Infra - Windows Server

Criação de GPO para implementação do WSUS client

O objetivo deste tutorial é demonstrar passo a passo a criação de uma GPO para implementação do client WSUS nas estações e servidores de uma rede.

por Savio Vallochi


Overview

O objetivo deste tutorial é demonstrar passo a passo a criação de uma GPO para implementação do cliente WSUS nas estações e servidores de uma rede. .

Solução

Abrir a console “Active Directory Users and Computers”.Clicar com o botão direito na Unidade Organizacional das estações de sua rede, e escolher a opção Propriedades:

Escolha a opção Group Policy, depois clique em New:

Atribua o nome desejado, neste exemplo colocamos o nome de “WSUS” e clique em EDIT:

Aparecerá a tela com Group Policy Object Editor, navegue pelo Computer Configuration > Administrative Templates > Windows Components > Windows Update.

Vamos agora analisar cada uma das opções disponíveis para configuração na GPO do Windows Update:

1) Opção: Não exibir a opção “Instalar Atualizações e Desligar” na caixa de diálogo Desligar do Windows.

Habilite esta diretiva se desejar ocultar a opção de ‘instalar atualizações’ para os usuários na caixa de diálogo Desligar o Windows.

2) Opção: Não ajustar a opção padrão para “Instalar Atualizações e Desligar” na caixa de diálogo Desligar o Windows.

A opção “Instalar Atualizações e Desligar” é a padrão e aparece em primeiro lugar na caixa Desligar do Windows, se esta diretiva for ativada a opção passará a ser a última.

3) Opção: Configurar Atualizações Automáticas.

Em “configure automatic updating” você terá as seguintes opções:

  1. Avisar antes de fazer o download e antes de instalar - Esta opção irá avisar o administrador local antes de fazer o download e antes de instalar as atualizações.

  1. Fazer o download automático das atualizações e notificar para instalar - Esta opção inicia o download das atualizações automaticamente e notifica o administrador local "logado" antes de instalar as atualizações.

  2. Fazer download e instalação de forma automática. Esta opção é a mais recomendada, pois realiza o download e instalação de forma automática sem intervenção do administrador.

  3. 5 - Permitir que o administrador local escolha a configuração. Com esta opção o administrador local terá a possibilidade de escolher no painel de controle a melhor opção para as atualizações.

Neste tutorial escolhemos a opção 4 e optamos pela instalação diária as 15:00 horas. Isto quer dizer que as atualizações serão baixadas do servidor WSUS em horários aleatórios e serão instaladas na estação todos os dias as 15:00 horas.

4) Opção: Especificar um servidor da Intranet para as atualizações automáticas.

Aqui você irá colocar o nome de seu servidor WSUS interno para as estações buscarem as atualizações.

5) Opção: Habilitar destino do lado do cliente.

Aqui você define qual o nome do grupo que estes computadores serão adicionados de forma automática na console do WSUS.

Com a definição da opção acima, as estações serão adicionadas de forma automática no grupo “Estações” da console do WSUS, conforme abaixo:

6) Opção: Redefinir instalações agendadas em Atualizações Automáticas.

Habilitando esta opção uma instalação agendada que não ocorreu anteriormente irá ocorrer após o número especificado de minutos depois da inicialização do computador. Desabilitando esta opção, uma instalação agendada perdida irá ocorrer na próxima instalação agendada.

7) Opção: Não há reinícios automáticos nas instalações agendadas em Atualizações Automáticas.

Esta opção especifica que, para conclusão de uma instalação agendada, as Atualizações Automáticas aguardarão até que o computador seja reiniciado por qualquer usuário que tenha feito logon, em vez de fazer com que o computador seja reiniciado automaticamente.

8) Opção: Freqüência de detecção de Atualizações Automáticas.

Especifica os horários que os Windows irá usar para determinar por quanto tempo deve esperar para verificar se há atualizações. O tempo de espera exato é determinado pelo horário especificado aqui menos zero a vinte por cento das horas. Exemplo, se esta diretiva for usada para especificar uma freqüência de detecção de 20 horas, todos os clientes aos quais esta diretiva se aplica irão verificar se há novas atualizações entre 16 e 20 horas.

9) Opção: Permitir instalação imediata de Atualizações Automáticas.

Especifica se as atualizações Automáticas devem instalar automaticamente certas atualizações que não interrompem os serviços nem reiniciam o Windows. Habilitando esta opção as atualizações referidas serão instaladas assim que baixadas e prontas. Do contrário, serão instaladas de acordo com o agendamento.

10) Opção: Atrasar reinicialização de Instalações agendadas.

Especifica por quanto tempo as atualizações automáticas devem esperar para continuar com uma reinicialização agendada. Habilitando esta opção, uma reinicialização agendada irá ocorrer após o número de minutos especificado depois que a instalação for concluída. Do contrário, o tempo de espera padrão é de 5 minutos.

11) Opção: Solicitar reinicialização novamente com instalações agendadas.

Especifica por quanto tempo as atualizações automáticas devem esperar antes de solicitar novamente uma reinicialização agendada. Habilitando esta opção, uma reinicialização agendada irá ocorrer após o número de minutos especificado depois que a solicitação anterior para reinicialização foi adiada. Do contrário, o tempo padrão será de 10 minutos.

Concluídas as configurações das opções da GPO, resta aplicar as permissões necessárias.

Ainda na console do Group Policy Object Editor, clicar com o botão direito sobre o nome do servidor e escolher a opção Propriedades. Ir para Segurança e definir da seguinte forma:

Authenticated Users > setar permissões de READ e Apply Group Policy

System > setar Apply Group Policy

Depois de aplicar a GPO, você pode verificar através dos seguintes comandos se está funcionado adequadamente:

  1. No Prompt de comando digite: ‘gpresult’. Nos resultados apresentados, localize as Configurações do Computador e veja se aparece o nome de sua GPO nos objetos de diretivas de grupo aplicados.
  2. Abra o prompt de comando e digite:

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Se o cliente WSUS estiver configurado corretamente, deverá aparecer a seguinte configuração:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
WUServer        http://WSUSServerName
WUStatusServer  http://WSUSServerName

Se a configuração estiver incorreta, deverá aparecer da seguinte forma:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

Conclusão

Este tutorial teve por objetivo demonstrar uma forma simples a implantação do WSUS client nas estações de trabalho de uma rede usando Group Policy Object.
Savio Vallochi

Savio Vallochi - Profissional com experiência na área de Tecnologia com foco em Redes e Segurança da Informação, formado em Ciências Jurídicas, Pós-Graduado em Segurança da Informação, com certificações Microsoft MCP, MCSA, MCSE e ITIL Foundation.