Création des GPO pour le ciblage WSUS et des groupes de tests des mises à jour
Présentation
Il faut ensuite créer des GPO pour que les postes de travails et serveurs du domaine puissent se mettre à jour via le WSUS et non par les serveurs de Microsoft.
Création des GPO
WSUS - Location
On se rend dans la console de Gestion de stratégie de groupe, on clique droit sur "Objets de stratégie de groupe" puis on crée une nouvelle GPO nommée "WSUS - Location".
On clique droit sur la nouvelle GPO puis "Modifier". On se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows et Windows Update.
"Spécifier l'emplacement intranet du serveur de mise à jour..." On active et on définit l'url. (L'entrée DNS pour le serveur WSUS doit être présente)
WSUS - Workstations
On crée ensuite une nouvelle GPO pour les postes de travail nommée "WSUS - Workstations".
On la modifie et on se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Optimisation de la distribution.
On active "Mode de téléchargement" sur "Réseau local".
On se rend ensuite dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update
On adapte ici les heures d'activités.
WSUS - Servers
On ne veut pas que les mises à jour s'installent automatiquement sur nos serveurs, sauf pour les mises à jour des définitions de l'antivirus. On va donc activer une option.
Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update.
Ensuite, pour les autres options :
Si on a une farm de serveurs, il est préférable de créer plusieurs 'anneaux' de planifications et groupes, en choisissant l'option 4 : "Téléchargement automatique et planifier l'installation" et forcer le redémarrage lors de la maintenance des serveurs.
Pour conclure, ici les mises à jour seront téléchargées automatiquement sur les serveurs, mais ne seront pas installées automatiquement, à l'exception de Windows Defender.
WSUS - Workstations, Test - Workstations
C'est une GPO pour le groupe de ciblage.
Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update
WSUS - Servers, Test - Servers
C'est une GPO pour le groupe de ciblage.
Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update
Lier les GPO aux bonnes OU
On applique la GPO de l'emplacement à toute l'OU.
On applique pour les postes de travails la GPO correspondante.
De même pour les serveurs.
On n'oublie pas les contrôleurs de domaine.
Création des groupes de tests
On va créer 4 groupes dans l'OU "Security Groups".
-
ACL_GPO.WSUS - Workstations & Test_Apply
-
ACL_GPO.WSUS - Workstations & Test_Deny
-
ACL_GPO.WSUS - Servers & Test_Apply
-
ACL_GPO.WSUS - Servers & Test_Deny
On fait la même chose pour les 3 autres groupes à créer.
Dans la console de Gestion de stratégie de groupe, on clique sur la GPO "WSUS - Workstations, Test - Workstations", dans la partie "Filtrage de sécurité", on supprime "Utilisateurs authentifiés".
On clique ensuite sur "Ajouter..." puis on ajoute le groupe "ACL_GPO.WSUS - Workstations & Test_Apply".
Dans l’onglet Délégation, on ajoute « Utilisateurs authentifiés » en lecture.
On clique sur Avancé et on ajoute ACL_GPO.WSUS – Workstations & Test_Deny avec les permissions refusées.
On fait la même chose pour l’autre GPO pour les tests sur serveurs (WSUS - Servers, Test - Servers) avec les deux groupes ACL.