# Création des GPO pour le ciblage WSUS et des groupes de tests des mises à jour
---
## Présentation
Il faut ensuite créer des GPO pour que les postes de travails et serveurs du domaine puissent se mettre à jour via le WSUS et non par les serveurs de Microsoft.
---
## Création des GPO
---
#### WSUS - Location
On se rend dans la console de Gestion de stratégie de groupe, on clique droit sur "Objets de stratégie de groupe" puis on crée une nouvelle GPO nommée "WSUS - Location".
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/SGyF1CDnRxRIag2Y-image-1610992817492.png)
On clique droit sur la nouvelle GPO puis "Modifier". On se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows et Windows Update.
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/pnU6Q5jCpEfgHpky-image-1610992970489.png)
"Spécifier l'emplacement intranet du serveur de mise à jour..." On active et on définit l'url. (L'entrée DNS pour le serveur WSUS doit être présente)
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/n0xWNsA25VtH1MU4-image-1610993001269.png)
---
#### WSUS - Workstations
On crée ensuite une nouvelle GPO pour les postes de travail nommée "WSUS - Workstations".
On la modifie et on se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Optimisation de la distribution.
On active "Mode de téléchargement" sur "Réseau local".
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/oBFI0Y43635t6Lyq-image-1610993251453.png)
On se rend ensuite dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/0Dgw0TkweUDHXnwK-image-1610997773666.png)
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/mL8hsn5s9BAVAXcc-image-1610997325009.png)
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/QuiQvPt61PVEqQQ3-image-1610997330959.png)
EDIT : la GPO ci-dessous n'a pas le résultat escompté d'après Microsoft. ([https://techcommunity.microsoft.com/t5/windows-it-pro-blog/why-you-shouldn-t-set-these-25-windows-policies/ba-p/3066178?WT.mc\_id=AZ-MVP-5004580](https://techcommunity.microsoft.com/t5/windows-it-pro-blog/why-you-shouldn-t-set-these-25-windows-policies/ba-p/3066178?WT.mc_id=AZ-MVP-5004580))
Il faut la remplacer. Voir la page suivante disponible dans ce chapitre :
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/EXP87S17Md5bLgJZ-image-1610997336347.png)
On adapte ici les heures d'activités.
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/SMTKjTqAwI8j5RBT-image-1610997341557.png)
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/yXfWQl80Fhoq8pIX-image-1610997358318.png)
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/jACi2vQhablO5NWb-image-1610997363198.png)
---
#### WSUS - Servers
On ne veut pas que les mises à jour s'installent automatiquement sur nos serveurs, sauf pour les mises à jour des définitions de l'antivirus. On va donc activer une option.
Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update.
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/AtnX01ORXQV7VO7I-image-1610998351645.png)
[](https://docs.khroners.fr/uploads/images/gallery/2021-05/Zhi1scb9OfR5Rfjp-image-1622302093406.png)
Ensuite, pour les autres options :
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/IoZE7C9kIvHoSpN4-image-1610998372193.png)
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/2hWLs6QIxQJWBCZy-image-1610998392491.png)
Si on a une farm de serveurs, il est préférable de créer plusieurs 'anneaux' de planifications et groupes, en choisissant l'option 4 : "Téléchargement automatique et planifier l'installation" et forcer le redémarrage lors de la maintenance des serveurs.
Pour conclure, ici les mises à jour seront téléchargées automatiquement sur les serveurs, mais ne seront pas installées automatiquement, à l'exception de Windows Defender.
---
#### WSUS - Workstations, Test - Workstations
C'est une GPO pour le groupe de ciblage.
Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/QVIsQ7sXbWnzbsWf-image-1610999484956.png)
---
#### WSUS - Servers, Test - Servers
C'est une GPO pour le groupe de ciblage.
Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/EXlNNRbTxXZhRXXc-image-1610999526873.png)
Lier les GPO aux bonnes OU
On applique la GPO de l'emplacement à toute l'OU.
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/5oANaWLMxo89nVUp-image-1611000097878.png)
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/dqqw9NdHAUWAlCcy-image-1611000100885.png)
On applique pour les postes de travails la GPO correspondante.
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/Hk3UU1sqYO2AdsL3-image-1611000118840.png)
De même pour les serveurs.
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/165cyVu0ibiCOANK-image-1611000132028.png)
On n'oublie pas les contrôleurs de domaine.
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/5TecvVDwp9fZCQTh-image-1611000431539.png)
---
## Création des groupes de tests
On va créer 4 groupes dans l'OU "Security Groups".
- ACL\_GPO.WSUS - Workstations & Test\_Apply
- ACL\_GPO.WSUS - Workstations & Test\_Deny
- ACL\_GPO.WSUS - Servers & Test\_Apply
- ACL\_GPO.WSUS - Servers & Test\_Deny
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/6nVpVIzk1c6EvmwY-image-1611000730774.png)
On fait la même chose pour les 3 autres groupes à créer.
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/FCiowQHRCM8xTg21-image-1611000751108.png)
Dans la console de Gestion de stratégie de groupe, on clique sur la GPO "WSUS - Workstations, Test - Workstations", dans la partie "Filtrage de sécurité", on supprime "Utilisateurs authentifiés".
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/zgVfxhI3mEXr118X-image-1611000786350.png)
On clique ensuite sur "Ajouter..." puis on ajoute le groupe "ACL\_GPO.WSUS - Workstations & Test\_Apply".
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/lVrl4ly1i4Xn9XNF-image-1611000843096.png)
Dans l’onglet Délégation, on ajoute « Utilisateurs authentifiés » en lecture.
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/nzghmKqvGUDwZH9C-image-1611001098230.png)
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/mBdR5ZOkKnBDCfPF-image-1611001104608.png)
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/JEVz6hal7LtBclCT-image-1611001113445.png)
On clique sur Avancé et on ajoute ACL\_GPO.WSUS – Workstations & Test\_Deny avec les permissions refusées.
[](https://docs.khroners.fr/uploads/images/gallery/2021-01/bESoz88740OwclzB-image-1611001124641.png)
On fait la même chose pour l’autre GPO pour les tests sur serveurs (WSUS - Servers, Test - Servers) avec les deux groupes ACL.