ХАКЕР.PROНастройка службы автоматического обновленияИ, наконец, последняя вкладка «Finish».Активация «Launch the Windows Server UpdateServices Administration Snap-in» после выхода измастера запустит администраторскую консоль,а выбор «Begin initial synchronization» запуститпервую синхронизацию. Но с «AdministrationSnap-in» пока спешить не будем.Настройка параметровслужбы автоматического обновленияДля возможности работы через WSUS клиентскиекомпьютеры потребуют совместимуюверсию Automatic Updates, поэтому приподключении каждой новой системы к серверуWSUS на него будет установлена совместимаяверсия. Теперь приступаем к настройке службыавтоматического обновления клиентскихкомпьютеров.Оптимальный способ настройки, естественно,зависит от сетевого окружения. Если используетсяслужба каталогов Active Directory, длянастройки клиентов можно и нужно использоватьобъекты групповой политики (GPO). Приотсутствии такой службы следует использоватьобъекты локальной групповой политики.Но в любом случае требуется указать путь ксерверу WSUS для клиентского компьютераи настроить службу автоматического обновления.Для этого необходимо выполнитьследующие действия: загрузить административныйшаблон, настроить автоматическоеобновление, указать клиенту путь к серверуWSUS. Выбираем «Пуск Выполнить», набираем«gpedit.msc». В появившемся редактореполитик открываем узел — «Конфигурациякомпьютера Административные шаблоны Компоненты Windows Windows Update».При отсутствии такого пункта необходимодобавить шаблон wuau.adm, для чего щелкнимышкой по заголовку «Административные шаблоны»,в контекстном меню выбери команду«Добавление и удаление шаблонов», затем щелкнина «Добавить» и укажи в списке на wuau.Все параметры описаны достаточно хорошо,поэтому остановлюсь только на требующихпервоначальной настройки. Первыйпараметр, к которому следует обратиться,— «Настройка автоматического обновления».Он позволяет указать, разрешаетсяли автоматическое обновление для данногокомпьютера. После включения службынеобходимо выбрать один из четырех возможныхвариантов настройки групповойполитики:1. уведомлять перед загрузкой обновленийи уведомлять повторно перед их установкой— при наличии подходящих обновлений системаинформирует пользователя о необходимостиих загрузки, а затем и об установке;2. загружать обновления автоматически и уведомлять,когда они готовы к установке — подходящиеобновления загружаются автоматическив фоновом режиме, а перед началом установкипользователю выводится сообщение;3. загружать обновления и устанавливать их позаданному ниже расписанию — выбираются днии время, когда будет производиться принудительнаязагрузка и установка обновлений, в случаенеобходимости перезагрузка будет выполненаавтоматически (если это не отменено в «Не выполнятьавтоматический повторный запуск дляавтоматических установок обновлений»);4. разрешать локальным администраторамвыбирать режим настройки — в этом случаелокальный администратор, используя «Панельуправления Центр обеспечения безопасности Автоматическое обновление», сможет сам выбиратьнастройки автоматического обновления.Следующий пункт «Указать размещениеслужбы обновлений Microsoft в интрасети»,позволяет изменить политику, указывающую/ 148xàêåð 02 /98/ 07
ХАКЕР.PROОкно Configuration WizardПример отчета WSUSна сервер в сети, на котором будет работатьвнутренняя служба обновлений. При заданииэтой политики требуется вбить два параметра:сервер, на котором клиентская программабудет искать обновления, и сервер, куда будетотправляться статистика. Можно назначитьдля обеих задач один и тот же сервер, указав егоадрес в виде http://WSUS_server/.Основные настройки выполнены. Локальныеполитики вступают в силу немедленно, и примерночерез 20 минут компьютер появитсяв списке Unassigned Computer. Политики наоснове Active Directory обновляются приблизительнокаждые 90 минут. Ускорить этот процессможно, введя в консоли на клиентском компьютерекоманду gpupdate /force и запустив поисксервера WSUS вручную: wuauclt.exe /detectnow.Создание группкомпьютеров для обновленияЕсли консоль управления WSUS еще не открыта,выбираем «Windows Server Update Services»в «Программы Администрирование». Важнойчастью настройки работы WSUS являетсясоздание групп компьютеров. Группы компьютеровпозволяют определить устанавливаемыеобновления для однородных систем. Хорошимтоном является предварительное тестированиеустанавливаемых обновлений на небольшойгруппе типичных (но не критичных) систем,а в случае нормального их функционированияв течение определенного промежутка времени,распространения и на остальные компьютеры.По умолчанию в списке присутствует двегруппы — All Computers и Unassigned. Можнодобавить любое количество групп, каких-либоограничений не существует.Возможны два способа добавления компьютеровв группы WSUS. Первый — установкаимени группы в пункте «Разрешить клиентуприсоединиться к целевой группе политикбезопасности». По умолчанию используетсявторой более гибкий и удобный вариант.Изменить поведение сервера можно, перейдяв «Options Computers». Положение переключателя«Use the Updates Service console»свидетельствует об использовании именноэтого варианта. Если переключить его в «UseGroup Policy or registry setting on computers»,принадлежность к группам задается в реестреили в групповых политиках.Теперь переходим непосредственно к созданиюгрупп. Это так же просто. Щелкнув мышкой по«Computers and Groups», выбираем в меню «AddComputer Group» и в появившемся диалоговомокне вводим название группы. Тем временемв Unassigned начинают появляться компьютеры.Для перемещения компьютера в группувыделяем компьютер или группу компьютеров,затем в контекстном меню выбираем «ChangeMembership» и в появившемся списке — нужнуюгруппу. Все.Обновление системТеперь осталось только обновить выбранные системы.Но сначала необходимо эти обновлениязагрузить, если это еще не сделано. Выбираем«Action Synchronize Now». Теперь в Updatesможно просмотреть доступные обновления.По умолчанию здесь несколько пунктов: AllUpdates, Critical Updates, Security Updates и WSUSUpdates. Для быстрого поиска обновленийвыбираем «Action Search», после чего вводимнеобходимые критерии поиска. Чтобы не повторятьэту процедуру каждый раз, выбираем «NewUpdate View» и формируем постоянный запроск базе, который после нажатия на «ОК» будетвиден в папке Update. Также обрати вниманиена фильтры Approval и Status — используя их,можно быстро отобрать обновления еще понескольким критериям. Нас сейчас интересуютAll Updates, Approval — Unapproved и Status— Any. Если щелкнуть по заголовку обновления,можно получить подробную информацию о егоназначении: критичность, продукты, возможностьудаления обновления и необходимостьпринятия лицензионного соглашения, ссылкуна страницу сайта Microsoft, содержащую болееподробную информацию.В появившемся списке выбираем необходимыеобновления поодиночке или удерживаяклавишу «Ctrl». Затем в контекстном менювыбираем «Approve», появляется диалоговоеокно Approve Updates, в котором представленыгруппы компьютеров, для разрешения их установкинеобходимо выбрать «Approve to Install».Если же обновления, наоборот, нужно удалить,то поступаем аналогичным образом, тольков меню выбираем уже «Approved for Removal».Чтобы получить отчет о произведенных обновлениях,приблизительно через сутки выбираем«Reports Update Status Summary» и, указавкритерии отбора, нажимаем «Run Report».Следует отметить, что отчеты являются однойиз сильных сторон WSUS версии 3.0.Возможно и автоматическое одобрение обновлений.Для этого следует, выбрав компьютер,нажать на «Options» и на появившейся странице— «Automatic Approvals». Затем в зависимостиот того, что требуется сделать, выбираем«New Rule» или «Install AutoDeployment Rule»и нажимаем «Edit». В диалоговом окне определяемпараметры и указываем имя правила,автоматическая установка или одобрениевыбирается в Advanced.ЗаключениеПервоначальную настройку WSUS можносчитать законченной. После произведенныхдействий сервер WSUS будет периодическиполучать обновления с Microsoft Update, а клиентскиекомпьютеры автоматически получатьодобренные обновления. Но WSUS имеет ещемного интересных функций и возможностей,таких, например, как формирование отчетови отсылка e-mail-сообщений. Успехов. zxàêåð 02 /98/ 07/149