несколько вопросов про wsus и групповые политики
 

помоги разобраться:
поставил на 2003 wsus 3.0 sp1
настроил что качать, что нет, что разрешать и прочее.

но не могу разобраться, как компьютеры подключаются к нему.
есть 2 способа: настраивать ГП ручками на рабочей станции
либо использовать ГП в АД
был выбран второй вариант. в АД у меня есть группы пользователей, туда входят юзеры по отделам. именно на эту группу я создал ГП и настроил параметры обновления.

вопрос:
1. как проверить про параметры приминились?? (в моем случае при входе опред пользователя на любой комп)
2. что собой представляет оснастка компьютеры в консоли wsus??

Однозначно использовать GP в домене. В настройках компьютера в GPMC есть раздел Windows Update. В нем нужно задать время обновления, тип (автомат, одобрение пользователем). Указать внутренний источник, а именно URL Вашего WSUS-сервера.
Групповые политики применяются в данном случае к компьютеру, а не к пользователю. А описанное Вами применение политики к группе безопасности - вообще недопустимо, работать не будет. Примените политику к OU, в которой находятся целевые машины.
После применения политик, Вы можете проверить настройки WU на клиентах, они должны соответствовать тем, которые Вы указали в политиках и быть недоступными для редактирования. Чтобы запустить немедленную проверку обновлений с клиента выполните wuauclt /detectnow. Буквально в течение нескольких минут должна появиться иконка в трее, сигнализирующая о наличии новых обновлений для Вашего компьютера.
P.S. Для применения политик на контроллере выполните gpupdate /force, для применения на клиентах - перезагрузите клиентские машины.

chek Rsop.msc на клиентах запусти и посмотри там все твои политики доменные будут.

хочется на будущее знать почему.

подскажите, как это можно реализовать
просто у меня 2 офиса соединенных ВПН (домен один), и в каждом я хочу поставить свой сервер
будет ли правильным в АД в группе "computers" создать 2 группы и разделить компы офисов?? и потом применять настройки для каждого сервера обновлений

имеете в виду открыть на локальных тачках gpedit.msc??

А это черным по белому написано в руководстве по групповым политикам. Минимальная область приложения - OU. А вот группе безопасности вы можете разрешить\запретить чтение\применение. Но применяться будет только к объектам входящим в OU. Причем, в зависимости от типа политики (Компьютер или Пользователь) применяться будет только к объектам определенного типа. Т.е. к компьютерам.
Да, конечно, это оптимальный вариант.
Нет, открыть в Панели управления --> Автоматическое обновление.

сделал
компьютер с красным крестиком
в ошибках вот что
Инфраструктура групповой политики не выполнено из-за следующей ошибки.
Системе не удается найти указанный путь.

Примечание: из-за ошибки ядра групповой политики никакие другие компоненты групповой политики не выполнили обработку своей политики. Тем самым, информация о состоянии других компонентов недоступна.

в событиях
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={70BFCF15-5978-43F0-8458-F659856DF864},CN=Policies,CN=System,DC=GCompany,DC=local. Этот файл должен находиться в <\\GCompany.local\SysVol\GCompany.local\Policies\{70BFCF15-5978-43F0-8458-F659856DF864}\gpt.ini>. (Системе не удается найти указанный путь. ). Обработка групповой политики прекращена.

но указанный файл существует. с любого компьютера путь \\GCompany.local\SysVol\GCompany.local\Policies\{70BFCF15-5978-43F0-8458-F659856DF864}\gpt.ini открывается нормально.

У мня тоже пока не все гладко сперва запускаться не хотела (я просто шары административные отключил Admin$ итд ) потом включил и опана ошибки:
Инфраструктура групповой политики не выполнено из-за следующей ошибки.
Невозможно обратиться за проверкой подлинности в орган сертификации.

Примечание: из-за ошибки ядра групповой политики никакие другие компоненты групповой политики не выполнили обработку своей политики. Тем самым, информация о состоянии других компонентов.

Я в Gp не силен, просто решил поэкспериментировать. Сперва я правил для домена всего (пока ограничился лишь отключением автозапуска и редактированием рееста) потом прочитал здесь что править можно и для OU (надеюсь я правильно понял это и есть подразделение) и создал отдельеное подразделения (теперь у мня два просто все пользователи и особая группа) в GP для всего домена я вернул все настройки обратно и настроил GP для разных подразделений. Но чето у меня на машине не применяется GP на других пока не пробовал.
Просто интересно когда изменял для домена всего, то все было тип топ а для отдельных подразделений не работает. Так что тоже прошу вашей помощи.

ладно
оставим, вопрос про ГП, это другой раздел форума

вернемся к первоначальному вопросу про вкладку компьютеры
что значит неназначенные компьютеры??
и при ободрении что значит все компьютеры или только неназначенные (унаследовано)

и как можно использовать собственные созданные группы??

это группа в которую по умолчанию попадают копмы при подключении к WSUS
разбей по отделам или по другому одним одобрешь другим нет или потом как захочешь

если вопрос понимать в смысле "по каким признакам разбить компы на группы?", то например по ОС можно, можно по филиалам(чем шире канал до филиала, тем обновления быстрее приедут на компы), можно по одобрению(как выше предложено) либо еще как угодно... Хоть по алфавиту :)

Я бы сказал, что это группа, в которой находятся компьютеры не попавшие ни в одну из созданных пользователем групп на сервере ВСУС... А уж как они там появляются(переносом из других групп ли, при отсутствии групп вообще ли) это другой вопрос :)

Это значит что обновление будет одобрено для установки(для обнаружения) либо на все компьютеры сервера ВСУС, либо на группу какую нибудь отдельную("неназначенные компьютеры" - это тоже группа)