Централизованное обновление windows в домене

Обновлено: 15.01.2022
Опубликовано: 08.05.2020

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

1. Задаем имя компьютера.
2. Настраиваем статический IP-адрес.
3. При необходимости, добавляем компьютер в домен.
4. Устанавливаем все обновления Windows.

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

В правой части открытого окна нажимаем Управление — Добавить роли и компоненты:

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Далее выбираем сервер из списка, на который будем ставить WSUS:

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services — в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Прописываем путь, где WSUS будет хранить файлы обновлений:

* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства — Службы Windows Server Update Services:

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

… и ждем завершения настройки:

Откроется стартовое окно мастера настройки WSUS — идем далее:

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

… и дожидаемся окончания процесса:

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

… и среди компонентов на соответствующей странице выбираем .NET Framework 3.5:

Продолжаем установку и завершаем ее.

Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/ru-ru/download/details.aspx?id=45496 и скачиваем установочный пакет:

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры — кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров…:

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел Параметры — Автоматические утверждения:

Кликаем по Создать правило:

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

• Для тестовой группы применять все обновления сразу после их выхода.
• Для рабочих станций и серверов сразу устанавливать критические обновления.
• Для рабочих станций и серверов применять обновления спустя 7 дней.
• Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в Параметры — Компьютеры:

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

1. Для тестовой группы.
2. Для серверов.
3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Центр обновления Windows. Стоит настроить следующие политики:

Название политики	Значение	Описание
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений	Включить	Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений.
Настройка автоматического обновления	Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок.	Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки.
Указать размещение службы обновлений Microsoft в интрасети	Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 *	Настройка говорит клиентам, на каком сервере искать обновления.
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях	Включить	Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи	Включить	Позволит избежать ненужных перезагрузок компьютера во время работы пользователя.
Повторный запрос для перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 1440	Если перезагрузка была отложена, необходимо повторить запрос.
Задержка перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 30	Дает время перед перезагрузкой компьютера после установки обновлений.
Разрешить клиенту присоединяться к целевой группе	Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа	Позволяет добавить наши компьютеры в соответствующую группу WSUS.

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:

• WUServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
• WUStatusServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
• TargetGroupEnabled, REG_DWORD — значение 1
• TargetGroup, REG_DWORD — значение целевой группы, например, «Серверы».

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:

• AUOptions, REG_DWORD — значение 2
• AutoInstallMinorUpdates, REG_DWORD — значение 0
• NoAutoUpdate, REG_DWORD — значение 0
• ScheduledInstallDay, REG_DWORD — значение 0
• ScheduledInstallTime, REG_DWORD — значение 3
• UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

wuauclt.exe /detectnow

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры — Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.

Время на прочтение
9 мин

Количество просмотров 21K

Отвечаете ли вы за единственный ПК с Windows 10, или за тысячи, трудности с управлением обновлениями у вас одни и те же. Ваша цель – быстро устанавливать обновления, связанные с безопасностью, по-умному работать с обновлениями компонентов, и предотвращать падение продуктивности из-за неожиданных перезагрузок

Есть ли у вашего предприятия всеобъемлющий план работы с обновлениями Windows 10? Есть соблазн считать эти скачивания периодическими помехами, от которых нужно избавляться сразу, как только они появляются. Однако реактивный подход к обновлениям – это рецепт разочарований и снижения продуктивности.

Вместо этого можно создать стратегию управления для тестирования и внедрения обновлений, чтобы этот процесс стал настолько же повседневным, как отправка счетов или ежемесячное подведение бухгалтерских итогов.

В статье указана вся информация, необходимая для понимания того, как Microsoft отправляет обновления на устройства под управлением Windows 10, а также детали по поводу инструментов и техник, которые можно использовать для умного управления этими обновлениями на устройствах под управлением Windows 10 версий Pro, Enterprise или Education. (Windows 10 Home поддерживает лишь самые базовые возможности управления обновлениями и непригодна для использования в бизнес-среде).

Но перед тем, как перейти к любому из этих инструментов, вам понадобится план.

Что написано в ваших правилах обновления?

Смысл правил обновления в том, чтобы сделать процесс обновления предсказуемым, определить процедуры предупреждения пользователей, чтобы те могли соответственно планировать свою работу и избежать неожиданного простоя. Также в правила входят протоколы обработки неожиданных проблем, включая откат с неудачно вставших обновлений.

Разумные правила обновлений отводят определённое время на работу с обновлениями ежемесячно. В небольшой организации этой цели может служить специальное окошко в графике обслуживания каждого ПК. В крупных организациях универсальные решения уже вряд ли сработают, и в них нужно будет делить всю популяцию ПК на группы обновлений (в Microsoft их называют «кольцами»), в каждой из которых будет своя стратегия обновлений.

Правила должны описывать несколько различных типов обновлений. Наиболее понятный тип – ежемесячные кумулятивные обновления безопасности и надёжности, которые выходят во второй вторник каждого месяца («вторник патчей»). В этом релизе обычно присутствует Windows Malicious Software Removal Tool, а также могут быть и любые из следующих типов обновлений:

• Обновления безопасности для .NET Framework
• Обновления безопасности для Adobe Flash Player
• Обновления стека обслуживания (которые нужно устанавливать с самого начала).

Установку любого из этих обновлений можно отложить на срок до 30 дней.

В зависимости от производителя ПК, драйверы оборудования и прошивки тоже могут распространяться по каналу Windows Update. Можно отказаться от этого или же управляться с ними по тем же схемам, что и с другими обновлениями.

Наконец, через Windows Update распространяются и обновления компонентов [feature updates]. Эти крупные пакеты обновляют Windows 10 до последней версии, и выходят каждые шесть месяцев для всех редакций Windows 10, кроме долгосрочного канала обслуживания Long Term Servicing Channel (LTSC). Отложить установку обновлений компонентов можно при помощи Windows Update for Business на срок до 365 дней; для редакций Enterprise и Education возможна дальнейшая отсрочка установки на срок до 30 месяцев.

Учитывая всё это, можно начинать составлять правила обновлений, куда должны входить следующие элементы для каждого из обслуживаемых ПК:

• Срок установки ежемесячных обновлений. По умолчанию в Windows 10 ежемесячные обновления скачиваются и устанавливаются в течение 24 часов после их выхода во «вторник патчей». Можно откладывать скачивание этих обновлений для некоторых или всех ПК в компании, чтобы у вас было время проверить их на совместимость; эта задержка также позволяет вам избежать проблем в случае, когда Microsoft обнаруживает проблему с обновлением после выхода, как это уже много раз случалось с Windows 10.
• Срок установки полугодовых обновлений компонентов. При настройках по умолчанию обновления компонентов скачиваются и устанавливаются тогда, когда Microsoft считает, что они готовы. На устройстве, которое Microsoft посчитали подходящим для обновления, обновления компонентов могут появиться через несколько дней после выхода. На других устройствах обновления компонентов могут появиться через несколько месяцев, или их вообще могут заблокировать из-за проблем с совместимостью. Можно установить задержку для некоторых или для всех ПК в организации, чтобы получить время на проверку нового релиза. Начиная с версии 1903, пользователям ПК предложат обновления компонентов, однако команды на скачивание и установку их будут давать только сами пользователи.
• Когда разрешать ПК перезапускаться для завершения установки обновлений: большая часть обновлений требует перезапуска для завершения установки. Этот перезапуск происходит вне промежутка «периода активности» с 8 до 17 часов; эту настройку можно поменять по желанию, продлив длительность интервала до 18 часов. Инструменты управления позволяют назначить определённое время для скачивания и установки обновлений.
• Как уведомлять пользователей о наличии обновлений и перезапуске: во избежание неприятных сюрпризов, Windows 10 уведомляет пользователей о наличии обновлений. Управление этими уведомлениями в настройках Windows 10 ограничено. Гораздо больше настроек доступно в «групповых политиках».
• Иногда Microsoft выпускает критически важные обновления безопасности вне обычного графика «вторников патчей». Обычно это нужно для исправления недочётов в безопасности, которыми злонамеренно пользуются третьи лица. Ускорять ли применение таких обновлений или ждать следующего окна в графике?
• Что делать с неудачными обновлениями: если обновлению не удалось встать правильно, или оно вызывает проблемы, что вы будете делать в этом случае?

Определив эти элементы, пора выбрать инструменты для работы с обновлениями.

Ручное управление обновлениями

На совсем малых предприятиях, включая магазины с единственным работником, довольно легко осуществить ручную настройку обновлений Windows. Параметры > Обновление и безопасность > Центр обновления Windows. Там можно подправить две группы настроек.

Сначала выберите «Изменить период активности» и подправьте настройки, чтобы они соответствовали вашим рабочим привычкам. Если вы обычно работаете по вечерам, можно избежать простоя, настроив эти значения с 18 до полуночи, в результате чего запланированные перезапуски будут происходить по утрам.

Затем выберите «Дополнительные параметры» и настройку «Выберите, когда устанавливать обновления», прописав её в соответствии с вашими правилами:

• Выберите, на сколько дней задерживать установку обновлений компонентов. Максимальное значение – 365.
• Выберите, на сколько дней задерживать установку обновлений качества, включая кумулятивные обновления безопасности, выходящие по «вторникам патчей». Максимальное значение – 30 дней.

Другие настройки на этой странице управляют демонстрацией уведомлений о перезапуске (включено по умолчанию) и разрешением скачивать обновления на соединениях с учётом трафика (выключено по умолчанию).

До версии Windows 10 1903 там была ещё настройка выбора канала – полугодового, или же целевого полугодового. Её убрали в версии 1903, а в более старых версиях она просто не работает.

Конечно, смысл задержки обновлений не в том, чтобы просто отлынивать от этого процесса, а потом удивить пользователей чуть позже. Если вы, к примеру, назначаете задержку установки обновлений качества на 15 дней, вам нужно использовать это время на проверку обновлений на совместимость, и запланировать в графике окошко на техобслуживание на удобное время перед тем, как этот период окончится.

Управление обновлениями через Групповые политики

Все упомянутые ручные настройки можно применять и через групповые политики, а в полном списке политик, связанных с обновлениями Windows 10, настроек куда как больше, чем тех, что доступны в обычных ручных настройках.

Их можно применять к отдельным ПК при помощи редактора локальной групповой политики Gpedit.msc, или при помощи скриптов. Но чаще всего их используют в домене Windows с Active Directory, где можно управлять комбинациями политик на группах ПК.

Значительное количество политик используется исключительно в Windows 10. Наиболее важные из них связаны с «Обновлениями Windows для бизнеса», расположенными в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Центр обновления Windows для бизнеса.

• Выберите, когда получать предварительные сборки – канал и задержки для обновлений компонентов.
• Выберите, когда получать обновления качества – задержки ежемесячных кумулятивных обновлений и других обновлений, связанных с безопасностью.
• Управляйте предварительными сборками: когда пользователь может подключить машину к программе Windows Insider и определите кольцо инсайдеров.

Дополнительная группа политик находится в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows, где можно:

• Удалить доступ к функции приостановки обновлений, что не даст пользователям мешать установке, задерживая её на 35 дней.
• Удалить доступ ко всем настройкам обновлений.
• Разрешить автоматическое скачивание обновлений на соединениях с учётом трафика.
• Не скачивать вместе с обновлениями драйвера.

Следующие установки есть только в Windows 10, и они относятся к перезапускам и уведомлениям:

• Отключить автоматическую перезагрузку для обновлений во время периода активности.
• Указать диапазон периода активности для автоматического перезапуска.
• Указать крайний срок для автоматического перезапуска с целью установки обновлений (от 2 до 14 дней).
• Настроить уведомления с напоминанием об автоматическом перезапуске: увеличить время, за которое пользователя предупреждают об этом (от 15 до 240 минут).
• Отключить уведомления об автоматическом перезапуске с целью установки обновлений.
• Настроить уведомление об автоматическом перезапуске так, чтобы оно не исчезало автоматически через 25 сек.
• Не разрешать политикам задержки получения обновлений инициировать сканирование в Центре обновления Windows: эта политика запрещает ПК проверять обновления, если назначена задержка.
• Разрешить пользователям управлять временем перезапуска и откладывать уведомления.
• Настроить уведомления об обновлениях (появление уведомлений, от 4 до 24 часов), и предупреждений о неминуемом перезапуске (от 15 до 60 минут).
• Обновление политики электропитания для перезапуска корзины (настройка для образовательных систем, позволяющая обновляться даже при питании от батареи).
• Выводить настройки уведомлений об обновлениях: позволяет запретить уведомления об обновлениях.

Следующие политики есть как в Windows 10, так и в некоторых более старых версиях Windows:

• Настройка автоматического обновления: эта группа настроек позволяет выбрать еженедельный, раз в две недели или ежемесячный график обновлений, включая день неделе и время для автоматического скачивания и установки обновлений.
• Указать размещение службы обновлений Microsoft в интрасети: настроить сервер Windows Server Update Services (WSUS) в домене.
• Разрешить клиенту присоединяться к целевой группе: администраторы могут использовать группы безопасности Active Directory для определения колец развёртывания WSUS.
• Не подключаться к расположениям Центра обновления Windows в интернете: запретить ПК, работающим с местным сервером обновления, связываться с внешними серверами обновлений.
• Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений.
• Всегда автоматически перезапускать систему в запланированное время.
• Не выполнять автоматическую перезагрузку, если в системе работают пользователи.

Инструменты работы в крупных организациях (Enterprise)

Крупные организации с сетевой инфраструктурой Windows могут обойти сервера обновления Microsoft и развёртывать обновления с местного сервера. Это требует повышенного внимания со стороны корпоративного IT-отдела, но добавляет компании гибкости. Два самых популярных варианта – это Windows Server Update Services (WSUS) и System Center Configuration Manager (SCCM).

Сервер WSUS устроен проще. Он работает в роли Windows Server и обеспечивает централизованное хранение обновлений Windows в организации. Используя групповые политики, администратор направляет ПК с Windows 10 на сервер WSUS, служащий единственным источником файлов для всей организации. С его консоли администратора можно одобрять обновления, выбирать, когда их ставить на отдельные ПК или группы ПК. ПК можно вручную привязывать к разным группам, или можно использовать выбор целей на стороне клиента для развёртывания обновлений на основе существующих групп безопасности Active Directory.

Поскольку кумулятивные обновления Windows 10 растут всё сильнее с каждым новым выпуском, они могут занимать значительную часть пропускной способности каналов связи. Сервера WSUS экономят трафик, используя Express Installation Files – это требует больше свободного места на севере, но значительно уменьшает размер файлов обновления, отправляемых на клиентские ПК.

На серверах версий WSUS 4.0 и далее можно также управлять обновлениями компонентов Windows 10.

Второй вариант, System Center Configuration Manager использует богатый по возможностям Configuration Manager for Windows совместно с WSUS для развёртывания обновлений качества и обновлений компонентов. Панель управления позволяет администраторам сети отслеживать использование Windows 10 во всей сети и создавать планы обслуживания на основе групп, включающие информацию по всем ПК, приближающимся к завершению своего цикла поддержки.

Если в организации уже установлен Configuration Manager для работы с более ранними версиями Windows, то добавить в него поддержку Windows 10 будет достаточно просто.

Windows Server Update Services (WSUS) представляет собой серверное ПО от Microsoft, которое позволяет организациям управлять и распространять обновления операционной системы Windows и других продуктов Microsoft в локальной сети. В данной статье мы рассмотрим подробную настройку WSUS для обновления релизов Windows 10 и расскажем о самых важных этапах процесса.

Первым шагом в настройке WSUS для обновления релизов Windows 10 является установка и настройка самого WSUS сервера. После установки необходимо настроить синхронизацию WSUS с серверами обновлений Microsoft. Это позволит получить список всех доступных обновлений, включая релизы Windows 10, и хранить их на локальном сервере.

После настройки сервера необходимо настроить клиентские компьютеры для получения обновлений. Для этого необходимо отредактировать групповые политики или локальные настройки каждого компьютера, чтобы они указывали на локальный WSUS сервер вместо серверов Microsoft.

Настройка WSUS для обновления релизов Windows 10 требует определенных настроек и шагов, чтобы обеспечить безопасность и эффективность процесса обновления. В данной статье мы рассмотрели лишь основы, и все шаги настройки могут быть более подробно описаны в документации Microsoft. Однако, при следовании указанным в статье рекомендациям, вы сможете успешно настроить WSUS для обновления релизов Windows 10 в своей организации.

Настройка WSUS для обновления релизов Windows 10

WSUS (Windows Server Update Services) представляет собой инструмент, который позволяет администраторам централизованно управлять обновлениями для операционной системы Windows. Если вы хотите получать последние обновления для релизов Windows 10 на компьютерах в вашей сети, вы можете настроить WSUS для их автоматической установки.

Первым шагом для настройки WSUS является установка роли на сервере Windows Server. Затем вы должны настроить WSUS для синхронизации с серверами Microsoft, чтобы получать последние обновления. После этого вы можете настроить политики групповой политики для компьютеров в вашей сети, чтобы они автоматически обновлялись через WSUS.

Настройка WSUS для обновления релизов Windows 10 может быть сложной задачей, но следуя определенным шагам и рекомендациям, вы сможете успешно подготовить и настроить WSUS для обновления вашей операционной системы.

Важно отметить, что настройка WSUS может занять некоторое время, особенно если у вас большая сеть компьютеров или у вас ограниченное интернет-подключение. Тем не менее, процесс настройки и использования WSUS значительно упрощает централизованное управление обновлениями и обеспечивает большую безопасность и стабильность работы ваших компьютеров.

Итак, следуя рекомендациям и инструкциям, представленным в этом руководстве, вы сможете успешно настроить WSUS для получения и установки обновлений релизов Windows 10 на компьютеры в вашей сети.

Установка и настройка WSUS

1. Установите роль WSUS на сервере Windows. Для этого откройте «Серверный менеджер» и выберите «Добавить роли и компоненты». В появившемся окне выберите «Установка ролей или компонентов на отдельном сервере», а затем установите галочку напротив «Windows Server Update Services».
2. Выберите опции для хранения обновлений. WSUS может хранить обновления локально или использовать ресурсы Интернета для загрузки обновлений «на лету». Выберите опцию, соответствующую вашим потребностям.
3. Настройте подключение к базе данных. WSUS может использовать базу данных SQL Server или Windows Internal Database. Укажите подключение к выбранной базе данных.
4. Выберите тип обновлений, которые будут устанавливаться на клиентские компьютеры. Вы можете выбрать автоматическую установку всех обновлений или настроить отбор по категориям и классификациям обновлений.
5. Настройте расписание проверки и установки обновлений. Укажите время, когда WSUS будет проверять доступные обновления и время, когда они будут устанавливаться на клиентские компьютеры.
6. Настройте прокси-сервер, если необходимо. Если ваш сервер WSUS находится за прокси-сервером, укажите параметры прокси-сервера для доступа к Интернету.
7. Запустите синхронизацию обновлений. После настройки WSUS запустите синхронизацию обновлений, чтобы загрузить список доступных обновлений из Microsoft Update.
8. Настройте клиентские компьютеры для использования WSUS. Настройте компьютеры в домене для использования WSUS в качестве источника обновлений.

После завершения этих шагов ваш WSUS будет готов к использованию для централизованного управления обновлениями операционных систем и других приложений на клиентских компьютерах.

Конфигурация групп обновления для релизов Windows 10

WSUS (Сервис управления обновлениями Windows) позволяет настраивать группы обновления для релизов Windows 10. Группы обновления помогают организовать процесс развёртывания и установки обновлений на компьютерах.

Для начала настройки групп обновления необходимо открыть консоль WSUS и перейти в раздел «Группы обновления». Затем создайте новую группу обновления и назовите ее в соответствии с вашими потребностями.

После создания группы обновления у вас будет возможность назначить ее компьютерам, предварительно добавив их в группу. Для этого выберите вкладку «Компьютеры» и выберите нужные компьютеры, затем нажмите «Добавить в группу» и выберите созданную группу обновления.

Также в консоли WSUS есть возможность настроить автоматическое присваивание компьютеров к группам обновления с помощью правил. Применение правил позволяет автоматизировать процесс добавления компьютеров в группы обновления на основе различных параметров, таких как операционная система, компьютерное имя и другие фильтры.

После настройки групп обновления в WSUS, вы сможете управлять процессом развёртывания и установки обновлений для релизов Windows 10 на компьютерах в сети.

Управление обновлениями для клиентских компьютеров

После настройки WSUS для обновления релизов Windows 10, вам необходимо определить, каким образом будут устанавливаться обновления на клиентских компьютерах. Существуют несколько основных способов управления обновлениями:

Способ управления	Описание
Автоматический режим	При использовании автоматического режима обновления устанавливаются автоматически на клиентские компьютеры без вмешательства пользователя. WSUS автоматически загружает и развертывает доступные обновления на клиентские компьютеры в соответствии с настройками групповой политики.
Ручной режим	При использовании ручного режима обновления пользователь самостоятельно выбирает обновления для установки на своем компьютере. После того как обновления выбраны, WSUS загружает и развертывает их на клиентском компьютере.
Смешанный режим	Смешанный режим предоставляет возможность комбинировать автоматический и ручной режимы управления обновлениями. Например, вы можете настроить WSUS для автоматической установки определенных критических обновлений, а остальные обновления пользователь будет выбирать и устанавливать самостоятельно.

Выбор подходящего режима управления обновлениями будет зависеть от особенностей вашей организации и требований безопасности.

Независимо от выбранного режима управления, WSUS предоставляет дополнительные возможности, такие как установка расписания для загрузки и развертывания обновлений, создание различных групп компьютеров для гибкого управления, а также отчеты по статусу установки обновлений на клиентских компьютерах.

Отслеживание и решение проблем с обновлениями Windows 10

Обновления Windows 10 критически важны для обеспечения безопасности и стабильности операционной системы. Однако иногда могут возникать проблемы при установке или загрузке обновлений. В этом разделе мы рассмотрим несколько распространенных проблем с обновлениями Windows 10 и предложим решения.

1. Ошибка установки обновлений

Если у вас возникла ошибка при установке обновлений Windows 10, вам стоит попробовать следующие действия:

Шаг	Описание
1	Проверьте подключение к интернету и убедитесь, что оно стабильно.
2	Перезапустите компьютер и попробуйте установить обновления заново.
3	Проверьте наличие свободного места на системном диске.
4	Используйте инструменты устранения неполадок Windows для поиска и исправления ошибок.
5	Если проблема не устраняется, обратитесь в службу поддержки Microsoft.

2. Длительный процесс установки обновлений

При установке больших обновлений Windows 10, таких как основные обновления функций, процесс может занять много времени. Вот несколько советов для ускорения процесса:

Шаг	Описание
1	Убедитесь, что ваш компьютер подключен к электропитанию.
2	Освободите место на системном диске.
3	Не используйте компьютер во время установки обновлений.
4	Отключите временно антивирусные программы.
5	Если процесс установки останавливается или длится слишком долго, перезапустите компьютер и попробуйте установить обновление заново.

3. Ошибки после установки обновлений

Если после установки обновлений Windows 10 у вас возникли ошибки или проблемы в работе системы, вот что можно попробовать:

Шаг	Описание
1	Попробуйте выполнить обновление драйверов устройств.
2	Откатите обновление до предыдущей версии.
3	Запустите Средство восстановления системы для отмены некорректных изменений, внесенных обновлениями.
4	Если ничто из вышеперечисленного не помогло, обратитесь в службу поддержки Microsoft для получения индивидуальной помощи.

В случае возникновения проблем с обновлениями Windows 10 рекомендуется сначала выполнить основные шаги по устранению их причин, а затем обращаться за помощью к опытным специалистам, если не удалось решить проблему самостоятельно.

Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления.  Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS).

В корпоративной сети рекомендуется использование сервера WSUS, так как при этом достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания обновлений.

Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера.

Предварительная настройка

Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.

Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS  размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers.

Групповая политика

Теперь можно приступать к настройке клиента. Заходим на клиентский компьютер, нажимаем Win+R и набираем команду gpedit.msc. Открывается редактор локальной политики компьютера. За настройку обновлений отвечает раздел Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows.

Нам надо настроить следующие политики:

Указать размещение службы обновлений Microsoft в интрасети — задаем адрес или имя сервера обновлений, к которому будет выполняться подключение клиента, а также адрес сервера статистики. Можно указать один и тот же адрес для обеих задач.

Разрешить клиенту присоединение к целевой группе — указываем имя группы на сервере WSUS, к которой должен быть присоединен данный компьютер. В нашем случае это Workgroup.

Настройка автоматического обновления — здесь мы задаем режим загрузки и установки обновлений и расписание, по которому обновления будут устанавливаться. Если расписание не задано, то по умолчанию обновления будут устанавливаться ежедневно в 3 часа ночи.

Частота поиска автоматических обновлений — указываем частоту обращений к серверу для проверки на наличие обновлений. Теперь обращения к серверу WSUS будут происходить через заданный промежуток времени со случайным отклонением для проверки наличия разрешенных для установки обновлений.

Перенос запланированных автоматических установок обновлений — задаем время ожидания перед установкой обновлений в том случае, если плановая установка была пропущена по каким либо причинам.

Не выполнять автоматическую перезагрузку, если в системе работают пользователи — даем пользователю возможность выбора времени перезагрузки после установки обновлений. Если этот параметр не задан или отключен, то пользователю выдается уведомление и компьютер автоматически перезагружается через 5 минут.

Реестр

Теперь те же настройки произведем с помощью правки реестра.

Идем в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. Если раздела нет — создаем его. В разделе создаем следующие ключи:

″WUServer″=http://192.168.0.1 — адрес сервера обновлений;
″WUStatusServer″=http://192.168.0.1 — адрес сервера статистики;
″TargetGroupEnabled″=dword:00000001 — размещать компьютер в целевой группе;
″TargetGroup″=″Workgroup″ — имя целевой группы для компьютера.

Далее в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU создаем ключи:

″NoAutoUpdate″=dword:00000000 — автоматическое обновление включено;
″AUOptions″=dword:00000004 — загружать и устанавливать обновления по расписанию;
″ScheduledInstallDay″=dword:00000001 — устанавливать обновления в 1-й день недели (воскресенье). Для ежедневного обновления нужно задать нулевое значение;
″ScheduledInstallTime″=dword:00000003 — устанавливать обновления в 03:00 часа;
″UseWUServer″=dword:00000001 — использовать для обновлений сервер WSUS.  Если задано нулевое значение, то обновление производится с Microsoft Update;
″DetectionFrequencyEnabled″=dword:00000001 — частота проверки обновлений включена;
″DetectionFrequency″=dword:00000012 — проверять наличие обновлений на сервере каждые 12 часов;
″RescheduleWaitTimeEnabled″=dword:00000001 — переносить пропущенную установку обновлений;
″RescheduleWaitTime″=dword:00000010 — запускать пропущенную установку обновлений через 10 минут после включения компьютера;
″NoAutoRebootWithLoggedOnUsers″=dword:00000001 — не перезагружать компьютер автоматически, если на нем работают пользователи.

Автоматизация настройки

Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
″WUServer″=″http://192.168.0.1″
″WUStatusServer″=″http://192.168.0.1″
″TargetGroupEnabled″=dword:00000001
″TargetGroup″=″Workgroup″

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″DetectionFrequency″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его.

Возможные проблемы

Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо произвести на клиенте следующие действия:

• выполнить в консоли cmd команду net stop wuauserv, чтобы остановить службу автоматического обновления;
• запустить regedit и перейти в ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate;
• удалить ключи PingID, AccountDomainSid, SusClientId, SusClientIDValidation (если есть);
• удалить всё содержимое папки %WinDir%\SoftwareDistribution (неофициальная рекомендация);
• в консоли выполнить команду net start wuauserv, чтобы запустить службу автоматического обновления;
• в консоли выполнить команду wuauclt.exe /resetauthorization /detectnow и подождать, пока завершится регистрация рабочей станции на сервере WSUS (10-15 минут);
• если компьютер в консоли не появился, то выполнить команду wuauclt.exe /detectnow. Обычно одного повтора достаточно, но может потребоваться и больше;
• зайти в консоль управления WSUS и убедиться, что рабочая станция успешно зарегистрировалась.

WSUS (Windows Server Update Services) — служба обновлений для серверов компании Microsoft. Позволяет централизованно обновлять компьютеры и сервера, управлять параметрами обновления. Позволяет не только значительно экономить использованный трафик из-за централизованного обновления в сети, но и гибко управлять пакетами обновлений, которые будут применяться. Установка и настройка службы Windows Server Update Services на Windows server 2019 не сильно отличается от развертывания WSUS в операционной системе Windows server 2012, 2016.

Требования к установке WSUS (Windows Server Update Services)

Ввод сервера WSUS в домен

Установка роли сервера WSUS

Настройка WSUS

Установка дополнительных компонентов, необходимых для работы отчетов WSUS

Создание и настройка групповых политик для WSUS

Проверка применения групповой политики на компьютере пользователя

Требования к установке WSUS

• Процессор: 1,4 ГГц x64;

• Память: WSUS требует дополнительно 2 ГБ ОЗУ, более того, что требуется сервер и все другие службы, или программного обеспечения;

• Доступное дисковое пространство: 10 ГБ (40 ГБ или больше, в зависимости от выбранных продуктов, для которых нужно получать обновления);

• Сетевой адаптер: 100 Мбит/с или более.

Ввод сервера WSUS в домен

1. В строке поиска выполняем команду ncpa.cpl. В открывшемся окне выбираем сетевой интерфейс, правой клавишей мыши — «Свойства«.

2. Снимаем чекбокс с «IP версии 6 (TCP/IPv6)«, если не используем. Далее выбираем «IP версии 4 (TCP/IPv4)» — «Свойства«.

3. Задаем IP-адрес, Маска подсети, Основной шлюз, Предпочитаемый DNS-сервер.

4. Далее задаём имя серверу, для этого нажимаем правой клавишей мыши на «Этот компьютер«, в открывшемся окне — «Изменить параметры«. Далее нажимаем «Изменить«, в новом окне в поле «Имя компьютера» вписываем имя сервера, далее «ОК«. Далее необходимо перезагрузить компьютер.

5. После перезагрузки компьютера нажимаем правой клавишей мыши на «Этот компьютер«, в открывшемся окне — «Изменить параметры«. Далее нажимаем «Изменить«, выбираем «Является членом домена«, вписываем имя домена. Далее «ОК«.

6. Вводим имя и пароль учетной записи с правами на присоединение к домену.

7. При успешном вводе в домен сервера, появится сообщение «Добро пожаловать в домен…«. Далее необходимо перезагрузить компьютер.

 Установка роли сервера WSUS

1. Нажимаем «Пуск«, далее «Диспетчер серверов«.

2. Далее нажимаем «Добавить роли и компоненты«.

3. Читаем, что необходимо проверить, что все условия перед установкой службы ролей и компонентов, выполнены. Нажимаем «Далее«.

4. Выбираем «Установка ролей или компонентов«, затем «Далее«.

5. Выбираем сервер из пула серверов, нажимаем «Далее«.

6.  Ставим чекбокс напротив «Службы Windows Server Update Services«.

7. В открывшемся окне нажимаем «Добавить компоненты«, затем «Далее«.

8. В следующем окне «Далее«, дополнительных компонентов в данном случае не требуется.

9. Читаем на что обратить внимание, затем «Далее«.

.

10. Оставляем настройки по умолчанию, нажимаем «Далее«.

11. Выбираем расположение содержимого WSUS. Если обновления будут храниться локально, то в зависимости от продуктов, для которых нужно получать обновления, выбирается и размер места на диске (минимально 6 GB). Выбираем допустимый локальный путь (например, d:\wsus), нажимаем «Далее«.

13. Читаем сообщение «Роль веб-сервера (IIS)«, нажимаем «Далее«.

14. В следующем окне оставляем настройки по умолчанию, нажимаем «Далее«. 

15. Подтверждаем установку выбранных компонентов — «Установить«.

16. После установки «Службы Windows Server Update Services«, нажимаем «Закрыть«.

17. После установки WSUS, нажимаем на желтый треугольник в «Диспетчер серверов» и нажимаем «Запуск послеустановочных задач«. На этом установка WSUS закончена.

Настройка WSUS (Windows Server Update Services)

1. Открываем «Диспетчер серверов» — «Средства» — «Службы Windows Server Update Services«.

2. В открывшемcя мастере настройки WSUS читаем условия, необходимые для работы сервера WSUS, нажимаем «Далее«.

3. Снимаем чекбокс «Yes, I would like to join the Microsoft Update Improvement Program» (чекбокс можно оставить), затем «Далее«.

4. Указываем по умолчанию вышестоящий сервер, с которым вы хотите синхронизировать ваш сервер, нажимаем «Далее«.

5. Оставляем настройки по умолчанию, если вы не используете прокси-сервер для синхронизации. Нажимаем «Далее«.

6. Нажимаем «Начать подключение«. При этом будет скачана следующая информация:

• Имеющиеся типы обновлений;
• Продукты, которые можно обновить;
• Доступные языки.

После получения необходимой информации, нажимаем «Далее«.

7. Выбираем языки, для которых сервер будет скачивать обновления (для выбора языка устанавливаем чекбокс). Затем «Далее«.

8. В следующем окне выбираем продукты Microsoft для обновления. Выбираем только необходимое, так как размер скачиваемых обновлений будет значительный. Нажимаем «Далее«.

9. Выбираем классы обновлений, которые вы хотите скачивать. Обычно это:

• Upgrades;
• Критические обновления;
• Накопительные пакеты обновления;
• Обновления определений;
• Обновления системы безопасности.

Нажимаем «Далее«.

10 Оставляем чекбокс «Синхронизацию вручную«, после окончания всех настроек и проверки работы WSUS, устанавливаем «Автоматическая синхронизация» и удобное время для синхронизации (обычно синхронизация проходит ночью, например, 1.00). Затем «Далее«.

.

11. Устанавливаем чекбокс «Запустить первоначальную синхронизацию«, нажимаем «Далее«.

12. После того, как первоначальная синхронизация будет закончена, нажимаем «Готово«. На этом предварительная настройка WSUS закончена. Далее откроется оснастка Windows Server Update Services.

Установка дополнительных компонентов, необходимых для работы отчетов WSUS

13. Для того, чтобы была возможность смотреть отчеты, для WSUS в Windows server 2019 необходимо установить два компонента:

• Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
• Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).

Почему нельзя включить данные компоненты при установке службы WSUS, непонятно. Из версии в версию, для отображения отчетов WSUS, необходимо устанавливать дополнительные компоненты. 

14. После установки дополнительных компонентов, отчет об обновлениях будет отображаться.

15. Следующим шагом открываем в оснастке Windows Server Update Services «Параметры«, устанавливаем чекбокс «Использовать на компьютерах групповую политику или параметры реестра«. Нажимаем «ОК«.

16. Затем добавляем группы компьютеров, которые будут обновляться. Для этого нажимаем правой клавишей на «Все компьютеры» — «Добавить группу компьютеров«.

17. В новом окне задаём имя для новой группы, нажимаем «Добавить«. 

18. В данном случае добавляем группы компьютеров:

• Servers;
• Computers;
• Test.

Создание и настройка групповых политик для WSUS

1. Открываем «Диспетчер серверов» — «Средства» — «Управление групповой политикой«.

2. Создаем групповую политику, для этого нажимаем правой клавишей мыши на «Объекты групповой политики» — «Создать«.

3. Задаём имя нового объекта групповой политики, нажимаем «ОК«. В данном случае создадим две групповые политики:

• WSUS-servers;
• WSUS-computers.

4. Далее изменяем вновь созданную политику, для чего нажимаем правой клавишей мыши на созданную политику — «Изменить«. Для WSUS-servers:

Переходим Конфигурация — Политики —  Административные шаблоны — Центр обновления Windows. Изменяем:

   Настройка автоматического обновления:

     Включено

     Настройка автоматического обновления — 3 — авт. загрузка и уведом. об устан

     Установка по расписанию — время: 01:00

   Указать размещение службы обновлений Майкрософт в интрасети

     Включено

     Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530

     Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530

   Всегда автоматически перезагружаться в запланированное время

     Отключено   

   Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи

     Включено

   Разрешить клиенту присоединение к целевой группе

     Включено

     Имя целевой группы для данного компьютера: Servers

Далее переходим Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы

Изменяем:

   Центр обновления Windows

     автоматически

5. Для групповой политики WSUS-computers:

Переходим Конфигурация — Политики —  Административные шаблоны — Центр обновления Windows. Изменяем:

   Настройка автоматического обновления:

     Включено

     Настройка автоматического обновления — 4 — авт. загрузка и устан. по расписанию

     Установка по расписанию — день: 3 — каждый вторник

     Установка по расписанию — время: 12:00

   Указать размещение службы обновлений Майкрософт в интрасети

     Включено

     Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530

     Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530

   Всегда автоматически перезагружаться в запланированное время

     Отключено

   Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях

     Включено   

   Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи

     Включено

   Разрешить клиенту присоединение к целевой группе

     Включено

     Имя целевой группы для данного компьютера: Сomputers

Далее переходим Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы

Изменяем:

   Центр обновления Windows

     автоматически

6. Далее привязываем вновь созданные политики к соответствующим объектам домена. Для этого выбираем объект домена, правой клавишей мыши — «Связать существующий объект групповой политики«. Выбираем соответствующую групповую политику. Для немедленного применения групповых политик, открываем командную строку, выполняем команду: gpupdate / force.

Проверка применения групповой политики на компьютере пользователя

1. Для проверки применения групповой политики в строке поиска выполняем команду rsop.msc. Проверяем в окне «Результирующая политика» применение политики.

Посмотреть видео, как установить и настроить WSUS (Windows Server Update Services), создать и настроить GPO для WSUS, можно здесь:

 

Также читайте:

Windows server 2019 — добавление и удаление компьютера в домене

Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя

Windows server 2019 — установка и настройка Active Directory, DNS, DHCP 

Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене

Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO 

Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей