Création des GPO pour le ciblage WSUS et des groupes de tests des mises à jour

Il faut ensuite créer des GPO pour que les postes de travails et serveurs du domaine puissent se mettre à jour via le WSUS et non par les serveurs de Microsoft.

WSUS - Location

On se rend dans la console de Gestion de stratégie de groupe, on clique droit sur "Objets de stratégie de groupe" puis on crée une nouvelle GPO.GPO nommée "WSUS - Location".

On clique droit sur la nouvelle GPO puis "Modifier". On se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows et Windows Update.

"Spécifier l'emplacement intranet du serveur de mise à jour..." On active et on définit l'url. (L'entrée DNS pour le serveur WSUS doit être présente)

WSUS - Workstations

 

On crée ensuite une nouvelle GPO pour les postes de travail nommée "WSUS - Workstations".

On la modifie et on se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Optimisation de la distribution.

On active "Mode de téléchargement" sur "Réseau local".

On se rend ensuite dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update

On adapte ici les heures d'activités.

WSUS - Servers

 

On ne veut pas que les mises à jour s'installent automatiquement sur nos serveurs, sauf pour les mises à jour des définitions de l'antivirus. On va donc activer une option.

Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update.

Ensuite, pour les autres options : 

Si on a une farm de serveurs, il est préférable de créer plusieurs 'anneaux' de planifications et groupes, en choisissant l'option 4 : "Téléchargement automatique et planifier l'installation" et forcer le redémarrage lors de la maintenance des serveurs.

WSUS - Workstations, Test - Workstations

C'est une GPO pour le groupe de ciblage.

Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update

WSUS - Servers, Test - Servers

C'est une GPO pour le groupe de ciblage.

Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update

 

Lier les GPO aux bonnes OU

On applique la GPO de l'emplacement à toute l'OU.

On applique pour les postes de travails la GPO correspondante.

De même pour les serveurs.

On n'oublie pas les contrôleurs de domaine.

Création des groupes de tests

On va créer 4 groupes dans l'OU "Security Groups".

• ACL_GPO.WSUS - Workstations & Test_Apply

• ACL_GPO.WSUS - Workstations & Test_Deny

• ACL_GPO.WSUS - Servers & Test_Apply

• ACL_GPO.WSUS - Servers & Test_Deny

On fait la même chose pour les 3 autres groupes à créer.

Dans la console de Gestion de stratégie de groupe, on clique sur la GPO "WSUS - Workstations, Test - Workstations", dans la partie "Filtrage de sécurité", on supprime "Utilisateurs authentifiés".

On clique ensuite sur "Ajouter..." puis on ajoute le groupe "ACL_GPO.WSUS - Workstations & Test_Apply".

Dans l’onglet Délégation, on ajoute « Utilisateurs authentifiés » en lecture.

 

On clique sur Avancé et on ajoute ACL_GPO.WSUS – Workstations & Test_Deny avec les permissions refusées.

On fait la meme chose pour l’autre GPO pour les tests sur serveurs (WSUS - Servers, Test - Servers) avec les deux groupes ACL.