949/ja
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月11日 11:57

返信

|

引用

モデレータ
0

サインインして投票

TalkingNaturalRain様

チャブーン様

お忙しい中、ご教授ありがとうございます。

いただきました情報を整理し社内へ提案したところ、管理が煩雑になってしまうため

やはりOUを分ける方法に落ち着きそうです。

お騒がせしました。

それにあたり、追加で質問がございます。

とても基本的なことなので、質問させていただくのも恥ずかしいのですが

OUを分けて、適用するグループポリシを分けたい場合、OUに振り分けるオブジェクトを

以下二つのどちらでしょうか？

　・コンピュータ

　・アカウント

WindowsUpdateの場合、GPOの種類ではコンピュータポリシなので、コンピュータのオブジェクトを適宜OUの

コンテナに放り込むのかと思っておりました。

なぜ、そんなことをしているか（しようとしているか）と申しますと、以下理由があるためです。

　・サーバOSにはアカウントがない（ビルトインアカウントしかありません）。

　　そのため、アカウントをOUへ放り込むということができない（のではないか）と思っています。

　・OUを組織単位で作成しており、仮にAutoUpdateNoというOUを作成して、アカウントをそこへ

　移動すると管理しにくくなる。

以上です。

お忙しいところ、お手数ですが、お手すきのときにご教授お願いいたします。

2009年1月14日 7:11

返信

|

引用
0

サインインして投票
WSUSのポリシー(Windows Update)は、

コンピュータの構成→管理用テンプレート→Windows コンポーネント→Windows Update

の位置にあり、コンピュータに適用されるものであり、ユーザーに適用されるものではありません。

特定のコンピュータには、WSUSの適用を有効にし、その他のコンピュータには、WSUSの適用を無効にすることはできます。

例えば、下記の設計図のようにWSUSの適用を有効にするコンピュータ群と無効にするコンピュータ群に分けることはできます。

WSUSを有効にするAutoUpdate_PC (作成したOU )・・・・・（１）

WSUSを無効にするAutoUpdateNo_PC (作成したOU )・・・・・（２）

===================================

Active Directory ユーザーとコンピュータ

===================================

sample.com

  + Builtin

  + Computers

  + Domain Controllers

  + ForeignSecurityPrincipals

  + Users

  +ALL_COMPUTERS(作成したOU )

  ｜+ AutoUpdate_PC (作成したOU )・・・・・（１）

　｜+ AutoUpdateNo_PC (作成したOU )・・・・・（２）　　　　　　

　+ALL_USERS(作成したOU )　　　　　　

AutoUpdate_PC ( 作成したOU )・・・・・（１）　には、WSUS(Windows Update)を有効にしたポリシーをリンクする。（クライアント端末にWSUSによる更新のポリシーを適用させるなら、クライアント端末のコンピュータアカウントを入れる。）

AutoUpdateNo_PC ( 作成したOU )・・・・・（２）　には、WSUS(Windows Update)を有効にしたポリシーをリンクしない。（サーバー端末にWSUSによる更新のポリシーを適用させないのなら、メンバーサーバー端末のコンピュータアカウントを入れる。）

ドメインコントローラはデフォルトで作成される「Domain Controllers」ＯＵから移動させない。（ドメインコントローラのみのDefault domain controllers policyがリンクされているためです。）

なお、

>・サーバOSにはアカウントがない。

ということはありません。メンバーサーバー端末ではローカルのアドミニストレータでしかログオンしていない・ドメインコントローラではドメインのビルトインAdministratorでしかログオンしていないからでしょう。コンピュータアカウントとドメインユーザーアカウントが一対一になっていると考えてはいけません。
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月14日 10:57

返信

|

引用
0

サインインして投票

試験作成問題委員会様

お忙しい中、ご教授ありがとうございます。

＞WSUSのポリシー(Windows Update)は、

＞コンピュータの構成→管理用テンプレート→Windows コンポーネント→Windows Update

＞の位置にあり、コンピュータに適用されるものであり、ユーザーに適用されるものではありません。

＞特定のコンピュータには、WSUSの適用を有効にし、その他のコンピュータには、WSUSの適用を無効にすることはできます。

ということは、ＷＳＵＳのポリシーを適用させる場合は、ＯＵに入れるオブジェクトは、

コンピュータ

ということでしょうか。

”コンピュータアカウント”というキーワードがその後出てきておりますが、それがコンピュータなのか、アカウントなのかが

理解できませんでした。

すみませんが、お手すきの際にご教授ください。

何卒宜しくお願いいたします。

2009年1月14日 11:29

返信

|

引用
0

サインインして投票
haru1ban さん、

コンピュータアカウントは [Active Directory ユーザーとコンピュータ] で確認できる、種類が [コンピュータ] となっているオブジェクトのことです。

ユーザーアカウントは種類が [ユーザー] となっているオブジェクトのことです。

つまり WSUS のグループポリシーを特定の OU にリンクさせた場合、その OU に移動させるオブジェクトは種類が [コンピュータ] となっているコンピュータアカウントのことです。

下あたりの情報を少し読んでみてください。

ユーザー、グループ、およびコンピュータを管理する

http://technet.microsoft.com/ja-jp/library/cc779483.aspx
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月14日 14:24

返信

|

引用
0

サインインして投票

TalkingNaturalRain様

お忙しい中、ご教授ありがとうございました。

>つまり WSUS のグループポリシーを特定の OU にリンクさせた場合、その OU に移動させるオブジェクトは種類が [コンピュータ] となっているコンピュータアカウントのことです。

ということは、都度、対象となるコンピュータのコンテナから移動しなくてはならないのでしょうか。

ただ、検証環境でみると、コンピュータアカウントを移動せず、ログインしただけでも、コンピュータの設定が変更されているように見えます。

あと、追加で一点質問させていただきます。

そもそも、自動更新のポリシをわけるのはOUを分ける必要があるという認識でしたが、WSUS側のグルーピング機能を

使えば、ＯＵへの操作を行わなくても、自動更新のポリシを分けられるのではないかと思ってきました。

http://www.atmarkit.co.jp/fwin2k/operation/wsus02/wsus02_03.html

このあたり、お時間のあるときにご教授いただけると幸いです。

こちらでも明日以降検証する予定です。

2009年1月22日 8:14

返信

|

引用
0

サインインして投票
http://www.atmarkit.co.jp/fwin2k/operation/wsus02/wsus02_02.html

うえの資料の「グループ管理機能」は

（以下抜粋すると）

>こうしてグループに分類すると、以後、グループ単位で更新プログラムの承認やインストール期日（後述）の設定、検出結果の閲ができるようになる。

とあるように、たとえばビル別・部門別またはＯＳ別などにコンピュータグループを分け、WSUSサーバー側でそのグループごとに「エラーが発生した」「更新が必要」「インストール済み」「状態が報告されていない」のコンピュータ台数・コンピュータ名およびコンピュータごとのパッチの適用状態等の詳細レポートを把握する目的のためと理解しています。

自動更新を有効にする・自動更新を無効にするコンピュータを分けるのであれば、それぞれＯＵを作成しそれぞれのポリシーをリンクしコンピュータアカウントをコンピュータコンテナから移動する必要があります。
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月22日 10:39

返信

|

引用
0

サインインして投票

試験問題作成委員会様

お忙しい中、ご教授いただきまして、誠にありがとうございます。

>とあるように、たとえばビル別・部門別またはＯＳ別などにコンピュータグループを分け、WSUSサーバー側でそのグループごとに>「エラーが発生した」「更新が必要」「インストール済み」「状態が報告されていない」のコンピュータ台数・コンピュータ名およびコン>ピュータごとのパッチの適用状態等の詳細レポートを把握する目的のためと理解しています。

なるほどです。

制御ではなく、あくまでも管理のためのグループ分けということです。

確かに、検証環境でも調べてみましたが、グループをして出来るのは、自動承認のコントロールぐらいですね。

やはり、自動更新へのコントロールはGPOで実装するのですね。

また、参照した以下URLもWSUS上のGUIインターフェースでは確認できませんでした。

http://www.atmarkit.co.jp/fwin2k/operation/wsus02/wsus02_02.html

古いWSUSのバージョンのものだったのでしょうか。私が今検証しているのはWSUS3.0 SP1です。

ひょっとして古いWSUSだと出来ていたのでしょうか？

ただ、気になるのは、ヘルプの内容です。

WSUS-コンピュータおよびコンピュータグループのセットアップと管理のヘルプを見ると、以下記述があります。

コンピュータグループの管理

WSUS では、クライアントコンピュータのグループを、更新プログラムのターゲットにすることができます。特定のグループをターゲットにすると、最も適した時間に特定のコンピュータが正しい更新プログラムを取得するようにできます。たとえば、特定の構成のコンピュータにどのタイミングで、どの更新プログラムを割り当てるかを指定できます。そのコンピュータグループの更新処理の成否は、WSUS レポート機能を使用して評価できます。

特に以下記述です。

”特定のグループをターゲットにすると、最も適した時間に特定のコンピュータが正しい更新プログラムを取得するようにできます。”

適用の時間を指定るすることはできる。とのことなので、このあたりのコントロールまではできるということなのでしょうか。

あと、前回も質問させていただいたのですが、自動更新に関するポリシを端末に反映させるためには、Computersのコンテナから、コンピュータのオブジェクトを該当するOUに移動させることが必須となりますでしょうか？

検証環境でみると、コンピュータアカウントを移動せず、ログインしただけでも、コンピュータの設定が変更されているように見えます。

要は、ユーザアカウントが該当するOUに存在すれば、自動更新に関するコンピュータの設定も反映されるような動きです。

運用していく上で、Computersのコンテナから、オブジェクトを移動する手間を省きたいと考えております。

以上です。

すみませんが、お時間のあるときにご教授ください。

何卒宜しくお願いいたします。

2009年1月23日 11:48

返信

|

引用
1

サインインして投票
まず、WSUSのポリシーをどこにリンクしているのかが問題でしょう。

「Active Directoryユーザーとコンピュータ」または「グループポリシーの管理」を開いてみて、

最上位のドメイン(XXXXX.comなど)のDefault Domain Policy の下にWSUSのポリシーを作成・リンクしているならComputersのコンテナからコンピュータオブジェクトを移動しなくてもWSUSのポリシーは適用されるはずです。これはクライアントより、したの「GPResult」や「ポリシーの結果セット」を叩いてみれば確認できます。またWSUSサーバーでWSUS管理コンソールを開いて、WSUSクライアントの状態が正しく報告されているか確認してみてください。

「ポリシーの結果セット」

http://support.microsoft.com/kb/312321/ja

「GPResult」

http://www.microsoft.com/japan/windowsxp/using/setup/expert/gpresults.mspx

ただ、その場合にはグループポリシーによる自動更新を有効にするクライアント端末と自動更新を無効にするサーバ端末を分けることはできないように思います。

つぎに、したのページの「グループ管理機能」についてですが、コンピュータをWSUSサーバー側でグループ分けすることについては、WSUSのポリシーの「コンピュータの構成」→「管理用テンプレート」→「Windows コンポーネント」→「Windows Update」→「クライアント側のターゲツトを有効にする」の「このコンピュータのグループ名をターゲットにする」に対応するものと解釈していますが確証はありません。

http://www.atmarkit.co.jp/fwin2k/operation/wsus02/wsus02_02.html

さいごに、当方ではOUを複数に分けて、コンピュータオプジェクトをそれぞれのOUに移動させ、それぞれのWSUSポリシーを作成・リンクしていますが、Computersのコンテナからコンピュータオブジェクトを移動させずに自動更新を有効にするクライアント端末と、自動更新を無効にするサーバ端末を分けたり、更新プログラムの適用時間を複数に分けたりすることについては申し訳ありませが、他の回答者からの回答を待たれるか、Microsoftサポートへ問い合わせされるかしかないと思います。
- 回答としてマーク服部清次 2009年2月3日 7:45
2009年1月24日 2:02

返信

|

引用
0

サインインして投票

試験問題作成委員会様

お忙しい中、ご教授いただきましてまことにありがとうございました。

上記内容理解できました。というか、現地でご教授いただいた内容で設定できました。

本当にありがとうございます。

※ただ、別の問題が新たに出ましたので、新しいスレッドで質問させていただきます。

2009年2月3日 6:21

返信

|

引用
0

サインインして投票

haru1ban さん、

こんにちは！
フォーラムオペレーターの服部清次です。
無事、設定ができたとのことで何よりです！！ (^_^)

今回、情報を提供してくださった多くの皆さんの回答が参考になったのではないかと思いましたので、勝手ながら、私の方で回答チェックを付けさせていただきました。
また別のスレッドを検討されているとのことですので、今後とも TechNet フォーラムをよろしくお願いします。

それでは、また！ (^_^)/

______________________________________
マイクロソフト株式会社　フォーラムオペレータ　服部清次

2009年2月3日 7:48

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

GPOでクライアント端末だけ自動更新を有効にしたい。その他もろもろ。

質問

回答

すべての返信