Créer une stratégie de groupe pour WSUS sous Windows 2012 R2


Le rôle WSUS a été installé, l’assistant de configuration effectué, nous allons maintenant faire en sorte que les postes clients communiquent avec le serveur WSUS. Nous allons pour cela utiliser les si célèbres GPO.

La stratégie de groupe

Rendez-vous sur le serveur, module Gestion de stratégie de groupe.

Dans le volet de gauche, au niveau du noeud de votre serveur, effectuez un clic droit, puis choisissez Créer un objet GPO dans ce domaine, et le lier ici…

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Nommez le WSUS (ou comme vous le souhaitez en fait), puis cliquez sur OK.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Ce dernier vient de s’ajouter sous votre domaine, cliquez droit dessus, puis choisissez Editer.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Déroulez alors l’arborescence : Configuration ordinateur >Modèles d’administration > Composants Windows > Windows Update.

Voici donc la liste des éléments liés à Windows Update.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Nous allons voir leur détail.

Les paramètres

Spécifier l’emplacement intranet du service de mise à jour Microsoft

Le paramètre de stratégie le plus important. Il consiste à indiquer le serveur WSUS, que les clients contacteront. Sans oublier le numéro de port (8530 par défaut).

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Activation de la fonctionnalité de gestion de l’alimentation par Windows Update pour la sortie de veille automatique du système lors de l’installation de mises à jour planifiées

Si des mises à jour sont planifiées, mais que manque de pot, le PC en question est éteint, cette option permet de sortir le PC en question de veille afin que les mises à jour puissent être appliquées, sans reporter l’opération à une date ultérieure.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Activer les mises à jour automatiques recommandées via le service Mises à jour automatique

Permet de spécifier si le service de mises à jour automatique doit publier les mises à jour importantes et recommandées à partir du site de mise à jour Windows Update.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Activer les notifications d’applications

Cette option permet de proposer aux utilisateurs, via des notifications, l’installation d’applications facultatives.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Autoriser l’installation immédiate des mises à jour automatiques

Permet l’installation automatique des mises à jour n’interrompant pas les services Windows. Nécessite que la stratégie « Configuration du service Mises à jour automatiques » soit activée.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Autoriser le ciblage côté client

Permet d’indiquer un nom de groupe cible que les postes clients devront utiliser afin de récupérer les mises à jour via WSUS.

Capture-d’écran-2014-11-14-à-20.29.29

Autoriser les mises à jour signées provenant d’un emplacement intranet du service de Mise à jour Microsoft

L’option permet de définir si le service de mises à jour accepte les mises à jour signées par des entités autres que Microsoft lorsqu’elles proviennent d’un emplacement intranet du service de mise à jour.

Capture-d’écran-2014-11-14-à-20.30.08

Autoriser les non-administrateurs à recevoir les notifications de mise à jour

De par le caractère important d’une mise à jour de sécurité, vous avec la possibilité d’accorder la possibilité aux utilisateurs, même non-administrateur, de recevoir les notifications de mise à jour et de les installer.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Configuration du service Mises à jour automatique

On configure ici ce que le poste doit recevoir :

  • Uniquement les notifications des téléchargements et des installations
  • Le téléchargement automatique et notification des installations
  • Le téléchargement automatique et planification des installations
  • Autoriser l’administrateur local à choisir les paramètres.

Il est également possible d’indiquer si l’on souhaite que l’installation se fasse durant la maintenance automatique, et le choix du jour et de l’heure de l’installation planifiée.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Délai de redémarrage pour les installations planifiées

En cas d’une installation planifiée, on peut choisir la durée pendant laquelle les mises à jour automatiques doivent attendre avant de procéder à un redémarrage planifié. Par défaut, elle est de 15 minutes.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Fréquence de détection des mises à jour automatiques

Par défaut, le Windows cherchera la disponibilité de nouvelles mises à jour toutes les 22h. Il est possible de modifier ce délai par l’intermédiaire de cette option.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Ne pas afficher l’option « Installer les mises à jour et éteindre » dans la boite de dialogue Arrêt de Windows

Cette option permet de ne pas ajouter le bouton « Installer les mises à jour et éteindre, et ce même si des mises à jour sont disponibles pour le poste.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Ne pas modifier l’option par défaut « Installer les mises à jour et éteindre » dans la boite de dialogue Arrêt de Windows

Cette stratégie permet d’indiquer si l’on souhaite ou non que l’option « Installer les mises à jour et éteindre » puisse être définie par défaut dans la liste des options de la boîte de dialogue d’arrêt de Windows.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Ne pas se connecter à des emplacements Internet Windows Update

Permet d’empêcher complètement tout accès au service Windows Update public.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées de mises à jour automatiques

Cette option permet d’attendre le prochain démarrage de l’ordinateur avant d’appliquer les mises à jour, au lieu de déconnecter la session ouverte en cours.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Redemander un démarrage avec les installations planifiées

Ce réglage permet de spécifier le délai avant de se voir redemander un redémarrage en cas de redémarrage planifié. Par défaut, il est de 10 minutes.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Re-planifier les installations planifiées des mises à jour automatiques

Si les mises à jour n’ont pu être appliquées au moment planifié, cette option permet de définir le temps d’attente après le démarrage suivant avant d’appliquer à nouveau ces mises à jour. Ne fonctionne que si l’option « Configuration du service Mises à jour automatiques » est activée.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Toujours redémarrer automatiquement à l’heure planifiée

Lors de mises à jour importantes, le PC doit redémarrer. Par défaut, les utilisateurs sont avertis sur l’écran de connexion pendant 48h indiquant qu’un redémarrage doit être effectuer. Il est possible de passer outre ce délai, et de forcer le PC à redémarrer, en réglant le minuteur entre 15 et 180 minutes. Passé ce délai, le PC sera automatiquement redémarré, même si des utilisateurs sont connectés.

Créer une stratégie de groupe pour WSUS sous Windows 2012 R2

Vous pouvez fermer la fenêtre de configuration.

N’oubliez pas de vérifier que la stratégie est bien activée. En faisant un clic droit sur la stratégie, vérifiez que Lien activé a bien sa petite encoche.

La stratégie de groupe faite, il ne nous reste plus qu’à configurer WSUS en lui même, tout cela dans un dernier billet.

Précédent

Préparation de WSUS sous Windows Server 2012 R2

Suivant

Configuration de WSUS sous Windows Server 2012 R2

  1. Romain INGRAND

    « Dans Gestion de stratégie de groupe, n’oubliez pas d’activer la GPO fraîchement créée. Pour cela, effectuez un clic droit dessus, puis choisissez Appliquer. »

    Pour précision, l’option « Appliquer » ne sert pas à « activer » une GPO, mais à forcer l’exécution d’une GPO dans le cas ou certaines des sous-OU auraient un blocage d’héritage (avec l’option « Bloquer l’héritage »).

    L’option qui sert à activer une GPO, s’appelle : « Lien activé » et elle l’est par défaut si la GPO à été créée au niveau d’une OU.

    C’est une très mauvaise traduction de la part de Microsoft qui traine de version en version.

    Cdt.

    • Philippe

      Bonjour,

      Merci beaucoup pour votre commentaire. Vous avez tout à fait raison, ce passage a été corrigé 🙂

  2. ELLO

    merci ROMAIN pour cet ajout ! une grande découverte pour moi

Laisser un commentaire

Fièrement propulsé par WordPress & Thème par Anders Norén

Afficher
Cacher