Déploiement des services WSUS via GPO

Avant de commencer, les détails techniques de l’article, révisons ensemble ce qu’est une GPO. Une GPO ou « Group Policies Object » est une stratégie de groupe. Sa fonction est simple à comprendre: Lorsqu’on installe un client Windows sur un réseau il n’a pas de stratégie c’est-à-dire pas de configuration système propre au réseau. Le but des GPO est d’en créer ! On va fournir une configuration précise à un groupe présent dans l’Active Directory. Les GPO peuvent donc agir sur l’environnement de travail (redirection d’un repertoire utilisateur), sur les applications (installer automatiquement des applications après authentification) ou même sur la sécurité (modifier les paramètres de sécurité).

Maintenant la définition rappelée passons à la mise en place.

Mise en Place des GPOs

Pré-requis: Pour pouvoir suivre les exemples de cet article, il vous faut un serveur windows Server 2008 R2, où est installé un Active Directory et WSUS. Dans l’exemple suivi au cour de cet article nous sommes sur le controlleur de domaine dcTaochy1 dans le domaine taochy.adds.

Pour déployer les mises à jour avec WSUS il faut normalement modifier une GPO. Pour mieux comprendre le fonctionnement des GPO et leur mise en place, je vous propose de créer une GPO et de la modifier pour permettre le déploiement des mises à jour.

Pour créer une GPO il faut se rendre dans gestion des stratégies de groupe, pour cela Outils d’administration -> Gestion des Stratégies de groupe.

Une fois dans l’utilitaire,  cliquez dans le menu de droite sur Foret: nom_de_la_foretAD -> Domain -> Objets de Stratégies de Groupe -> Clique droit -> Nouveau.

Puis vous renseignez le nom de la GPO que vous voulez créer. Pour nous ce sera « WSUS ».

Maintenant la GPO est créée mais il y a pas de stratégies dedans. Pour cela clic droit sur la GPO qu’on vient de créer et cliquer sur modifier. Ceci nous ramène à la fenêtre « Editeur de Gestion des stratégies de groupe ».

On arrive à la partie intéressant

Menu de droite -> Configuration Ordinateur -> Stratégies -> Modèles d’administration [...] -> Composants Windows -> Windows Update !

Dans le menu de gauche vous allez voir apparaitre tout les éléments possibles de configurer pour Windows Update via notre GPO.

La première chose à configurer est l’adresse du serveur WSUS, afin que les machines ne se connectent pas à Windows Update mais au serveur WSUS. Pour cela, il suffit de cliquer sur « Spécifier le service intranet du service de mise à jour ». Une fenêtre s’ouvre, et vous devez activer cette stratégie et spécifier le nom de votre serveur WSUS. Vu que j’ai installé le serveur sur mon controlleur dcTaochy1, mon serveur est disponible à l’adresse dcTaochy1.taochy.adds (taochy.adds étant mon domaine). Et je spécifie le port 8530 (port WSUS) avec le « :8530″.

N.B. : Je travail en environnement virtualisé, souvent le service WSUS doit être installé sur un serveur à part.

Nous avons configuré le plus important, maintenant chacun peut avoir une configuration différente. Pour cela, il suffit de cliquer sur les différentes options possibles (Activer les notifications d’application, activer le ciblage coté client, configuration du service de mises à jour automatique..). Je vous propose tout de même une configuration. Je ne vais pas détaillé point par point la configuration mais juste vous donner ce que j’ai fait et un screenshot le montrant.

• Configuration du service de mises à jour automatiques: Activé.
• Configuration de la mises à jour automatique: 4 – Téléchargement et Planification des installations.
• Jour de l’installation planifié: 3 – mardi.
• Heure de l’installation planifiée: 12h00.
• Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées de mises à jour automatiques: Activé.
• Autoriser les non-administrateurs à recevoir les notifications de mises à jour: Désactivé.
• Activer les mises à jour recommandées par l’intermédiaire des Mises à jour automatiques: Activé.

Maintenant, toutes les machines qui se connectent à mon Active Directory recevront les mises à jour WSUS via notre serveur.

Conclusion

Nous avons vu dans cet article le déploiement des mises à jour via les GPO. Nous avons créé une GPO et avons configuré selon nos choix personnels et nos besoins.

Avez-vous une autre proposition concernant la configuration de WSUS ?