З розвитком Інтернету постійне оновлення операційної системистало звичайним явищем. Тепер розробники можуть виправляти та доопрацьовувати систему протягом усього терміну її підтримки. Але часті оновлення Windows 10 – це не завжди зручно. Саме тому добре вміти відключати їх.

Причини вимкнення автоматичного оновлення

Причини можуть бути різними, причому тільки ви самі можете вирішити, наскільки вам необхідно відключити оновлення. При цьому варто враховувати, що разом із покращеннями тих чи інших можливостей постачаються важливі виправлення уразливостей системи. І все ж таки ситуації, коли самостійні оновлення варто відключити, виникають досить часто:

• платний інтернет - часом оновлення є дуже великим і його завантаження може дорого обійтися, якщо ви платите за трафік. У такому разі краще відкласти завантаження та завантажити пізніше за інших умов;
• Нестача часу - після завантаження оновлення почне встановлюватися в процесі вимкнення комп'ютера. Це може бути незручно, якщо вам потрібно швидко завершити роботу, наприклад, ноутбук. Але ще гірше тут те, що рано чи пізно Windows 10 вимагатиме перезапустити комп'ютер, а якщо ви не зробите цього, то через якийсь час перезапуск пройде примусово. Все це відволікає та заважає працювати;
• безпека - хоч самі по собі оновлення часто містять важливі виправлення системи, ніхто і ніколи не може передбачити все. В результаті одні оновлення можуть відкрити вашу систему для вірусної атаки, інші просто порушать її роботу відразу після установки. Розумний підхід у цій ситуації – оновлюватись через деякий час після виходу чергової версії, попередньо вивчивши відгуки.

Вимкнення автоматичного оновлення Windows 10

Способів, як вимкнути оновлення Windows 10, є багато. Деякі з них дуже прості для користувача, інші складніші, а треті вимагають встановлення сторонніх програм.

Вимкнення через центр оновлень

Використання центру оновлення для вимкнення - не кращий варіант, хоч його і пропонують як офіційне рішення розробники з Microsoft. Ви дійсно можете вимкнути автоматичне завантаженняоновлень через їх налаштування. Проблема тут у тому, що це рішення так чи інакше буде тимчасовим. Реліз великого оновлення Windows 10 змінить це налаштування та поверне оновлення системи. Але ми все одно вивчимо процес відключення:

Після цих змін незначні оновлення більше не встановлюватимуться. Але це рішення не допоможе вам назавжди позбутися завантаження оновлень.

У цій статті я розповім вам про деякі ключі реєстру (registry keys), пов'язані з оновленням Windows ( Windows Update). Я покажу вам різні параметри, які можуть отримувати ці ключі реєстру.

Якщо ви пропустили другу частину цієї статті, то, будь ласка, прочитайте

Хоча і оновлення Windows (Windows Update) і WSUS, загалом, досить легко налаштовувати, іноді ви можете отримати більш детальний контроль шляхом внесення деяких змін до реєстру Windows. У цій статті я покажу вам деякі ключі реєстру, пов'язані з оновленням Windows (Windows Update). Я покажу вам різні параметри, які можуть отримувати ці ключі реєстру.

Для початку

Для початку я ощасливлю юристів і попереджу, що внесення змін до реєстру може бути дуже небезпечним. Внесення неправильних параметрів реєстру може призвести до знищення Windows та/або будь-яких запущених додатківна машині. Перед спробою внесення змін до реєстру необхідно зробити повну резервну копіюя готовий показати вам, як це робиться.

Є ще одна річ, про яку я маю вам розповісти. Тонка настройка, про яку я хочу вам розповісти, застосовується тільки для комп'ютерів, що працюють під керуванням Windows XP. Ви можете вносити зміни для певних машин безпосередньо, або їх можна застосувати як частину сценарію при вході (login script). Також деякі ключі, про які я розповім, можуть не існувати за промовчанням. Якщо ви хочете використовувати ключ, який не існує, то ви повинні спочатку створити його. Ви також повинні знати, що поведінкою оновлення Windows можна керувати за допомогою політики групи (group policy). Політики груп можуть іноді модифікувати ключі реєстру таким чином, що вони дотримуються заданої ними поведінки.

Підвищення привілеїв

Одна з проблем при отриманні оновлень від сервера WSUS полягає в тому, що користувачі не можуть затверджувати або відмовлятися від оновлень, доки вони не є членами групи локальних адміністраторів (local administrators group). Однак, ви можете використовувати реєстр, щоб підвищити привілеї користувачів таким чином, щоб вони мали можливість встановлювати або відмовлятися від встановлення змін незалежно, чи є членами групи локальних адміністраторів (local administrator) чи ні. З іншого боку, ви також можете заборонити користувачам встановлювати оновлення та залишити це право адміністратору (Admin).

Ключ реєстру, який відповідає за це: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins

Ключ ElevateNonAdmins має два можливі значення. Значення за умовчанням, що дорівнює 1, дозволяє користувачам, які не є адміністраторами, встановлювати оновлення. Якщо ви зміните це значення на 0, лише адміністратори зможуть встановлювати оновлення.

Target Groups

Одна із чудових речей із WSUS полягає в тому, що він дозволяє використовувати позиціонування клієнтської сторони (client side targeting). Ідея з позиціонуванням клієнтської сторони полягає в тому, що ви можете задавати різні комп'ютерні групи і роздавати права на встановлення оновлень залежно від членства в групі. За замовчуванням позиціонування клієнтської сторони не використовується, але якщо ви вирішите використовувати його, то є два ключі реєстру, які допоможуть вам це зробити. Перший із цих ключів включає позиціонування клієнтської сторони (client side targeting), а інший вказує назву групи, до якої належить комп'ютер. Обидва з цих ключів повинні бути створені в: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

Перший ключ – це ключ DWORD під назвою TargetGroupEnabled. Ви можете надати цьому ключу значення 0, тим самим відключивши client side targeting, або 1, що включає позиціонування клієнтської сторони (client side targeting).

Інший ключ, який ви повинні створити, має називатися TargetGroup і мати рядкове значення. Значенням цього ключа має бути назва групи, до якої має бути приписаний комп'ютер.

Встановлення сервера WSUS

Якщо ви трохи були залучені до роботи з мережею, то ви, ймовірно, знаєте, що дизайн мережі має тенденцію змінюватися з часом. Такі речі, як зростання компанії, нові вимоги до безпеки та корпоративні обмеження часто лежать в основі для зміни мережі. Як це стосується оновлення Windows? WSUS масштабується і може встановлюватися ієрархічним способом. Це означає, що в організації може бути кілька встановлених серверів WSUS. Якщо PC переміщений в іншу частину компанії, сервер WSUS, який спочатку був визначений для цього комп'ютера, може більше не підходити для нового місця. На щастя, кілька простих модифікацій реєстру допоможуть змінити сервер WSUS, від якого PC отримує оновлення.

Існують два ключі, які використовуються для визначення сервера WSUS. Кожен з них розташований в: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Перший ключ називається WUServer. Для цього ключа потрібно задати текстове значення, що описує URL-сервера WSUS (наприклад: http://servername).

Інший ключ, який ви маєте змінити – це ключ під назвою WUStatusServer. Ідея цього ключа полягає в тому, що комп'ютер (PC) повинен повідомляти про свій статус серверу WSUS таким чином, щоб сервер WSUS міг знати, які зміни були встановлені на комп'ютері. Ключ WUStatusServer зазвичай містить таке ж значення, як і ключ WUServer (наприклад: http://servername).

Агент автоматичного поновлення (Automatic Update Agent)

Отже, я розповів про те, як підключити комп'ютер (PC) до певного WSUS сервера або для певної групи (target group), але це тільки половина процесу. Оновлення Windows Update використовує агент оновлення (update agent), який насправді інсталює оновлення. Є кілька ключів реєстру, які розташовуються в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU та контролюють агента автоматичного оновлення (automatic update agent).

Перший із цих ключів – це ключ AUOptions. Цьому параметру DWORD може бути присвоєно значення 2, 3, 4 або 5. Значення 2 означає, що агент повинен повідомляти користувача при завантаженні оновлень. Значення 3 означає, що оновлення буде завантажено автоматично, а користувачеві буде повідомлено про встановлення. Значення 4 означає, що оновлення має бути автоматично завантажено та встановлено відповідно до плану. Для того, щоб працювала ця опція, необхідно також встановити значення для ключів ScheduledInstallDay та ScheduledInstallTime. Докладніше я розповім про ці ключі пізніше. І нарешті, значення 5 означає, що автоматичне оновлення потрібно, але він може бути налаштований кінцевими користувачами.

Наступний ключ, про який я хочу поговорити - це ключ AutoInstallMinorUpdates. Це ключ може приймати значення 0 або 1. Якщо значення ключа 0, то незначні оновлення (minor updates) обробляються як і будь-які інші оновлення. Якщо значення ключа 1, то незначні оновлення (minor updates) тихо встановлюються у фоновому режимі.

Інший ключ, що стосується агента автоматичного оновлення (Automatic Update Agent) – це ключ DetectionFrequency. Цей ключ дозволяє задати, як часто агент повинен звертатися за оновленнями. Значення ключа має бути ціле число від 1 до 22, що відображає кількість годин між спробами звернення за оновленням.

Пов'язаний із ним ключ реєстру – це ключ DetectionFrequencyEnabled. Як бачимо з назви, цей ключ дозволяє підключити або вимкнути функцію Detection Frequency. Якщо встановити значення цього ключа дорівнює 0, то значення ключа DetectionFrequency ігноруватиметься, а якщо встановити значення ключа дорівнює 1, то агент повинен буде використовувати значення ключа DetectionFrequency.

Наступний ключ, про який я хочу розповісти, – це ключ NoAutoUpdate. Якщо значення цього ключа 0, автоматичне оновлення підключено. Якщо значення ключа дорівнює 1, автоматичне оновлення вимкнено.

Останній ключ реєстру, про який я хочу поговорити – це ключ NoAutoRebootWithLoggedOnUsers. Як ви, ймовірно, знаєте, деякі оновлення не можуть набути чинності без перезавантаження системи. Якщо користувач у цей час працює, то перезавантаження може бути дуже небажаним. Це особливо вірно, якщо користувач відійшов від свого робочого місця та не зберіг свою роботу. У цьому випадку допоможе ключ NoAutoRebootWithLoggedOnUsers. Значення цього ключа може бути 0 або 1. Якщо значення ключа дорівнює 0, користувачі отримають 5 хвилинне попередження перед тим, як система автоматично піде на перезавантаження. Якщо значення ключа дорівнює 1, то користувачі просто отримають повідомлення, в якому запитується дозвіл на перезавантаження, але користувачі можуть здійснити його на власний розсуд.

Висновок

Існує набагато більше ключів реєстру щодо оновлення Windows. Про решту з них я розповім у другій частині цієї статті.

www.windowsnetworking.com

Readers Comments (Коментарів немає)

Exchange 2007

Автоматичне оновлення – важлива функціональна особливість будь-якої операційної системи. Завдяки їй комп'ютер вчасно отримує важливі апдейти, які роблять систему стабільнішою та безпечнішою. У Windows 7 функцію активовано спочатку. Це означає, що за наявності зв'язку з серверами Microsoft служба оновлень перевіряє наявність свіжих пакетів, завантажує їх і встановлює. Зазвичай всі процеси протікають практично непомітно для користувача, але, коли виникають постійні пропозиції оновитися до десятки, це вже перебір.

Теоретично вимикати автоматичне завантаження оновлень не варто. Вона корисна, тому що закриває проломи в безпеці, оптимізує роботу ОС, додає до неї нові можливості (щодо «десятки»). Також існує перелік приводів, за якими службу автооновлення слід відключити:

1. Користувачеві не подобається, що під час оновлення падає швидкість інтернету та/або довго не можна вимкнути ПК.
2. На комп'ютері дорогий або лімітований бездротовий Інтернет.
3. Проблеми після запуску оновленої ОС.
4. Збої в інсталяції пакетів оновлень.
5. На системному томі недостатньо місця збільшення обсягу Windows 7, зростаючого з кожним апдейтом.

Види

Все ж таки перед тим, як відключити оновлення Windows 7, подумайте, чи дійсно це потрібно. Крім деактивації служби, її можна перевести у такі режими роботи.

1. Цілком автоматичний – операції протікають без втручання користувача, лише повідомляючи останнього про завершення встановлення пакетів.
2. Пошук та завантаження свіжих виправлень за розкладом, а інсталяцію пакетів здійснює користувач.
3. Автоматична перевірка з повідомленням користувача про наявність оновлень.
4. Самооновлення вимкнено. Все здійснюється у ручному режимі.

Параметри вибираються у компоненті «Центр оновлень».

Способи відключення

Налаштування будь-який Windowsзберігаються у її реєстрі. Отримати доступ до ключа, який відповідає за налаштування центру оновлення, можна декількома простими та парою складніших шляхів. Розглянемо їх усі.

Зміна параметрів Центру оновлень

Почнемо з того, що налаштуємо роботу служби під себе. Для доступу до інтерфейсу конфігурації потрібно відкрити «Центр оновлень» одним із наведених способів.

Система

1. Через контекстне менюМого комп'ютера викликаємо його «Властивості».

1. У лівому вертикальному менюклацаємо по відповідному посиланню, розташованому внизу вікна.

1. Ідемо в «Панель управління».
2. Відкриваємо розділ "Система, безпека".

1. Викликаємо однойменний елемент.

Якщо елементи панелі керування візуалізуються у вигляді іконок, а не категорій, посилання на елемент відображатиметься вже у головному вікні.

1. Отже, після влучення в потрібне вікно натискаємо «Налаштування параметрів».

1. Переміщуємося в секцію «Важливі оновлення» і вибираємо відповідний варіант зі списку.

Повністю вимкнути отримання апдейтів на комп'ютері з Windows 7 допоможе лише зупинення сервісу.

Відключаємо службу

Управління службами у «сімці» відбувається за допомогою:

• прямого редагування ключів реєстру, що дуже незручно;
• сторонніх програм для налаштування ОС (пропустимо цей варіант);
• оснастки консолі MMC;
• конфігурації системи;
• командного рядка;
• редактора групових політик (є у Windows 7 Максимальна, Корпоративна).

Видалення сервісу з автозапуску

Вимкнення оновлень найшвидше здійснюється через системний конфігуратор.

1. Виконуємо "msconfig" у вікні командного інтерпретатора, який відкриється після затискання клавіш Win + R або кліка за кнопкою "Виконати" у пуску.

1. Ідемо у вкладку «Служби».
2. Знаходимо «Центр оновлення Windows» (можливо Windows Update) і прибираємо прапорець, що стоїть біля неї.

1. Зберігаємо нові налаштування.

До завершення поточного сеансу служба буде працювати, виконуючи покладені на неї завдання. Для використання нової конфігурації Windows 7 необхідно перезавантажити.

Скористайтеся оснасткою консолі MMC

Однойменне оснащення системної консолі надає доступ до управління всіма сервісами на ПК. Запускається так.

1. Відкриваємо контекстне меню каталогу "Мій комп'ютер".
2. Викликаємо команду "Управління".

1. У лівому вертикальному меню розгортаємо пункт «Служби та програми». Далі клацаємо за посиланням «Служби».

Більше простим варіантомвиклик цього ж вікна буде запуск команди «services.msc» через діалог «Виконати».

1. Перегортаємо список сервісів у самий кінець і відкриваємо «Властивості» служби оновлень Windows.

1. У списку «Тип запуску» вибираємо «Відключена» замість «Автоматично», щоб розпрощатися з автоматичним оновленням назавжди. Якщо потрібно відключити сервіс зараз, обов'язково натискаємо «Зупинити». Зберігаємо нові параметри кнопкою «Застосувати» та закриваємо всі вікна.

Для застосування налаштувань ПК перезавантаження не потребує.

Редактор групової політики

Налаштувати будь-який системний параметр допоможе ще одне оснащення консолі MMC, що називається редактором групової локальної політики.

У домашній редакції "сімки" він недоступний!

1. Запускається інструмент шляхом запуску команди gpedit.msc через вікно Виконати.

1. У підрозділі "Конфігурація ПК" розгортаємо гілку "Адміністративні шаблони".

1. Відкриваємо « Компоненти Windows» та шукаємо центр оновлення.
2. У правій частині вікна знаходимо параметр, назва якого починається з "Налаштування автооновлення".
3. Викликаємо його налаштування.

1. Переміщуємо чекбокс у положення «Вимкнути» та натискаємо «ОК» для закриття вікна зі збереженням змін.

Скористаємося командним рядком

Через командний рядок виконуються ті самі операції, що і за допомогою графічного інтерфейсу, і навіть більше, але у текстовому режимі. Головне, знати їх синтаксис та параметри.

За виклик командного рядка відповідає команда cmd.

1. Відкриваємо командний інтерпретатор та виконуємо її.

В одній із попередніх статей ми детально описали процедуру. Після того, як ви налаштували сервер, потрібно налаштувати Windows-клієнтів (сервера та робочі станції) на використання сервера WSUS для отримання оновлень, щоб клієнти отримували оновлення з внутрішнього сервера оновлень, а не з серверів Microsoft Update через Інтернет. У цій статті ми розглянемо процедуру налаштування клієнтів на використання сервера WSUS за допомогою групових політик домену Active Directory.

Групові політики AD дозволяють адміністратору автоматично призначити комп'ютери в різні групи WSUS, позбавляючи його необхідності ручного переміщення комп'ютерів між групами в консолі WSUS і підтримки цих груп у актуальному стані. Призначення клієнтів до різних цільових групам WSUSґрунтується на мітці в реєстрі на клієнті (мітки задаються груповою політикоюабо прямим редагуванням реєстру). Такий тип співвідношення клієнтів до груп WSUS називається clientsidetargeting(Таргетинг за клієнта).

Передбачається, що в нашій мережі будуть використовуватися дві різні політики оновлення - окрема політика встановлення оновлень для серверів ( Servers) та для робочих станцій ( Workstations). Ці дві групи потрібно створити у консолі WSUS у секції All Computers.

Порада. Політика використання сервера оновлень WSUS клієнтами багато в чому залежить від організаційної структури OU Active Directoryта правил встановлення оновлення в організації. У цій статті ми розглянемо лише приватний варіант, що дозволяє зрозуміти базові принципи використання політик AD для встановлення оновлень Windows.

Насамперед необхідно вказати правило угруповання комп'ютерів у консолі WSUS (targeting). За промовчанням у консолі WSUS комп'ютери розподіляються адміністратором по групах вручну (server side targeting). Нас це не влаштовує, тому вкажемо, що комп'ютери розподіляються на групи на основі client side targeting (за певним ключем у реєстрі клієнта). Для цього в консолі WSUS перейдіть до розділу Optionsта відкрийте параметр Комп'ютери. Змініть значення на Use Group Policy or registry setting on computers(Використовувати групову політику або параметри реєстру на комп'ютерах).

Тепер можна створити GPO для настроювання клієнтів WSUS. Відкрийте доменну консоль управління груповими політиками (Group Policy Management) та створіть дві нові групові політики: ServerWSUSPolicy та WorkstationWSUSPolicy.

Групова політика WSUS для серверів Windows

Почнемо з опису серверної політики ServerWSUSPolicy.

Установки групових політик, які відповідають за роботу служби оновлень Windows, знаходяться в розділі GPO: Комп'ютерConfiguration -> Policies-> Administrativetemplates-> WindowsComponent-> WindowsUpdate(Конфігурація комп'ютера -> Адміністративні шаблони -> Компоненти Windows -> Windows Update).

У нашій організації ми маємо намір використовувати цю політику для встановлення оновлень WSUS на сервері Windows. Передбачається, що всі комп'ютери, що потрапляють під цю політику, будуть віднесені до групи Servers в консолі WSUS. Крім того, ми хочемо заборонити автоматичне встановленняоновлень на серверах при отриманні. Клієнт WSUS повинен просто завантажити доступні оновлення на диск, відобразити сповіщення про наявність нових оновлень у системному треї та очікувати запуску установки адміністратором (ручною або віддаленою за допомогою ) для початку інсталяції. Це означає, що продуктивні сервери не будуть автоматично встановлювати оновлення та перезавантажуватись без підтвердження адміністратора (зазвичай ці роботи виконуються системним адміністратором у рамках щомісячних планових регламентних робіт). Для реалізації такої схеми поставимо такі політики:

• ConfigureAutomaticUpdates(Налаштування автоматичного оновлення): Enable. 3 – Autodownloadandnotifyforinstall(Автоматично завантажувати оновлення та повідомляти про їхню готовність до встановлення)– клієнт автоматично завантажує нові оновлення та сповіщає про їхню появу;
• SpecifyIntranetMicrosoftupdateservicelocation(Вказати розміщення служби оновлень Майкрософт в інтрамережі): Enable. Set Intranet update service for detecting updates (Вкажіть службу оновлення в інтрамережі для пошуку оновлень): http://srv-wsus.сайт:8530, Set the intranet statistics server (Вкажіть сервер статистики в інтрамережі): http://srv-wsus.сайт:8530– тут потрібно вказати адресу вашого сервера WSUS та сервера статистики (зазвичай вони збігаються);
• No auto-restart with logged on users for scheduled автоматичні updates installations(Не виконувати автоматичне перезавантаження під час автоматичного встановлення оновлень, якщо в системі працюють користувача): Enable– заборонити автоматичне перезавантаження за наявності сесії користувача;
• Enableclient-sidetargeting (Дозволити клієнту приєднання до цільової групи): Enable. Target group name for this computer (Ім'я цільової групи для даного комп'ютера): Servers– у консолі WSUS віднести клієнти до групи Servers.

Примітка. Під час налаштування політики оновлення радимо уважно познайомитися з усіма параметрами, доступними в кожній з опцій розділу GPO WindowsUpdateі задати відповідні для вашої інфраструктури та організації параметри.

Політика встановлення оновлень WSUS для робочих станцій

Ми припускаємо, що оновлення клієнтських робочих станцій, на відміну від серверної політики, будуть встановлюватися автоматично вночі відразу після отримання оновлень. Після встановлення оновлень комп'ютери повинні перезавантажуватися автоматично (попереджаючи користувача за 5 хвилин).

У цій GPO (WorkstationWSUSPolicy) ми вказуємо:

• AllowAutomaticUpdatesimmediateinstallation(Дозволити негайну установку автоматичних оновлень): Disabled- заборона на негайне встановлення оновлень при їх отриманні;
• Allownon-administratorstoreceiveupdatenotifications(Дозволити користувачам, які не є адміністраторами, отримувати повідомлення про оновлення): Enabled- відображати не-адміністраторам попередження про появу нових оновлень та дозволити їхнє ручне встановлення;
• Configure Automatic Updates:Enabled. Configure automatic updating: 4 - Auto download and schedule the install. Scheduled install day: 0 - Everyday. Scheduled install time: 05:00 – при отриманні нових оновлень клієнт завантажує в локальний кеш та планує їх автоматичне встановлення на 5:00 ранку;
• Target group name for this computer: Workstations– у консолі WSUS віднести клієнта до групи Workstations;
• No auto-restart with logged on users для встановлених автоматичних updates installations: Disabled- система автоматично перезавантажиться через 5 хвилин після закінчення інсталяції оновлень;
• Specify Intranet Microsoft update service location: Enable. Set intranet update service for detecting updates: http://srv-wsus.сайт:8530, Set the intranet statistics server: http://srv-wsus.сайт:8530-Адреса корпоративного WSUS сервера.

У Windows 10 1607 і вище, незважаючи на те, що ви вказали їм отримувати оновлення з внутрішнього WSUS, все ще можуть намагатися звертатися до Windows Update в інтернеті. Ця «фіча» називається DualScan. Для відключення отримання оновлень із інтернету потрібно додатково включати політику DonotallowupdatedeferralpoliciestocausescansagainstWindowsUpdate ().

Порада. Щоб покращити рівень пропатченості комп'ютерів в організації, в обох політиках можна налаштувати примусовий запуск служби оновлень (wuauserv) на клієнтах. Для цього у розділі Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Servicesзнайдіть службу Windows Update та задайте для неї автоматичний запуск (Automatic).

Призначаємо політики WSUS на OU Active Directory

Наступний крок – призначити створені політики до відповідних контейнерів (OU) Active Directory. У нашому прикладі структура OU в домені AD максимально проста: є два контейнери - Servers (у ньому містяться всі сервери організації, крім контролерів домену) і WKS (Workstations - комп'ютери користувачів).

Порада. Ми розглядаємо лише один досить простий варіант прив'язування політик WSUS до клієнтів. У реальних організаціях можна прив'язати одну політику WSUS на всі комп'ютери домену (GPO з налаштуваннями WSUS вішається на корінь домену), рознести різні видиклієнтів з різних OU (як у нашому прикладі – ми створили різні політики WSUS для серверів і робочих станцій), у великих розподілених доменах можна прив'язувати або призначати GPO на підставі або скомбінувати перелічені способи.

Щоб призначити політику на OU, клацніть у консолі управління груповими політиками за потрібним OU, виберіть пункт меню Link as Existing GPOта виберіть відповідну політику.

Порада. Не забудьте про окрему OU з контролерами домену (Domain Controllers), як правило, на цей контейнер слід прив'язати «серверну» політику WSUS.

Так само потрібно призначити політику WorkstationWSUSPolicy на контейнер AD WKS, у якому перебувають робочі станції Windows.

Залишилось оновити групові політики на клієнтах для прив'язування клієнта до сервера WSUS:

Усі налаштування системи оновлень Windows, які ми задали груповими політиками, повинні з'явитися в реєстрі клієнта у гілці HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Цей reg файл можна використовувати для перенесення налаштувань WSUS на інші комп'ютери, на яких не вдається налаштувати параметри оновлень за допомогою GPO (комп'ютери в робочій групі, ізольованих сегментах, DMZ тощо)

Windows Registry Editor Version 5.00

"WUServer"="http://srv-wsus.сайт:8530"
"WUStatusServer"="http://srv-wsus.сайт:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Також зручно контролювати застосовані налаштування WSUS на клієнтах за допомогою rsop.msc.

І через деякий час (залежить від кількості оновлень та пропускну здатністьканалу до сервера WSUS) потрібно перевірити в треї наявність спливаючих оповіщень про наявність нових оновлень. У консолі WSUS у відповідних групах мають з'явитися клієнти (у табличному вигляді відображається ім'я клієнта, IP, ОС, відсоток їхньої «пропатченості» та дата останнього оновленьстатусу). Т.к. ми політиками прив'язали комп'ютери та сервери до різних груп WSUS, вони отримуватимуть лише оновлення, схвалені до встановлення на відповідні групи WSUS.

Примітка. Якщо клієнта оновлення не з'являються, рекомендується уважно вивчити на проблемному клієнті лог служби оновлень Windows (C:\Windows\WindowsUpdate.log). Зверніть увагу, що у Windows 10 ( Windows Server 2016) використовується. Клієнт завантажує оновлення в локальну папку C:\Windows\SoftwareDistribution\Download. Щоб запустити пошук нових оновлень на сервері WSUS, потрібно виконати команду:

wuauclt /detectnow

Також іноді доводиться примусово перереєструвати клієнта на сервері WSUS:

wuauclt /detectnow /resetAuthorization

В особливо складних випадках можна спробувати відремонтувати службу wuauserv. У разі виникнення , спробуйте змінити частоту перевірки оновлень на сервері WSUS за допомогою політики Automatic Update detection frequency.

У наступній статті ми опишемо особливості. Також рекомендуємо ознайомитись із статтею між групами на WSUS сервері.