Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

  • Partie 1 : Installer le rôle WSUS sous Windows Server 2012 R2
  • Partie 2 : Préparation de WSUS sous Windows Server 2012 R2
  • Partie 3 : Créer une stratégie de groupe pour WSUS sous Windows 2012 R2
  • Partie 4 : Configuration de WSUS sous Windows Server 2012 R2

Le rôle WSUS a été installé, l’assistant de configuration effectué, nous allons maintenant faire en sorte que les postes clients communiquent avec le serveur WSUS. Nous allons pour cela utiliser les si célèbres GPO.

Rendez-vous sur le serveur, module Gestion de stratégie de groupe.

Dans le volet de gauche, au niveau du noeud de votre serveur, effectuez un clic droit, puis choisissez Créer un objet GPO dans ce domaine, et le lier ici…

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Nommez le WSUS (ou comme vous le souhaitez en fait), puis cliquez sur OK.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Ce dernier vient de s’ajouter sous votre domaine, cliquez droit dessus, puis choisissez Editer.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Déroulez alors l’arborescence : Configuration ordinateur >Modèles d’administration > Composants Windows > Windows Update.

Voici donc la liste des éléments liés à Windows Update.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Nous allons voir leur détail.

Spécifier l’emplacement intranet du service de mise à jour Microsoft

Le paramètre de stratégie le plus important. Il consiste à indiquer le serveur WSUS, que les clients contacteront. Sans oublier le numéro de port (8530 par défaut).

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Activation de la fonctionnalité de gestion de l’alimentation par Windows Update pour la sortie de veille automatique du système lors de l’installation de mises à jour planifiées

Si des mises à jour sont planifiées, mais que manque de pot, le PC en question est éteint, cette option permet de sortir le PC en question de veille afin que les mises à jour puissent être appliquées, sans reporter l’opération à une date ultérieure.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Activer les mises à jour automatiques recommandées via le service Mises à jour automatique

Permet de spécifier si le service de mises à jour automatique doit publier les mises à jour importantes et recommandées à partir du site de mise à jour Windows Update.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Activer les notifications d’applications

Cette option permet de proposer aux utilisateurs, via des notifications, l’installation d’applications facultatives.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Autoriser l’installation immédiate des mises à jour automatiques

Permet l’installation automatique des mises à jour n’interrompant pas les services Windows. Nécessite que la stratégie « Configuration du service Mises à jour automatiques » soit activée.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Autoriser le ciblage côté client

Permet d’indiquer un nom de groupe cible que les postes clients devront utiliser afin de récupérer les mises à jour via WSUS.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Autoriser les mises à jour signées provenant d’un emplacement intranet du service de Mise à jour Microsoft

L’option permet de définir si le service de mises à jour accepte les mises à jour signées par des entités autres que Microsoft lorsqu’elles proviennent d’un emplacement intranet du service de mise à jour.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Autoriser les non-administrateurs à recevoir les notifications de mise à jour

De par le caractère important d’une mise à jour de sécurité, vous avec la possibilité d’accorder la possibilité aux utilisateurs, même non-administrateur, de recevoir les notifications de mise à jour et de les installer.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Configuration du service Mises à jour automatique

On configure ici ce que le poste doit recevoir :

  • Uniquement les notifications des téléchargements et des installations
  • Le téléchargement automatique et notification des installations
  • Le téléchargement automatique et planification des installations
  • Autoriser l’administrateur local à choisir les paramètres.

Il est également possible d’indiquer si l’on souhaite que l’installation se fasse durant la maintenance automatique, et le choix du jour et de l’heure de l’installation planifiée.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Délai de redémarrage pour les installations planifiées

En cas d’une installation planifiée, on peut choisir la durée pendant laquelle les mises à jour automatiques doivent attendre avant de procéder à un redémarrage planifié. Par défaut, elle est de 15 minutes.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Fréquence de détection des mises à jour automatiques

Par défaut, le Windows cherchera la disponibilité de nouvelles mises à jour toutes les 22h. Il est possible de modifier ce délai par l’intermédiaire de cette option.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Ne pas afficher l’option « Installer les mises à jour et éteindre » dans la boite de dialogue Arrêt de Windows

Cette option permet de ne pas ajouter le bouton « Installer les mises à jour et éteindre, et ce même si des mises à jour sont disponibles pour le poste.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Ne pas modifier l’option par défaut « Installer les mises à jour et éteindre » dans la boite de dialogue Arrêt de Windows

Cette stratégie permet d’indiquer si l’on souhaite ou non que l’option « Installer les mises à jour et éteindre » puisse être définie par défaut dans la liste des options de la boîte de dialogue d’arrêt de Windows.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Ne pas se connecter à des emplacements Internet Windows Update

Permet d’empêcher complètement tout accès au service Windows Update public.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées de mises à jour automatiques

Cette option permet d’attendre le prochain démarrage de l’ordinateur avant d’appliquer les mises à jour, au lieu de déconnecter la session ouverte en cours.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Redemander un démarrage avec les installations planifiées

Ce réglage permet de spécifier le délai avant de se voir redemander un redémarrage en cas de redémarrage planifié. Par défaut, il est de 10 minutes.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Replanifier les installations planifiées des mises à jour automatiques

Si les mises à jour n’ont pu être appliquées au moment planifié, cette option permet de définir le temps d’attente après le démarrage suivant avant d’appliquer à nouveau ces mises à jour. Ne fonctionne que si l’option « Configuration du service Mises à jour automatiques » est activée.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

Toujours redémarrer automatiquement à l’heure planifiée

Lors de mises à jour importantes, le PC doit redémarrer. Par défaut, les utilisateurs sont avertis sur l’écran de connexion pendant 48h indiquant qu’un redémarrage doit être effectuer. Il est possible de passer outre ce délai, et de forcer le PC à redémarrer, en réglant le minuteur entre 15 et 180 minutes. Passé ce délai, le PC sera automatiquement redémarré, même si des utilisateurs sont connectés.

Installer et configurer WSUS sous Windows Server 2012 R2 – Partie 3

 

Vous pouvez fermer la fenêtre de configuration.

Dans Gestion de stratégie de groupe, n’oubliez pas d’activer la GPO fraîchement créée. Pour cela, effectuez un clic droit dessus, puis choisissez Appliquer.

La stratégie de groupe faite, il ne nous reste plus qu’à configurer WSUS en lui même, tout cela dans un dernier billet.

Préparation de WSUS sous Windows Server 2012 R2

  • Partie 1 : Installer le rôle WSUS sous Windows Server 2012 R2
  • Partie 2 : Préparation de WSUS sous Windows Server 2012 R2
  • Partie 3 : Créer une stratégie de groupe pour WSUS sous Windows 2012 R2
  • Partie 4 : Configuration de WSUS sous Windows Server 2012 R2

Donc. Maintenant que le rôle WSUS est installé, jetons un oeil à l’assistant de configuration.

L’assistant de configuration du serveur WSUS

Rebelote, on se retrouve sur le Gestionnaire de serveur. Dans le volet de gauche, sélectionnez le module WSUS. Puis, dans le volet central, effectuez un clic droit sur le serveur, puis choisissez Services WSUS.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

Un petit assistant rapide de configuration pour commencer.

Le premier écran vous conseille de vérifier plusieurs points, à savoir le pare-feu, une connexion possible en amont, ainsi que la disposition d’informations pour une connexion éventuelle au proxy.

Si tout est correct, vous pouvez cliquer sur Suivant pour débuter la configuration.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

L’écran vous propose le classique programme d’amélioration. Si vous êtes dans un bon jour, vous pouvez cocher la case. Sinon, la décocher. Cela n’a bien sûr pas d’incidence pour la suite. On clique sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2L’écran suivant propose deux manières de récupérer les mises à jour Windows Update :

  • Si un autre serveur WSUS est déjà présent dans votre infrastructure, vous pouvez renseigner son adresse après avoir coché la case Synchroniser à partir d’un autre serveur Windows Server Update Services ;
  • Sinon, vous devez cocher la case Synchroniser à partir de Windows Update pour récupérer les mises à jour.

Une fois votre choix fait, vous pouvez cliquer sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

L’écran suivant est dédié au serveur proxy. Si vous en utilisez un, vous pouvez indiquer son adresse et ses informations d’accès après avoir coché la case utiliser un serveur proxy lors de la synchronisation. Vous pouvez ensuite cliquer sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

Ensuite, la connexion en amont au serveur doit être effectuée. Certaines informations, telles que les types de mises à jour disponibles, les produits qui peuvent être mis à jour, et les langues disponibles, doivent être téléchargées.

Cliquez sur le bouton Démarrer la connexion afin de lancer la procédure. Une fois terminé, vous pouvez cliquer sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

Sur l’écran suivant, vous pouvez sélectionner les langues des mises à jour. Vous devez sélectionner toutes les langues des systèmes installés dans votre parc, pour que les mises à jour soient possibles. Une fois fait, vous pouvez cliquer sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

Vient ensuite le choix des produits qui doivent mis à jour. Dans les parties Office et Windows, veillez à désélectionner les produits inutiles. Cliquez ensuite sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

Vient ensuite le choix des classifications de mises à jour à récupérer, telles que les mises à jour critiques, pilotes ou services pack. Faites votre choix, puis cliquez sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

Enfin, vous pouvez choisir si la synchronisation doit se faire de manière automatique, ou manuelle. Une fois votre choix fait, cliquez sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

Bon, assez travaillé, on va laisser le serveur prendre la suite. Vous pouvez cochez la case Commencer la synchronisation initiale.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

Une fois cette synchronisation faite, l’assistant vous propose d’effectuer des tâches supplémentaires. Vous pouvez cliquer sur Terminer.

Installer et configurer WSUS sous Windows Server 2012 R2 - Partie 2

 

Nous verrons dans un dernier billet les configurations à effectuer afin de faire communiquer les clients avec le serveur WSUS.

Installer le rôle WSUS sous Windows Server 2012 R2

Le WSUS (Windows Server Update Services) est un rôle présent dans Windows Server, et permet d’économiser de la bande passante lors de l’installation de mises à jour sur votre postes clients.

En effet, les mises à jour de sécurité sont téléchargées une unique fois via la connexion lente vers le serveur WSUS, puis appliquées sur les clients du parc à partir de ce dernier.

Nous allons voir de A à Z comment installer et configurer WSUS. Ce tuto sera divisé en 4 parties :


 

  • Partie 1 : Installer le rôle WSUS sous Windows Server 2012 R2
  • Partie 2 : Préparation de WSUS sous Windows Server 2012 R2
  • Partie 3 : Créer une stratégie de groupe pour WSUS sous Windows 2012 R2
  • Partie 4 : Configuration de WSUS sous Windows Server 2012 R2

 


 

Sans plus attendre, la première étape : l’installation du rôle WSUS.

Pré-requis

  • Un serveur sous Windows Server 2012 R2 ;
  • Un domaine configuré
  • Beaucoup d’espace disque

L’installation

Comme pour l’installation de tout rôle, rendez-vous dans le gestionnaire de serveur, puis choisissez Gérer > Ajouter des rôles et fonctionnalités.

Premier écran, bla bla habituel, vous pouvez cliquer sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2

On choisit l’installation basée sur un rôle ou une fonctionnalité.

Installer et configurer WSUS sous Windows Server 2012 R2

Vient ensuite la sélection du serveur WSUS.

Installer et configurer WSUS sous Windows Server 2012 R2

Dans la liste, sélectionnez le rôle Services WSUS.

Installer et configurer WSUS sous Windows Server 2012 R2

Une fois coché, une fenêtre vous indiquera que l’installation du rôle requiert certaines fonctionnalités, dont IIS et le framework 4.5. Laissez tel que puis cliquez sur Ajouter des fonctionnalités.

Installer et configurer WSUS sous Windows Server 2012 R2

Vous pouvez cliquer sur Suivant. La fenêtre suivante vous propose l’installation de fonctionnalités, on s’en fiche, vous pouvez cliquer sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2

Petites explications sur le rôle IIS qui doit s’installer parallèlement au WSUS, vous pouvez cliquer sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2

Vous pouvez ici personnaliser l’installation de IIS. On laisse tel quel avant de cliquer à nouveau sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2

À présent, la configuration des services WSUS. Cliquez sur Suivant pour afficher les différents réglages.

Installer et configurer WSUS sous Windows Server 2012 R2

Maintenant, vous devez sélectionner les services de rôle utiles à WSUS. Vous devez conserver l’installation des WSUS Services, puis au choix, la WID Database OU la base de données.

  • WID Database : c’est la base de données interne au serveur, utilisant une instante de SQL Server Express. Vous avez besoin d’aucun outil supplémentaire :
  • Base de données : si vous souhaitez utiliser une base de données SQL Server séparée, cochez cette option.

Ici, nous conserverons la base de données interne. Cochez donc la bonne case, puis cliquez sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2

Ensuite, vous devez indiquer en emplacement où seront stockées les mises à jour téléchargées. Indiquez un chemin local ou réseau, puis cliquez sur Suivant.

Installer et configurer WSUS sous Windows Server 2012 R2

Enfin, la page de confirmation.  Vous pouvez cliquer sur Installer.

Installer et configurer WSUS sous Windows Server 2012 R2

Comme d’habitude, vous pouvez aller chercher un bon café, puis revenir plus tard (même si l’installation est assez rapide).

Une fois terminé, ne criez pas victoire trop vite, une configuration post-installation vous attend. Rassurez vous, vous n’aurez pas le temps de dire « encore ??« .

Retournez dans le gestionnaire de serveur, vous verrez en avertissement jaune en haut de la fenêtre. Cliquez dessus, puis sur Lancer les tâches de  post-installation.

Installer et configurer WSUS sous Windows Server 2012 R2

Quelques instants après, le message Configuration terminées pour Services WSUS apparaît.

Cette fois, c’est terminé pour la phase d’installation. La configuration du serveur WSUS se fera dans le prochain billet.

Créer un profil itinérant sous Windows 2008/2012

En entreprise, il n’est pas rare de voir un utilisateur « piquer » l’ordinateur d’un collègue.

Ce qui est pratique, c’est qu’avec ses identifiants Windows – pour peu que les utilisateurs aient un compte Active Directory bien évidemment – on peut ouvrir sa session depuis n’importe quel poste.

… mais, il y a un mais, les derniers documents personnels ne sont pas accessibles. Normal, ils sont stockés sur le précédent poste.

Un moyen de résoudre à ce problème : créer un profil itinérant. Avec cette méthode, tous les fichiers créés ou modifiés sont stockés sur le serveur :

  • À l’ouverture de la session, s’il s’agit de la première connexion de l’utilisateur sur le poste, le dossier utilisateur est téléchargé (Bureaux, favoris…)
  • À la fermeture de la session, les fichiers modifiés prennent le sens inverse et sont stockés sur le serveur.

De cette manière, les utilisateurs retrouveront leurs documents quel que soit le poste sur lequel ils se connectent.

Voici comment configurer cela.

Tout d’abord, il est nécessaire de créer sur le serveur, un répertoire qui accueillera tous les profils utilisateur.

Une fois cela fait, rendez-vous dans les propriétés du dossier, onglet Partage. Choisissez ensuite Partage avancé, cochez la case Partager le dossier, puis cliquez sur le bouton Autorisations.

Vérifiez que le Nom de groupes ou d’utilisateurs est bien positionné sur Tout le monde, puis indiquez Autorisé sur la valeur Contrôle total. Puis validez les différentes fenêtres.

Créer un profil itinérant sous Windows 2008/2012

Ensuite, ouvrez la console Utilisateurs et Ordinateurs Active Directory, puis entrez dans les propriétés d’un utilisateur.

Dans l’onglet Profil, repérez le champ Chemin du profil. C’est ici que vous devez renseigner l’adresse UNC du dossier précédemment partagé sous la forme : \\Serveur\Dossier\%username% :

Serveur : Correspondent au nom de votre serveur. Ici : DC
Dossier : Le nom du dossier partagé. Ici : Profils utilisateur
%username% : il s’agit d’une variable, elle sera automatiquement remplacée par le nom de l’utilisateur.

J’entre donc :

\\DC\Profils utilisateur\%username%

Créer un profil itinérant sous Windows 2008/2012

L’opération est à faire sur chaque compte utilisateur. Vous pouvez en sélectionner plusieurs puis entrer dans les propriétés, et entrer le chemin d’accès, sans oublier la variable %username%.

Créer un profil itinérant sous Windows 2008/2012

Dorénavant, le dossier utilisateur sera situé sur le serveur, et sera synchronisé à chaque ouverture et fermeture de session.

Désactiver l’ouverture d’un logiciel au démarrage sous Windows 8.1

Sous Windows XP, Windows 7 ou autre, vous aviez l’habitude (ou pas) d’effectuer un msconfig pour gérer les logiciels qui s’exécute au démarrage de l’ordinateur.

Sous Windows 8.1, cette gestion ne se fait plus au même endroit. Vous n’aurez cependant pas à chercher bien loin, l’onglet Démarrage du module msconfig est toujours présent sous Windows 8.1, mais Windows vous indique que la gestion des éléments de démarrage se fait à partir du gestionnaire des tâches.

En plus c’est cool, il y a même un lien direct !

Désactiver l'ouverture d'un logiciel au démarrage sous Windows 8.1

Il n’y a bien sûr pas d’obligation à faire tout ce labyrinthe, vous pouvez ouvrir le gestionnaire de tâche de la manière dont vous souhaitez (clique droit sur la barre de tâches > Gestionnaire de tâches entre autres).

Une fois sur ce gestionnaire, sur la partie en bas cliquez sur Plus de détails, puis sur l’onglet Démarrage.

Désactiver l'ouverture d'un logiciel au démarrage sous Windows 8.1

Pour interdire un logiciel de se lancer au démarrage, effectuez un clic droit dessus, choisissez Désactiver, puis c’est tout.

Désactiver l'ouverture d'un logiciel au démarrage sous Windows 8.1