WSUS için GPO Ayarları - Mustafa Sabri OĞUZ

Duyurular

6 Aralık 2018 Perşembe

WSUS için GPO Ayarları

Sıra geldi WSUS için domain ortamında ki sistemlerin güncelleme ayarlarını değiştirmeye. Malum bu ayarları gerçekleştirmediğimiz de sistemlerimiz varsayılan olarak Windows Update sunucularından güncelleme talep edeceklerdir. Ayrıca kullanıcılarımızın müdahalesini kaldırmamız gerekiyor ki, planladığımız güncellemeler düzgün bir şekilde uygulansın. Bunun için GPO tanımlamamız gerekiyor.

Bunun için öncelikle WSUS üzerinden sistemler Client ve Server olarak gruplandırma yapmamız gerekiyor. Domain ortamımız da birden fazla işletim sistemi versiyonuna olabilir. Örnek şirkette ki her bilgisayar Windows 10 olmayabilir. Örnek; Windows 8, Windows 7 ve hatta Windows Xp bile olabilir. İşletim sistemine göre de gruplandırma yapmamız gerekebilir. Bu gruplandırmada ki maksadımız güncellemeleri doğru ve kolayca yönetebilmek ve uygulayabilmek.
Bunun için "Windows Server Update Services" konsol penceresini çalıştırın.
 Sunucu ismimiz olan SVR-2 adlı seçeneği seçin. Ardından "Options" seçeneğini seçin. Orta pencerede listelenen ayarlardan "Computers" seçeneğini seçin.
Burada ki seçenekler;
"Use the Update Services Console": Yeni eklenen bilgisayarların otomatik olarak atanmamış bilgisayarlar grubuna koyulacağını ifade ediyor. Bu seçenek ile her sistemi kendimiz elle ilgili gruba tanımlamamız gerekiyor. Tabi ki bu benim işime gelmez.
"Use Group Policy or registry settings on computers.": bu seçenek ile sistemleri GPO ile yada registery ayarına göre kendini gruplandırma yapmasıdır. Bizim işimizi bu seçenek kolaylaştıracaktır.
Yeni bir bilgisayar grubu oluşturmak için sol panelde bulunan "Computers" seçeneğine sağ tıklayın. Ardından " Add Computer Group..." seçeneğini seçin.
 Eklenecek yeni bilgisayar grubuna bir isim verin. Örnek; Win 8, Win 7 vs...
Görüldüğü üzere yeni bir bilgisayar grubu oluştu. Örneğimiz için sizde benim yaptığım gibi bir gruplandırma yapabilirsiniz. Şimdi gruplandırmanın kendi kendine otomatik bir şekil gerçekleşebilmesi için DC (Domain Controller) sunucumuzda bazı ayarlar yapmamız gerekiyor.
İlk olarak "Active Directory Users and Computers" penceresini açın.
Bilgisayarlarımızın listelendiği "Makineler" OU'su içerisinde bilgisayarlarımızın üzerinde yüklü işletim sistemine göre yeni OU'lar tanımlıyoruz.
Bu örnekte "Win 8" ve "Win 7" isminde bir OU oluşturuyorum.

Bilgisayarların işletim sistemine göre bilgisayarlarımızı uygun OU'lara taşıyın. Benim elimde Windows 7 ve Windows 8 işletim sistemleri bulunmadığından, sunucularımı "Servers" OU'suna taşıyorum. Sizde buna benzer bilgisayar objelerinizi taşıyın.
 Gelen uyarıya "Yes" ile onayladıktan sonra sunucularımız olması gereken yerdeler...
Bilgisayar objelerini düzenledikten sonra sıra GPO tanımlaması yapmaya geldi. Bunun için "Group Policy Management" penceresini açın.
"Win 8" OU'su üzerine gelin ve faremizin sağ tuşu ile çıkan "Create a GPO in this domain, and Link it here..." seçeneği ile yeni bir gpo oluşturalım.
Group policy'e yeni bir isim verin. Wsus'la alakalı olduğunu gösterebilmek için "Wsus Win-8" adını verdim.
Daha sonra oluşturduğumuz gpo'ya yeni kurallar tanımlamak için düzenliyoruz.
Wsus ile ilgili kuralları bulabilmek için "Computer Configuration" seçeneğinin altında "Policies" seçeneği seçin. Ardından "Administrative Templates" seçeneğinin altında ise "Windows Components" seçeneğini seçin.
 Windows Update seçeneğini bulun ve seçin. Sağ listede kullanacağımız kuralları işaretledim. Şimdi sırasıyla bu kuralları düzenleyelim.
Always automatically restart at the scheduled time: Bu kuralımız güncellenmeden kaynaklı yeniden başlatma işlemini gerçekleştirmek için tanımlanır. Kullanıcıya 15 dakika içerisinde yeniden başlatılacağına dair bildirim gönderilir.
Configure Automatic Updates: Bu kuralımızı otomatik güncelleme işleminin istediğimiz tarih ve zamanda kendi kendine gerçekleştirmesi için tanımlıyoruz.
Specify intranet Microsoft update service location: Bu kural ile varsayılan Windows Güncelleme Servisinin adresini değiştirmek için kullanılır. Biz adres olarak Wsus kurulu olan sunucumuzu gösterdik.
Automatic Updates detection frequency: Bu kural ise güncelleme kontrolünü ne kadar süre ile kontrol etmesini gerektirdiğini belirtiyoruz. Bu süre ne kadar az olursa, o kadar sık güncelleme kontrolü gerçekleştirecektir. Bu bağlantınızı ve sunucunuzun performansını etkileyebilir.
Enable client-side targeting: Bilgisayarlarımızı otomatik olarak Wsus servisinde grubladırmak için kullanılan kuraldır. Burada verdiğimiz bilgisayar grubu ismi ile Group Policy'mizin etkili olduğu tüm bilgisayarlar bu gruba yönlendirilir.
Artık Win 8 işletim sistemine sahip bilgisayarlarımızın Group policy'si hazır. Diğer OU'lara aynı işlemi gerçekleştirebilirsiniz. Lakin son kurala dikkat etmeniz gerekiyor. Eğer tüm GPO'lar tamamsa, gpoları sistemlere bildirmemiz gerekiyor. Bunun için "gpupdate /force" komutunu uyguluyoruz.

Artık SVR-2 sunucumuzda yani WSUS servisinde sonuçlarını görelim.
Görüldüğü üzere WSUS üzerinde herhangi bir çaba gerektirmeden kendisi Active Directory ile GPO ayarına göre otomatik olarak gruplanmış oluyor.

Not: Otomatik gruplandırma işlemi biraz zaman alabiliyor. Bunun nedeni Wsus ile sistemlerin öncelikle haberleşmesi gerekiyor. Bu işlemi sistemlerin komut satırına (cmd) "wuauclt /reportnow" komutunu yazarak hızlandırabilirsiniz.

Hiç yorum yok:

Yorum Gönder