Lolokai – Supervision, systèmes, réseaux, base de données…

2

Déploiement des services WSUS via GPO

taochy.samuel 18 avril 2012

Introduction:

Dans un précèdent article « Installation d’un serveur WSUS » j’avais parlé du possible déploiement des mises à jour via des GPO. Vu que je n’ai pas détaillé ce point précédemment, je vous propose de voir ensemble le déploiement de services WSUS via les GPO.

Avant de commencer, les détails techniques de l’article, révisons ensemble ce qu’est une GPO. Une GPO ou « Group Policies Object » est une stratégie de groupe. Sa fonction est simple à comprendre: Lorsqu’on installe un client Windows sur un réseau il n’a pas de stratégie c’est-à-dire pas de configuration système propre au réseau. Le but des GPO est d’en créer ! On va fournir une configuration précise à un groupe présent dans l’Active Directory. Les GPO peuvent donc agir sur l’environnement de travail (redirection d’un repertoire utilisateur), sur les applications (installer automatiquement des applications après authentification) ou même sur la sécurité (modifier les paramètres de sécurité).

Maintenant la définition rappelée passons à la mise en place.

Mise en Place des GPOs

Pré-requis: Pour pouvoir suivre les exemples de cet article, il vous faut un serveur windows Server 2008 R2, où est installé un Active Directory et WSUS. Dans l’exemple suivi au cour de cet article nous sommes sur le controlleur de domaine dcTaochy1 dans le domaine taochy.adds.

Pour déployer les mises à jour avec WSUS il faut normalement modifier une GPO. Pour mieux comprendre le fonctionnement des GPO et leur mise en place, je vous propose de créer une GPO et de la modifier pour permettre le déploiement des mises à jour.

Pour créer une GPO il faut se rendre dans gestion des stratégies de groupe, pour cela Outils d’administration -> Gestion des Stratégies de groupe.

Une fois dans l’utilitaire,  cliquez dans le menu de droite sur Foret: nom_de_la_foretAD -> Domain -> Objets de Stratégies de Groupe -> Clique droit -> Nouveau.

Puis vous renseignez le nom de la GPO que vous voulez créer. Pour nous ce sera « WSUS ».

Maintenant la GPO est créée mais il y a pas de stratégies dedans. Pour cela clic droit sur la GPO qu’on vient de créer et cliquer sur modifier. Ceci nous ramène à la fenêtre « Editeur de Gestion des stratégies de groupe ».

On arrive à la partie intéressant :) ! Pour pouvoir ajouter une stratégie Windows Update à notre GPO:

Menu de droite -> Configuration Ordinateur -> Stratégies -> Modèles d’administration […] -> Composants Windows -> Windows Update !

Dans le menu de gauche vous allez voir apparaitre tout les éléments possibles de configurer pour Windows Update via notre GPO.

La première chose à configurer est l’adresse du serveur WSUS, afin que les machines ne se connectent pas à Windows Update mais au serveur WSUS. Pour cela, il suffit de cliquer sur « Spécifier le service intranet du service de mise à jour ». Une fenêtre s’ouvre, et vous devez activer cette stratégie et spécifier le nom de votre serveur WSUS. Vu que j’ai installé le serveur sur mon controlleur dcTaochy1, mon serveur est disponible à l’adresse dcTaochy1.taochy.adds (taochy.adds étant mon domaine). Et je spécifie le port 8530 (port WSUS) avec le « :8530″.

N.B. : Je travail en environnement virtualisé, souvent le service WSUS doit être installé sur un serveur à part.

Nous avons configuré le plus important, maintenant chacun peut avoir une configuration différente. Pour cela, il suffit de cliquer sur les différentes options possibles (Activer les notifications d’application, activer le ciblage coté client, configuration du service de mises à jour automatique..). Je vous propose tout de même une configuration. Je ne vais pas détaillé point par point la configuration mais juste vous donner ce que j’ai fait et un screenshot le montrant.

  • Configuration du service de mises à jour automatiques: Activé.
  • Configuration de la mises à jour automatique: 4 – Téléchargement et Planification des installations.
  • Jour de l’installation planifié: 3 – mardi.
  • Heure de l’installation planifiée: 12h00.
  • Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées de mises à jour automatiques: Activé.
  • Autoriser les non-administrateurs à recevoir les notifications de mises à jour: Désactivé.
  • Activer les mises à jour recommandées par l’intermédiaire des Mises à jour automatiques: Activé.

Maintenant, toutes les machines qui se connectent à mon Active Directory recevront les mises à jour WSUS via notre serveur.

Conclusion

Nous avons vu dans cet article le déploiement des mises à jour via les GPO. Nous avons créé une GPO et avons configuré selon nos choix personnels et nos besoins.

Avez-vous une autre proposition concernant la configuration de WSUS ?taochy.samuel

Comments (2)

  1. Merci pour tes 2 articles ! Je suis actuellement en stage et mon prof m’a demandé des déploiements de mises à jour mais avec OCS Inventory, du coup je vais lui transposer cette idée il appréciera surement

    Répondre
  2. Très bon article, merci c’est très clair et les captures d’écran confirment la compréhension.

    Pour ocs, on peut passer par GPO mais ça se passe dans configuration ordinateur > strategie > paramètre windows > strategie de résolution de nom > script > demarrage > ocslogon.exe (avec les paramètres souhaités) …si peux aider.

    Répondre

Laisser un commentaire

Login to your account

Can't remember your Password ?

Register for this site!