Création des GPO pour le ciblage WSUS et des groupes de tests des mises à jour

Présentation

Il faut ensuite créer des GPO pour que les postes de travails et serveurs du domaine puissent se mettre à jour via le WSUS et non par les serveurs de Microsoft.

Création des GPO

WSUS - Location

On se rend dans la console de Gestion de stratégie de groupe, on clique droit sur "Objets de stratégie de groupe" puis on crée une nouvelle GPO nommée "WSUS - Location".

On clique droit sur la nouvelle GPO puis "Modifier". On se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows et Windows Update.

"Spécifier l'emplacement intranet du serveur de mise à jour..." On active et on définit l'url. (L'entrée DNS pour le serveur WSUS doit être présente)

WSUS - Workstations

On crée ensuite une nouvelle GPO pour les postes de travail nommée "WSUS - Workstations".

On la modifie et on se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Optimisation de la distribution.

On active "Mode de téléchargement" sur "Réseau local".

On se rend ensuite dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update

EDIT : la GPO ci-dessous n'a pas le résultat escompté d'après Microsoft. (https://techcommunity.microsoft.com/t5/windows-it-pro-blog/why-you-shouldn-t-set-these-25-windows-policies/ba-p/3066178?WT.mc_id=AZ-MVP-5004580)

Il faut la remplacer. Voir la page suivante disponible dans ce chapitre :

On adapte ici les heures d'activités.

WSUS - Servers

On ne veut pas que les mises à jour s'installent automatiquement sur nos serveurs, sauf pour les mises à jour des définitions de l'antivirus. On va donc activer une option.

Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update.

Ensuite, pour les autres options :

Si on a une farm de serveurs, il est préférable de créer plusieurs 'anneaux' de planifications et groupes, en choisissant l'option 4 : "Téléchargement automatique et planifier l'installation" et forcer le redémarrage lors de la maintenance des serveurs.

Pour conclure, ici les mises à jour seront téléchargées automatiquement sur les serveurs, mais ne seront pas installées automatiquement, à l'exception de Windows Defender.

WSUS - Workstations, Test - Workstations

C'est une GPO pour le groupe de ciblage.

Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update

WSUS - Servers, Test - Servers

C'est une GPO pour le groupe de ciblage.

Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update

Lier les GPO aux bonnes OU

On applique la GPO de l'emplacement à toute l'OU.

On applique pour les postes de travails la GPO correspondante.

De même pour les serveurs.

On n'oublie pas les contrôleurs de domaine.

Création des groupes de tests

On va créer 4 groupes dans l'OU "Security Groups".

ACL_GPO.WSUS - Workstations & Test_Apply
ACL_GPO.WSUS - Workstations & Test_Deny
ACL_GPO.WSUS - Servers & Test_Apply
ACL_GPO.WSUS - Servers & Test_Deny

On fait la même chose pour les 3 autres groupes à créer.

Dans la console de Gestion de stratégie de groupe, on clique sur la GPO "WSUS - Workstations, Test - Workstations", dans la partie "Filtrage de sécurité", on supprime "Utilisateurs authentifiés".

On clique ensuite sur "Ajouter..." puis on ajoute le groupe "ACL_GPO.WSUS - Workstations & Test_Apply".

Dans l’onglet Délégation, on ajoute « Utilisateurs authentifiés » en lecture.

On clique sur Avancé et on ajoute ACL_GPO.WSUS – Workstations & Test_Deny avec les permissions refusées.

On fait la même chose pour l’autre GPO pour les tests sur serveurs (WSUS - Servers, Test - Servers) avec les deux groupes ACL.

Installation du rôle AD DS (Contrôleur de domaine) et DNS

Ajouter un contrôleur de domaine secondaire

Activer la corbeille Active Directory

Monter un partage par GPO par OU

Créer des GPO pour Chrome

Déployer un .msi par GPO

Déployer un fond d'écran par GPO

Déployer des favoris Chrome via GPO

Gérer Edge par GPO

Déployer des favoris Edge par GPO

Gérer OneDrive par GPO

Configuration de Windows Update par GPO

Installation du rôle DHCP

Fail-over DHCP

Installation du rôle WSUS et synchronisation

Optimisation de WSUS

Ciblage des postes clients pour les mises à jour via le serveur WSUS

Création de vues

Création des GPO pour le ciblage WSUS et des groupes de tests des mises à jour

Approbation des mises à jour

Installation du runtime Microsoft Report Viewer

Approbation automatique des mises à jour de définition (Windows Defender)

Mise en place du TLS/SSL pour WSUS

Résoudre l'apparition de duplicatas de WSUS dans la console

Installation automatique des définitions de Microsoft Defender

Windows Server 2022 et WSUS

WDS

Extraire les pilotes de VMware Tools

Convertir un fichier ESD en WIM

MDT : Microsoft Deployment Toolkit

Créer une image de référence 21H2

Impossible de trouver le fichier script "C:\LTIbootstrap.vbs".

Déployer une image de référence avec MDT et WDS

MDT / WDS avec base de données SQL

Modifier le registre d'une image Windows

Exemple : MDT avec SQL

Erreur "Verify BCDBootEx" avec MDT

Installation de Windows Admin Center

Convertir un certificat letsencrypt en .pfx (admin center)

Ajouter des serveurs dans Admin Center

Installation de l'autorité de certification racine

Configuration Radius NPS pour l'authentification 802.1x via EAP-TLS

Déploiement du wifi 802.1x PEAP-TLS par GPO

Audit et sécurisation (hardening) d'AD CS

Création des GPO pour le ciblage WSUS et des groupes de tests des mises à jour

Présentation

Création des GPO

WSUS - Location

WSUS - Workstations

WSUS - Servers

WSUS - Workstations, Test - Workstations

WSUS - Servers, Test - Servers

Création des groupes de tests