3. Gestion des machines clientes
3.1. Configuration des mises à jours automatiques des clients
3.1.1. Avec des Stratégie De Groupe (GPO)
Voici la méthode pour déployer la politique de déploiement des mises à jour
sur votre réseau. Comme pré requis, il sera nécessaire d'avoir un domaine Active
Directory.
3.1.1.1. Configuration de l'ordinateur qui configure les stratégies de
groupe
Avant d'entamer la création de GPO (Group Policy Object), pour la configuration de la mise à jour
automatique des clients, vous devez vous assurer que vous possédez le dernier
modèle d'administration Windows Update. Le fichier du modèle intégrant la gestion de WSUS se nomme
Wuau.adm
et il est situé dans le dossier
%systemroot%\Inf.
Il est disponible dans le Service Pack 2 de Microsoft Windows XP.
Procédure pour importer le modèle d'administration Wuau.adm, si votre ordinateur ne possède pas la dernière version:
- Dans l'éditeur de Stratégie de groupe, cliquez sur le nœud Modèle
d'administration.
- Dans le menu Action, cliquez sur Ajout/Suppression de modèles...
- Dans la fenêtre "Ajout/Suppression de modèle", cliquez sur Ajouter...
- Dans la fenêtre de "Sélection de modèle", sélectionnez
Wuau.adm et
cliquez sur Ouvrir...
- Fermer la fenêtre "Ajout/Suppression de modèle".
3.1.1.2. Spécifier au client un serveur WSUS
Dès lors que ce modèle stratégie de groupe sera importé, les ordinateurs
clients utiliseront le service WSUS disponible sur votre réseau pour la mise à
jour automatique mais les utilisateurs pourront toujours mettre à jour
manuellement leur ordinateur via Microsoft Windows Update. Pour empêcher
les utilisateurs d'utiliser Microsoft Windows Update, il faudra activer une
autre stratégie de groupe (voir chapitre 3.1.1.3, stratégie Supprimer l'accès à l'utilisation de toute les fonctionnalités de
Windows Update)
Procédure pour activer l'utilisation de votre serveur WSUS
par les ordinateur clients pour la mise à jour automatique:
- Dans l'éditeur de Stratégie de groupe, déployez les nœuds Configuration
ordinateur, Modèle
d'administration, Composants Windows, Windows Update.
- Dans le panel de droite, modifiez la stratégie suivante: "Spécifier
l'emplacement intranet du service de Mise à jour Microsoft"
- Activez la stratégie dans la fenêtre Propriétés de la stratégie
- Renseignez l'adresse DNS du serveur qui héberge le service WSUS dans les
champs "Configurer le service intranet de Mise à jour pour la détection des
mises à jour" et "Configurer le serveur intranet de statistiques" (Exemple:
http://wsus.supinfo.lan/ ou
http://wsus.supinfo.lan:8350/)
- Activez la stratégie Configuration des mises à jours automatiques
pour activer le service de Mise à jour automatique des clients et spécifier
une politique (voir ci-dessous)
- Cliquez OK
Une fois cette stratégie de groupe enregistrée et liée à un domaine ou à une
unité d'organisation, les ordinateurs utiliseront le serveur WSUS pour mettre à
jour le système (après actualisation de la stratégie de groupe sur les clients)
grâce à la fonctionnalité de mise à jour automatique.
3.1.1.3. Spécifier des options de stratégie de groupe lié à la Mise à jour automatique de Microsoft
WindowsGrâce aux différentes options, vous pourrez changer
l'interaction entre les clients, leur machine et le serveur WSUS.
Vous trouverez ces options de stratégie de groupe dans le nœud Configuration
ordinateur\Modèle
d'administration\Composants Windows\Windows Update
| Stratégie |
Description |
| Autoriser le ciblage coté client |
Vous pouvez créer des groupes dans WSUS. L'objectif de cette
stratégie est de spécifier le nom de groupe que les ordinateurs
doivent utiliser pour télécharger les mises à jour. |
| Autoriser les non-administrateurs à recevoir les
notifications de mises à jours |
Cette stratégie va permettre d'autoriser les utilisateurs non-administrateurs de recevoir les notifications
de mises à jour. L'utilisateur pourra ou non confirmer l'installation des
mises à jour. |
| Autoriser l'installation immédiate des mises à jour
automatique |
Si la mise à jour ne nécessite pas de redémarrage de Windows ou de
services Windows alors, si la stratégie est active, l'installation des
mises à jour s'effectue de suite. |
| Configuration des mises à jours automatiques |
Cette stratégie va permettre d'activer le service "Mise à jour
automatique" et ensuite le fonctionnement de celle-ci (Notification,
téléchargement, planification, interaction avec les stratégies locales)
Fonctionnement des mises à jour possible:
2: Notification avant téléchargement et notification avant installation
des mises à jour
3: Téléchargement automatique des mises à jour et notification avant
installation des mises à jour
4: L'installation des mises à jour est automatique et planifié en
fonction des valeurs ScheduledInstallDay et ScheduledInstallTime
5: La planification des mises à jour est configuré mais l'utilisateur
final peut le configurer |
| Délai de redémarrage pour les installations planifiées |
Cette stratégie permet de renseigner la durée entre la fin de
l'installation de mise à jour et le redémarrage de la machine. (par
défaut 5 minutes) |
| Fréquence de détection des mises à jour automatiques |
Elle permet de configurer la durée entre chaque vérification de mise
à jour (de -20% à 0%) sur le serveur WSUS (par défaut: 22 heures, donc
vérification après une durée de 18h24 et 22h) |
| Ne pas afficher l'option 'Installer les mises à jour et
éteindre' |
Si cette stratégie est active, l'option d'installation des mises à
jour avant extinction ne sera pas disponible aux utilisateurs. |
| Ne pas modifier l'option par défaut 'Installer les mises
à jour et éteindre' |
Si cette stratégie est active, alors la fonction arrêt de la machine
par défaut sera celle avec l'installation des mises à jour |
| Pas de redémarrage planifié des installations planifiés
des mises à jour automatiques |
Ne permet pas à la fonction Mise à jour automatique de redémarrer la
machine si celle-ci est planifiée. Seul l'utilisateur le fera manuellement |
| Redemander un redémarrage avec les installations
planifiées |
Permet de spécifier une demande de redémarrage après un laps de
temps, si la précédente a été refusée |
| Replanifier les installations planifiées des mises à
jours automatiques |
Si l'installation planifiée précédente a été manquée, alors on
renseigne le temps depuis le démarrage de la machine avant une nouvelle
planification. |
Vous trouverez d'autres stratégies de groupe lié au service Windows Update dans le
nœud Configuration utilisateur\Modèle d'administration\Composants Windows\Windows
Update.
| Stratégie |
Description |
| Supprimer l'accès à l'utilisation de toutes les fonctionnalités de
Windows Update |
Permet de désactiver toutes les interactions avec Windows Update. Il
est fortement conseillé de l'activer pour éviter de faire doublon avec
le service WSUS |
| Ne pas afficher l'option 'Installer les mises à jour et
éteindre' |
Si cette option est actif, alors l'option d'installation des mises à
jour avant extinction ne sera pas disponible aux utilisateurs. |
| Ne pas modifier l'option par défaut 'Installer les mises
à jour et éteindre' |
Si cette option est actif, alors la fonction arrêt de la machine par
défaut sera celle avec l'installation des mises à jours |
3.1.2. Dans un environnement sans A/D
Si vous ne possédez pas de domaine Active Directory, il est possible de
configurer les clients via la base de registre avec toutes les options
disponibles dans les stratégies de groupes mais la configuration des machines
sera très contraignante.
Voici les différentes entrées de la base de registre pour la configuration
des clients:
Nœud de configuration général: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
| Entrée |
Description |
D
| ElevateNonAdmins |
Valeur possible: 0 ou 1
0: Seuls les administrateurs peuvent refuser ou accepter les mises à jour
1: Tout le monde peut refuser ou accepter les mises à jour |
| TargetGroup |
Permet de spécifier le groupe de mise à jour auquel l'ordinateur
appartient (ciblage coté client) |
| TargetGroupEnabled |
Valeur possible: 0 ou 1
0: Désactiver la fonctionnalité de ciblage coté client
1: Activer la fonctionnalité de ciblage coté client |
| WUServer |
Permet de spécifier l'emplacement du serveur WSUS (exemple:
http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/). Doit être identique à
l'entrée WUStatusServer |
| WUStatusServer |
Permet de spécifier l'emplacement du serveur WSUS (exemple:
http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/). Doit
être identique à l'entrée WUServer |
Nœud de configuration pour les mises à jour automatique: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
| Entrée |
Description |
| AUOptions |
Valeur Possible: 2,3,4 ou 5
Configuration du fonctionnement de la Mise à jour automatique (Notification, téléchargement, planification, interaction avec les
stratégies locales)
2: Notification avant téléchargement et notification avant installation
des mises à jour
3: Téléchargement automatique des mises à jour et notification avant
installation des mises à jour
4: l'installation des mises à jour est automatique et planifié en
fonction des valeurs DWORD ScheduledInstallDay et ScheduledInstallTime
5: la planification des mises à jour est configuré mais l'utilisateur
final peut le configurer |
| AutoInstallMinorUpdates |
Valeur possible: 0 ou 1
0: N'installe pas de suite les mises à jours mineurs qui ne nécessite
pas de redémarrage de l'ordinateur ou de service
1: Installe de suite les mises à jours mineurs qui ne nécessite pas de
redémarrage de l'ordinateur ou de service |
| DetectionFrequency |
Valeur possible: de 1 à 22
Durée en heure entre chaque vérification de mise
à jour (de -20% à 0%) sur le serveur WSUS |
| DetectionFrequencyEnabled |
Valeur possible: 0 ou 1
0: Utilise la valeur par défaut de la durée entre chaque vérification de
mise à jour (par défaut: 22 heures, donc
vérification après une durée de 18h24 et 22h)
1: Utilise la valeur renseigné par la valeur DWORD DetectionFrequency
(toujours de -20% à 0%) pour la durée entre chaque vérification de mise
à jour |
| NoAutoRebootWithLoggedOnUsers |
Valeur possible: 0 ou 1
0: l'ordinateur redémarre la machine dans les 5 minutes qui suivent la
mise à jour de la machine
1: l'utilisateur a le choix de redémarrer ou non la machine |
| NoAutoUpdate |
Valeur possible: 0 ou 1
0: Mise à jour automatique désactivé
1: Mise à jour automatique activé |
| RebootRelaunchTimeout |
Valeur possible: de 1 à 1440
Durée en minute entre chaque demande de redémarrage à l'utilisateur de
l'ordinateur |
| RebootRelaunchTimeoutEnabled |
Valeur possible: 0 ou 1
0: Le temps entre chaque demande de redémarrage à l'utilisateur est
celle par défaut (10 minutes)
1: Le temps entre chaque demande de redémarrage à l'utilisateur est
celle renseigne par la valeur DWORD RebootRelaunchTimeout |
| RebootWarningTimeout |
Valeur possible: de 1 à 30
Durée en minutes du compteur avant redémarrage de la machine pour les
mises à jour planifiées ou obligatoires |
| RebootWarningTimeoutEnabled |
Valeur possible: 0 ou 1
0: Le temps initial en minute du compteur avant redémarrage pour les
mises à jour planifiées ou obligatoires est celle par défaut (5 minutes)
1: Le temps initial en minute du compteur avant redémarrage pour les
mises à jour planifiées ou obligatoires est celle renseigné par la valeur
DWORD RebootRelaunchTimeout |
| RescheduleWaitTime |
Valeur possible: entre 1 et 60
Temps en minute pour l'attente depuis le démarrage de la machine avant
installation des mises à jour planifié raté.
Cette politique ne s'applique pas aux mises à jour qui ont une échéance
spécifique. Si l'échéance d'une mise à jour est dépassé alors celle-ci
est installé de suite. |
| RescheduleWaitTimeEnabled |
Valeur possible: 0 ou 1
0: Les mises à jour planifiées ratées seront reportés lors de prochaine
planification
1: Les mises à jour planifiées ratées seront installés après le laps de
temps spécifié par la valeur DWORD RebootRelaunchTimeout |
| ScheduledInstallDay |
Valeur possible: entre 0 et 7
0: Mise à jour planifié tous les jours
de 1 à 7: jour de la semaine de dimanche (1) à samedi (7)
Cette option ne marche seulement si l'entrée AUOption est configurée à la
valeur 4 |
| ScheduledInstallTime |
Valeur possible: entre 0 et 23
Heure de la journée pour les mises à jour planifié
Cette option ne marche seulement si l'entrée AUOption est configurée à la
valeur 4 |
| UseWUServer |
Valeur possible: de 0 à 1
0: Utilise Windows Update
1: Utilise votre serveur WSUS |
3.2. Utilitaire en ligne de commande
3.2.1. Vérification du fonctionnement côté client
Microsoft fournit un outil pour tester le bon fonctionnement du client et de
sa configuration. Il permet de tester aussi la connexion avec le serveur WSUS.
Cet outil s'appelle "WSUS Client Diagnostic Tool". Vous pouvez le télécharger
à l'adresse suivante:
cliquez ici Il suffira juste de l'exécuter pour voir les différents processus testés et
fonctionnels.
3.2.2. Détection manuel du serveur WSUS
Vous pouvez, en utilisant la ligne de commande suivante sur la machine cliente,
détecter le serveur WSUS manuellement et ainsi pouvoir administrer la machine
très rapidement sur la console WSUS (choix d'un groupe, etc...)
Procédure pour détecter manuellement le serveur WSUS sur un
ordinateur client:
- Cliquez sur Démarrer puis sur Exécuter...
- Tapez dans le champ Ouvrir: wuauclt.exe /detectnow
- Cliquez sur OK
3.2.3. Mise à zéro des informations clientes
WSUS utilise des cookies pour enregistrer un certain nombre d'information, y
compris le groupe WSUS du client. Par défaut, le cookie est supprimé une heure
après sa création. Mais si dans ce laps de temps vous changer le groupe WSUS
du client, vous risquez d'avoir des comportements inattendus. Pour éviter tout
souci, utilisez la procédure suivante.
Procédure pour réinitialiser le cookie de l'ordinateur client:
- Cliquez sur Démarrer puis sur Exécuter...
- Tapez dans le champ Ouvrir: wuauclt.exe /resetauthorization /detectnow
- Cliquez sur OK
3.3. Groupe d'ordinateurs WSUS
3.3.1. Présentation
Par défaut, deux groupes sont présents All Computers et Unassigned
Computers. Lorsque vous ajoutez une machine à votre serveur WSUS,
celle-ci est membre des deux groupes. Mais vous pouvez aussi enlever votre
machine du groupe Unassigned Computers, pour l'assigner à un autre groupe que vous avez créé. Le
groupe All Computers vous permettra, quant à lui, de distribuer très
facilement une mise à jour (ou plusieurs) à l'ensemble des ordinateurs que vous
gérez.
Un avantage des groupes est que vous pouvez réaliser des tests sur un groupe
(ex: test_winXP_office2003), qui contient des machines représentative d'un autre
groupe (celui-ci pour qui seront destinés les correctifs), afin de vérifier les
nouvelles mises à jour. Si les résultats sont concluant, vous pourrez déployer
ces mises à jour sur un second groupe répondant aux critères de votre groupe de
test (ex: PC_winXP_office2003). De cette façon, vous pourrez facilement gérer le
déploiement de vos mises à jour en fonction des profils matériels et logiciels
des machines de votre réseau.
Le nombre de groupe n'est pas limité!
3.3.2. Mode d'affectation des ordinateurs
Vous avez la possibilité d'affecter les ordinateurs dans les groupes WSUS:
- soit automatiquement via la stratégie de groupe (stratégie Autoriser le ciblage coté client)
ou via les informations de registre (entrées: TargetGroup et TargetGroupEnabled).
- soit manuellement via la console WSUS
Dans les deux cas, il faudra manuellement crée les groupes WSUS via la
console WSUS. Si vous devez maitrisez un parc informatique conséquent, vous
devez bien entendu utiliser l'affectation de groupe automatique.
Procédure pour configurer l'affectation des ordinateurs:
- Dans la console WSUS, cliquez sur Options et sur Options des
ordinateurs
- Dans la fenêtre Options des ordinateurs, choisissez l'une des
options possibles:
- Utiliser la tâche Déplacer les ordinateurs dans Windows Server Update
Services si vous souhaitez créer les groupes et assigner les ordinateurs
via la console WSUS
- Utiliser la stratégie du groupe ou les paramètres des Registres des
ordinateurs si vous souhaitez créer les groupes via WSUS et assigner les
ordinateurs via les stratégies de groupe ou les informations de registre des
ordinateurs clients
- Sous Tâches, cliquez sur Enregistrer les paramètres et
confirmer les modifications
3.3.3. Création des groupes
En mode automatique ou manuel pour l'affectation des ordinateurs, vous devez
créer les groupes.
Procédure pour la création des groupes dans la console WSUS:
- Dans la console WSUS, cliquez sur Ordinateurs
- Sous Tâches, cliquez sur Créer un groupe d'ordinateurs
- Cliquez sur OK
3.3.4 Affectation des ordinateurs (affectation manuelle)
Si vous avez choisi l'affectation des ordinateurs manuelle, vous devrez pour
chaque ordinateur de votre réseau lui désigner un groupe créé précédemment
Procédure pour affecter un ordinateur à un groupe WSUS
manuellement:
- Dans la console WSUS, cliquez sur Ordinateurs
- Sous Groupes, sélectionnez le groupe où se trouve l'ordinateur que
vous souhaitez déplacer
- Dans la liste des ordinateurs, sélectionnez l'ordinateur que vous
souhaitez déplacer
- Sous Tâches, cliquez sur Déplacer l'ordinateur sélectionné
- Dans la liste des groupes, sélectionnez le groupe destinataire
- Cliquez sur OK
 Sommaire
1. Comment préparer l'installation de WSUS
1.1. Configuration minimale
1.2. Type de déploiement
1.3. Détails des options lors de l'installation d'un serveur WSUS
1.4. Migration d'un serveur SUS vers un serveur WSUS
2. Configuration de la synchronisation et de l'approbation
2.1. Configuration du service: Site Web d'administration
2.2. Synchronisation: téléchargement et installation des mises à jour
2.3. Exporter, importer des mises à jour
3. Gestion des machines clientes
3.1. Configuration des mises à jour automatiques des clients
3.2. Utilitaire en ligne de commande
3.3. Groupe d'ordinateurs WSUS
4. Fonctionnalités de surveillance
4.1 Rapports
4.2 Surveillance
4.3 Outil de débogage
5. Sécurisez un serveur WSUS
5.1. Renforcer la sécurité de votre serveur Windows Server 2003 exécutant WSUS
5.2. Ajouter l'authentification entre les serveurs chainés dans un environnement Active Directory
5.3. Sécurisé WSUS avec Secure Socket Layer
Conclusion
Ressources
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Présentation de Windows Server Update Services - WSUS
