WSUS – Windows Server 2016 – Partie 2
Introduction
Dans la première partie, nous avons vu comment déployer le rôle WSUS et le configurer, dans cette partie nous verrons comment configurer les postes clients et serveurs par GPO. Dans un parc informatique, chaque type d’équipement est soumis à une politique de sécurité différente :
- Pouvant redémarrer sans interventions humaines (Serveurs / Postes non critique)
- Nécessitant des mises à jour d’applications (Onedrive, PowerPoint, Skype, …)
- Qui sont dans une zone sensible (Serveurs Exchange, Skype, etc…)
- Ils ont besoin d’un suivi méthodique (ex : zones de tests pour observer si une mise à jour provoque des comportements anormaux)
- Ou ceux qui font l’objet de mises à jour en masse (Postes clients )
Configuration Clients
Groupe WSUS
Nous allons dans un premier temps configurer les groupes (filtrés) sur le WSUS. Rendez-vous dans Server Manager > Tools > Windows Server Update Services. Dérouler le menu Computers et faites un clic droit sur « All Computers » :
Cliquer sur « Add Computer Group… » puis remplissez le champ « Name » :
Faites ceci autant de fois que vous avez de groupe :
Vous pouvez faire des sous-groupes (il faudra alors renseigner dans la GPO le nom du sous-groupe) :
Pour classer en automatique les ordinateurs/serveurs dans les groupes WSUS en fonction des GPOs, aller dans « Options » puis cliquer sur « Computer ». Sélectionner « Use Group Policy or registry settings on computer » :
GPO – Téléchargement des mises à jour
Aller dans la console de management des GPOs, puis créer une nouvelle GPO. Faite un clic droit, puis « Edit » et aller dans :
- Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
Activer « Configure Automatic Updates », puis sélectionner la manière dont vous voulez que s’effectuent les mises à jour sur les clients :
Activer « Specify intranet Microsoft update service location », puis renseigner « http://FQDN_SERVEUR_WSUS:8530 » (En remplaçant FQDN_SERVEUR_WSUS par le FQDN de votre serveur WSUS) :
Activer « Enable client-side targeting », puis renseigner le nom du groupe WSUS (groupe créer avec la console WSUS) :
Si vous souhaitez que les utilisateurs qui ne sont pas administrateur puissent installer les mises à jour :
- Activer « Allow non-administrators to receive update notifications »
Vue d’ensemble de la GPO :
GPO – Installation des mises à jour
Dans le cas où vous souhaitez que les mises à jour s’installent automatiquement, voici la procédure : Vous devez avoir effectué la procédure précédente (ci-dessus) avant de débuter celle-ci. Activer « Always automcatically restart at the scheduled time », puis configurer le temps laisser à l’utilisateur pour enregistrer son travail avant le redémarrage :
Modifier « Configure Automatic Updates » et sélectionner « 4 – Auto Download and schedule the install » :
Désactiver « No auto-restart with logged on users for scheduled automatic updates installations » :
Résultat à la fin de la procédure :
Lier la GPO
La GPO étant configurée, nous devons la lier à une OU : Clic droit sur une OU puis « Link an Existing GPO… »
Filtre WMI
Dans le cas où vous auriez différents types d’objets dans votre OU, les filtres WMI peuvent vous permettre d’appliquer des GPOs en fonction de certains paramètres.
Pour créer un filtre WMI, Rendez-vous dans la section « WMI Filters » dans la console de gestion des GPOs. Faite un clic droit, puis « New » :
Nommer votre filtre, ajouter lui une description et configurer la requête (query) qui répondra à votre besoin. Voici deux exemples de filtre pour distinguer les serveurs des clients :
Vous n’avez plus qu’à renseigner vos filtres WMI sur vos GPOs.
Conclusion
Dans cette partie, nous avons vu comment configurer les GPOs pour qu’elles s’appliquent à l’ensemble de notre parc. Il ne vous reste plus qu’à segmenter votre parc pour appliquer la politique de mises à jour la plus adaptée à vos besoins. Ce billet ferme le chapitre WSUS portant sur le déploiement, la configuration et la mise en production d’un système WSUS 2016 sur Windows Server 2016.