Configurando los Clientes de WSUS por GPO

Publicado el 4 June, 2008 | por Diego Cabai | Leído 573 veces

En artículos anteriores hemos cubierto la instalación de un Servidor de WSUS como también tomar Backup del mismo. Asimismo cubrimos la parte de Restore y el pasaje de la data a un nuevo hardware. Ahora todavía no hemos configurado via GPO los clientes para que se reporten en el servidor de WSUS. Ese es el objetivo de este artículo.

Los clientes de WSUS requieren tener una versión de Automatic Updates (AU) actualizada. En la instalación del WSUS se publica automáticamente la última versión cliente de AU para que se instale en los equipos y así asegurar el correcto deploy de los parches y actualizaciones. En este caso vamos a cubrir la configuración de los clientes via GPO, eso quiere decir que en el ambiente existe un Active Directory. Si este no es tu caso, próximamente comentaré las entradas del registro necesarias para poder hacer una configuración manual. Sino podés usar la política local de cada equipo, pero en el caso manual es mas práctico enviar un .reg a los equipos.

1. Primero debemos crear una nueva política (GPO) así no utilizamos otra que tenga otro fin. La podemos llamar “WSUS PC Clientes” y abrimos el editor de la política.

2. Una vez que abre el editor tal vez nos encontremos con que las opciones de Automatic Updates no están disponibles. Si este es tu caso es porque no está agregado el template wuau.adm dentro de la GPO.
Para agregar dicho template:

Hacemos click derecho sobre Administrative Templates
Seleccionamos Add/Remove Templates y luego hacemos click en Add
Ahí buscamos el archivo wuau.adm dentro de Windows\inf y hacemos click en Open
Por último cerramos la ventana haciendo click en Close

Ahora ya deberíamos tener las opciones de Automatic Updates agregadas. Si no estas seguro si están o no podes seguir esos pasos para verificar que el archivo wuau.adm esté cargado.

Si el template está cargado significa que ya podemos empezar a configurar la política para luego aplicarla a los clientes.

3. Dentro del editor de GPO nos vamos hasta Administrative Templates » Windows Components » Windows Update. Ahí vamos a ver una serie de políticas que podemos configurar.

Si queremos habilitar que el cliente se comunique con el servidor basta con configurar 2 de todas esas opciones. El resto complementa todo lo que se puede configurar en un cliente.

Confiure Automatic Updates: Esta opción es la principal que le dice al servicio cliente que debe activarse y buscar actualizaciones. Aquí podemos configurar para que notifique al usuario, para que instale, para que el Admin local decida, etc. Este punto cada uno lo configura según lo que su empresa o ambiente necesite.

Es importante si decidimos instalar los parches en los clientes automáticamente, que los usuarios estén notificados que esto puede pasar, de lo contrario tal vez recibas llamadas a la Mesa de Ayuda sobre esto.

Specify intranet Microsoft update service location: Este es el segundo ítem que se debe configurar para habilitar a un cliente a que se conecte contra el WSUS Server. Simplemente declaramos cuál es el servidor de WSUS que va a atender en esta política. Lo importante es que figure en ambos campos de la misma manera y la estructura es http://nombrewsusserver.

Luego de configurar este parámetro y asignar la política los clientes ya deberían empezar a aparecer en la consola de WSUS bajo no asignadas o Unassigned Computers.

Ahora bien, el hecho de que figuren en el grupo de Computadores No Asignadas es porque todavía no creamos ningún grupo en el WSUS y porque todavía no definimos si vamos a mover las PC’s manualmente o bien que la misma GPO las acomode donde corresponden.

Vamos a hacer las cosas como corresponden y primero creamos un grupo dentro de la consola de WSUS.

4. Dentro de la consola de WSUS hacemos click derecho sobre “All Computers” y ahí elegimos “Add Computer Group”.

El nombre que elegimos para el grupo es importante y debemos recordarlo ya que luego deberemos configurarlo en la GPO si es que dicidimos hacer que la misma GPO acomode los equipos.

5. Para que la GPO pueda acomodar los equipos automáticamente todavía falta configurar algo en el WSUS Server. Para esto vamos a “Options” y ahí hacemos click sobre “Computers”. Nos va a aparecer una ventana con una opción de si queremos usar la consola de WSUS para mover las PCs o bien usar Group Policy Object (GPO).

En nuestro caso vamos a seleccionar “Use Group Policy or registry settings on computers”.

Con este ítem nos aseguramos que la GPO va a acomodar automáticamente las PCs en el grupo que creamos.

6. Para concretar esta configuración sólo falta configurar un ítem en la política que estábamos creando. Volvemos al editor de GPO y buscamos “Enable client-side targeting”.

Habilitamos este ítem y ponemos el mismo nombre de grupo que definimos en el WSUS. En mi caso el nombre del grupo es “Finanzas” ya que representa un área en la empresa que tal vez requiera otro horario de instalación de parches al de IT por ejemplo.

Un punto importante es que necesitas una política o GPO por grupo de WSUS que quieras asignar.

7. Cerramos el editor de GPO, la asignamos a alguna OU y listo, las PCs ya se deberían reportar en el WSUS por lo que sólo faltaría aprobar los parches que querramos. Cabe destacar que configuramos lo mínimo y necesario pero en la GPO hay muchas otras opciones como por ejemplo:

Reschedule Automatic Updates scheduled installations: Es el tiempo que el cliente espera luego del Startup para procesar las instalaciones programadas.
No auto-restart for scheduled Automatic Update installation options: Espera a que el sistema sea reiniciado para completar una instalación programada en vez de reiniciarlo automáticamente.
Automatic Update detection frequency: Es el número total de horas que el cliente va a esperar para chequear el servidor de WSUS por actualizaciones.
Allow Automatic Update immediate installation: Define que si el update no requiere reiniciar el equipo ni algún servicio entonces que lo instale inmediatamente.
Delay restart for scheduled installations: El tiempo que espera el cliente para reiniciar luego de un reinicio programado.
Reprompt for restart with scheduled installations: El tiempo que el cliente espera para preguntar por un reinicio programado.
Allow non-administrators to receive update notifications: Declara si los usuarios que no son administradores pueden recibir notificaciones de updates o no.
Allow signed content from the intranet Microsoft update service location: Habilitamos que se distribuyan updates de terceros, sino es sólamente de Microsoft.
Remove links and access to Windows Update: Los usuarios que tengan aplicado esto no podrán acceder al sitio de Windows Update.
Disable access to Windows Update: Deshabilita el acceso a las funciones de Windows Update de la máquina para que sólo se utilice a través del WSUS.
Do not display ‘Install Updates and Shut Down’ option in Shut Down Windows dialog box: Habilita o deshabilita la opción de instalar los parches y apagar el equipo en el menú de Apagar del cliente.
Do not adjust default option to ‘Install Updates and Shut Down’ in Shut Down Windows dialog box: Si queremos que por defecto sea la opción elegida cuando apagamos el cliente.