  Déploiement d'un serveur SUS
[30 mn de lecture - paru le 10/26/2004 12:24:14 PM - Public : Confirmé]
|
 
|
Auteur
Paramétrage du client
Pré requis
La mise à jour automatique des patchs de sécurité est directement prise en charge par les postes exécutant Windows 2000 SP3, Windows XP SP1 et Windows Serveur 2003 (ou versions supérieures...).
Les postes exécutant des versions plus anciennes et ne pouvant pas être mis à jour par les « services packs », doivent installer le client « Automatic Updates ».
Le paragraphe suivant traite de ce cas, sinon passez directement à la création d’une UO.
Configuration des postes ne prenant pas en charge le service « Automatic Updates »
|
Nom (Type)
|
Valeur : Résultat
|
|
NoAutoUpdate
(Reg_DWORD)
|
0: Le service Mises à jour automatiques est activé (valeur par défaut).
1: Le service Mises à jour automatiques est désactivé.
|
|
AUOptions
(Reg_DWORD)
|
1: La fonction Maintenir mon ordinateur à jour a été désactivée dans le service Mises à jour automatiques.
2: Notification des téléchargements et des installations.
3: Téléchargement automatique et notification des installations.
4: Téléchargement automatique et planification des installations.
|
|
ScheduledInstallDay
(Reg_DWORD)
|
0: Chaque jour.
1 jusqu'à 7 : Les jours de la semaine du dimanche (1) au samedi (7).
|
|
ScheduledInstallTime
(Reg_DWORD)
|
n : où n correspond à l'heure de la journée dans un format sur 24 heures (0 à 23).
|
|
UseWUServer
(Reg_DWORD)
|
Définissez cette valeur à 1 pour configurer le service
Mises à jour automatiques afin d'utiliser un serveur qui exécute les Services
de mises à jour logicielles au lieu de Windows Update.
|
|
RescheduleWaitTime
(Reg_DWORD)
|
m : où m correspond à la durée d'attente entre le
démarrage du service Mises à jour automatiques et le moment où il commence
les installations dont l'heure planifiée est dépassée (cette durée est
exprimée en minutes, 1 à 60, représentant 1 à 60 minutes).
|
|
NoAutoReboot
WithLoggedOnUsers
(Reg_DWORD)
|
0 (false) ou 1 (true). Si la valeur est définie sur 1, le
service Mises à jour automatiques ne redémarre pas automatiquement un
ordinateur sur lequel des utilisateurs ont ouvert une session.
|
Création d’une nouvelle Unité Organisationnelle (UO)
La création d’une nouvelle Unité Organisationnelle (UO) s’effectue grâce à la console « Utilisateurs et ordinateurs Active Directory ».
Lancer la console en exécutant la commande « dsa.msc ».
La console « Utilisateurs et ordinateurs Active Directory » s’ouvre.
Clique droit sur le domaine, choisir « Nouveau / Unité d’organisation ».
Saisir le nom de l’UO, puis faire « OK ».
Le conteneur SUS est créé, reste à lui appliquer une stratégie grâce à une GPO.
Création d’une GPO
Toujours au sein de la console « Utilisateurs et ordinateurs Active Directory », sélectionner l’UO SUS puis clique droit « Propriétés ».
Aller sur l’onglet « Stratégie de groupe ».
Faire « Nouveau » et saisir le nom de la nouvelle GPO. Puis cliquer sur « Modifier ».
La console « Stratégie de groupe » s’ouvre alors.
Il s’agit maintenant de charger le modèle d’administration permettant de configurer le déploiement des mises à jour via SUS. Selon la version de votre serveur, cette étape n’est peut être pas nécessaire.
Clique droit sur « Configuration ordinateur / Modèles d’administration / Ajout-Suppression de modèles... ».
Cliquer sur « Ajouter... ». Sélectionner le fichier « wuau.adm » et faire « Ouvrir ».
Puis fermer la fenêtre « Ajout/Suppression de modèles ».
Contenu de « wuam.adm » :
Le passage de SUS au SP1 met à jour le modèle administratif « wuam.adm » et lui ajoute deux nouvelles politiques de sécurité. Cependant l’utilisation de l’ancien modèle ne comprenant que deux règles ne doit pas poser de problèmes, cela n’ayant que pour seul impact d’offrir moins de paramétrage.
La configuration des mises à jour de sécurité comprend donc 4 règles dont voici le détail :
-
Configure Automatic Update
La stratégie Configuration du service Mises à jour automatiques apparaît. Cette stratégie indique si l'ordinateur doit recevoir des mises à jour de sécurité ainsi que d'autres téléchargements importants par le biais du service Mises à jour automatiques de Windows. Les paramètres de cette stratégie vous permettent de préciser si des mises à jour automatiques sont activées sur l'ordinateur. Si le service est activé, vous devez sélectionner l'une des trois options de configuration.
-
Specify Intranet Microsoft Update Service Location
Cette stratégie essentielle permet de stipuler l’adresse du serveur SUS.
-
Reschedule Automatic Updates Scheduled Installations
Cette stratégie définit le temps d'attente que le service Mises à jour automatiques doit respecter après le démarrage de l'ordinateur et avant de toute installation planifiée précédemment omise.
-
No Auto-restart for Scheduled Automatic Updates Installations
Cette stratégie indique aux Mises à jour automatiques d'attendre le redémarrage de l'ordinateur par un utilisateur connecté pour terminer l'installation planifiée. Si cette stratégie n'est pas spécifiée, l'ordinateur redémarre automatiquement.
Il s’agit maintenant de définir les règles importées par le modèle administratif « wuau.adm ».
Pour cela parcourir l’arborescence « Configuration ordinateur / Modèles d’administration / Windows Components / Windows Update »
Double cliquer sur « Configure Automatic Updates ».
Définir vos options. Puis cliquer sur « Appliquer » puis « Stratégie suivante ».
Préciser le nom du serveur SUS sous forme d’une adresse http. Faire « Appliquer » puis « Stratégie suivante ».
Activer ou non selon votre stratégie ce paramètre, puis faire « Appliquer » et « Stratégie suivante ».
Activer ou non selon votre stratégie ce paramètre, puis faire « Appliquer » et « OK ».
Fermer la console « Stratégie de groupe ».
Le conteneur SUS dispose maintenant d’une stratégie de déploiement des mises à jour via le serveur SUS, reste à lui ajouter les machines qui bénéficieront de cette stratégie.
Ajout des postes clients prêts au déploiement
Afin de choisir quel poste sera concerné par le déploiement des mises à jour via le serveur SUS, il faut placer les comptes ordinateurs dans l’UO SUS. Pour cela cliquer droit sur le nom de la machine (par défaut présente dans l’UO « Computers ») puis faire « Déplacer » et sélectionner le conteneur SUS.
Cliquer sur « OK ».
Une fois le déplacement effectué, fermer la console « Utilisateurs et ordinateurs Active Directory ».
Voila les machines présentes dans l’UO SUS recevront désormais leurs mises à jour automatiquement grâce au serveur SUS.
Cependant reste à vérifier si la diffusion s’effectue correctement et que les machines se mettent bien à jour par rapport au serveur. Ceci est l’objet du chapitre suivant « Reporting et audit de sécurité ».
|
167 Visites
Guillaume LANGLOIS
Si vos postes sont enregistrés auprès d’Active Directory, la meilleure solution est de déployer l’installation du client via une GPO. Un exemple de création d’ UO et de GPO est présent ci-dessous.
La modification de la base de registre comporte des risques.
[10 mn de lecture - paru le 10/25/2004 3:09:17 AM - Public : Beginner]
[10 mn de lecture - paru le 10/25/2004 2:22:49 AM - Public : Beginner]