Показать полную графическую версию : несколько вопросов про wsus и групповые политики
помоги разобраться:
поставил на 2003 wsus 3.0 sp1
настроил что качать, что нет, что разрешать и прочее.
но не могу разобраться, как компьютеры подключаются к нему.
есть 2 способа: настраивать ГП ручками на рабочей станции
либо использовать ГП в АД
был выбран второй вариант. в АД у меня есть группы пользователей, туда входят юзеры по отделам. именно на эту группу я создал ГП и настроил параметры обновления.
вопрос:
1. как проверить про параметры приминились?? (в моем случае при входе опред пользователя на любой комп)
2. что собой представляет оснастка компьютеры в консоли wsus??
Oleg Krylov
24-03-2009, 14:31
настраивать ГП ручками на рабочей станции
либо использовать ГП в АД »
Однозначно использовать GP в домене. В настройках компьютера в GPMC есть раздел Windows Update. В нем нужно задать время обновления, тип (автомат, одобрение пользователем). Указать внутренний источник, а именно URL Вашего WSUS-сервера.
Групповые политики применяются в данном случае к компьютеру, а не к пользователю. А описанное Вами применение политики к группе безопасности - вообще недопустимо, работать не будет. Примените политику к OU, в которой находятся целевые машины.
После применения политик, Вы можете проверить настройки WU на клиентах, они должны соответствовать тем, которые Вы указали в политиках и быть недоступными для редактирования. Чтобы запустить немедленную проверку обновлений с клиента выполните wuauclt /detectnow. Буквально в течение нескольких минут должна появиться иконка в трее, сигнализирующая о наличии новых обновлений для Вашего компьютера.
P.S. Для применения политик на контроллере выполните gpupdate /force, для применения на клиентах - перезагрузите клиентские машины.
Diesel315
24-03-2009, 14:48
После применения политик, Вы можете проверить настройки WU на клиентах, они должны соответствовать тем, которые Вы указали в политиках и быть недоступными для редактирования »
chek Rsop.msc на клиентах запусти и посмотри там все твои политики доменные будут.
вообще недопустимо, работать не будет »
хочется на будущее знать почему.
Примените политику к OU, в которой находятся целевые машины. »
подскажите, как это можно реализовать
просто у меня 2 офиса соединенных ВПН (домен один), и в каждом я хочу поставить свой сервер
будет ли правильным в АД в группе "computers" создать 2 группы и разделить компы офисов?? и потом применять настройки для каждого сервера обновлений
После применения политик, Вы можете проверить настройки WU на клиентах, они должны соответствовать тем, которые Вы указали в политиках и быть недоступными для редактирования »
имеете в виду открыть на локальных тачках gpedit.msc??
Oleg Krylov
24-03-2009, 15:10
хочется на будущее знать почему »
А это черным по белому написано в руководстве по групповым политикам. Минимальная область приложения - OU. А вот группе безопасности вы можете разрешить\запретить чтение\применение. Но применяться будет только к объектам входящим в OU. Причем, в зависимости от типа политики (Компьютер или Пользователь) применяться будет только к объектам определенного типа. Т.е. к компьютерам.
будет ли правильным в АД в группе "computers" создать 2 группы и разделить компы офисов?? и потом применять настройки для каждого сервера обновлений »
Да, конечно, это оптимальный вариант.
имеете в виду открыть на локальных тачках gpedit.msc?? »
Нет, открыть в Панели управления --> Автоматическое обновление.
Rsop.msc на клиентах запусти и посмотри там все твои политики доменные будут. »
сделал
компьютер с красным крестиком
в ошибках вот что
Инфраструктура групповой политики не выполнено из-за следующей ошибки.
Системе не удается найти указанный путь.
Примечание: из-за ошибки ядра групповой политики никакие другие компоненты групповой политики не выполнили обработку своей политики. Тем самым, информация о состоянии других компонентов недоступна.
в событиях
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={70BFCF15-5978-43F0-8458-F659856DF864},CN=Policies,CN=System,DC=GCompany,DC=local. Этот файл должен находиться в <\\GCompany.local\SysVol\GCompany.local\Policies\{70BFCF15-5978-43F0-8458-F659856DF864}\gpt.ini>. (Системе не удается найти указанный путь. ). Обработка групповой политики прекращена.
но указанный файл существует. с любого компьютера путь \\GCompany.local\SysVol\GCompany.local\Policies\{70BFCF15-5978-43F0-8458-F659856DF864}\gpt.ini открывается нормально.
Diesel315
24-03-2009, 15:34
У мня тоже пока не все гладко сперва запускаться не хотела (я просто шары административные отключил Admin$ итд ) потом включил и опана ошибки:
Инфраструктура групповой политики не выполнено из-за следующей ошибки.
Невозможно обратиться за проверкой подлинности в орган сертификации.
Примечание: из-за ошибки ядра групповой политики никакие другие компоненты групповой политики не выполнили обработку своей политики. Тем самым, информация о состоянии других компонентов.
Я в Gp не силен, просто решил поэкспериментировать. Сперва я правил для домена всего (пока ограничился лишь отключением автозапуска и редактированием рееста) потом прочитал здесь что править можно и для OU (надеюсь я правильно понял это и есть подразделение) и создал отдельеное подразделения (теперь у мня два просто все пользователи и особая группа) в GP для всего домена я вернул все настройки обратно и настроил GP для разных подразделений. Но чето у меня на машине не применяется GP на других пока не пробовал.
Просто интересно когда изменял для домена всего, то все было тип топ а для отдельных подразделений не работает. Так что тоже прошу вашей помощи.
ладно
оставим, вопрос про ГП, это другой раздел форума
вернемся к первоначальному вопросу про вкладку компьютеры
что значит неназначенные компьютеры??
и при ободрении что значит все компьютеры или только неназначенные (унаследовано)
и как можно использовать собственные созданные группы??
victor111
01-04-2009, 17:49
вернемся к первоначальному вопросу про вкладку компьютеры
что значит неназначенные компьютеры??
и при ободрении что значит все компьютеры или только неназначенные (унаследовано) »
это группа в которую по умолчанию попадают копмы при подключении к WSUS
и как можно использовать собственные созданные группы?? »
разбей по отделам или по другому одним одобрешь другим нет или потом как захочешь
madmax24
02-04-2009, 16:27
и как можно использовать собственные созданные группы?? »
если вопрос понимать в смысле "по каким признакам разбить компы на группы?", то например по ОС можно, можно по филиалам(чем шире канал до филиала, тем обновления быстрее приедут на компы), можно по одобрению(как выше предложено) либо еще как угодно... Хоть по алфавиту :)
это группа в которую по умолчанию попадают копмы при подключении к WSUS »
Я бы сказал, что это группа, в которой находятся компьютеры не попавшие ни в одну из созданных пользователем групп на сервере ВСУС... А уж как они там появляются(переносом из других групп ли, при отсутствии групп вообще ли) это другой вопрос :)
и при ободрении что значит все компьютеры или только неназначенные (унаследовано) »
Это значит что обновление будет одобрено для установки(для обнаружения) либо на все компьютеры сервера ВСУС, либо на группу какую нибудь отдельную("неназначенные компьютеры" - это тоже группа)
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.