İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Kategori: Group Policy
Fırat Boyan 19.12.2017 4

Windows Server 2012 R2'de Windows Update Services (WSUS) GPO Yapılandırma

Bilgisayar sistemlerinin güvenli ve güncel tutulması, Security Patch'ler (güvenlik yamaları) ile sağlanmaktadır. Client PC'lerdeki güncellemeler, Windows Update servisi ile yapılmaktadır. Windows Update servisi, sisteminizin güncel tutulmasını sağlamak üzere çalışan bir servistir ve normal şartlarda (WSUS GPO yapılandırılmadıysa) Client PC, güncelleştirme işlemini Microsoft ile doğrudan iletişim kurarak kendisi gerçekleştirmeye çalışacaktır ki bu da güncelleştirmelerin merkezileştirilmesi amacının dışına çıkmaktadır. Bu durumun önüne geçmek ve güncelleştirmeleri merkezileştirmek için WSUS Server üzerinde gerekli kurulum ve yapılandırmaları tamamladıktan sonra, Client PC'lerin WSUS Server'ı bulabilmeleri ve hangi yapılandırma ayarları üzerinden Update bilgilerini WSUS sunucusundan çekeceklerini Group Policy ile belirlememiz gerekiyor. Aksi durumda; gerekli Group Policy ayarlarını yapılandırmazsak, güncellemeleri Client PC'e yönlendiremezsiniz. Yine daha önceki makalemin konusu olan Server üzerinde WSUS-Windows Update Services Kurulum ve Yapılandırma işlemlerinizi tamamladıktan sonra, WSUS Group Policy Object (GPO) oluşturmak için;

1- Group Policy Management içinde ilgili Organization Unit (OU) üzerinde sağ tıklayarak, Create a GPO in this domain, and Link it here... seçeneğini seçerek, ilgili OU üzerinde GPO oluşturup, aynı zamanda da bu GPO'yu OU'ya bağlama işlemini gerçekleştiriyorum.

WSUS GPO-Group Policy

1.1- Group Policy Object (GPO) için "WsusPol" adını verip, OK butonuna basıyorum.

WSUS GPO-Group Policy

1.2- "WsusPol" adındaki Group Policy Object (GPO), Istanbul OU'su altında oluştu.

WSUS GPO-Group Policy

1.3- İlgili GPO üzerine tıkladıktan sonra, sağ bölümde GPO ile ilgili ayarların bulunduğu bölüm açılıyor. Bu bölümde Delegation sekmesine tıklıyorum.

WSUS GPO-Group Policy

1.4- Delegation sekmesinde, sağ altta bulunan Advanced... butonuna tıklıyorum. Karşıma gelen WsusPol Security Settigs penceresinde, Active Directory üzerinde oluşturduğum ilgili Security Group nesnesini ekleyeceğim. Add... butonuna tıklıyor, oluşturmuş olduğum "WsusComputers" isimli Security Group'u seçip, OK butonuna basıyorum. "WsusComputers" isimli Security Group seçildikten sonra tekrar OK butonuna basıyor, ekleme işlemini tamamlıyorum.

WSUS GPO-Group Policy

WSUS GPO-Group Policy

WSUS GPO-Group Policy

1.5- "WsusComputers" isimli Security Group eklendikten sonra, gerekli izin atama işlemlerini yapmak için seçiyorum ve izinler kısmında Apply group policy seçeneği ile bu Group Policy Object'in (GPO) bu gruba uygulanmasını sağlıyorum.

WSUS GPO-Group Policy

WSUS GPO-Group Policy

1.6- Gerekli izin ayarını yapılandırdıktan sonra, OK butonuna tıklayarak, Settings penceresini kapatıyorum.

WSUS GPO-Group Policy

1.7- Delegation sekmesinde gerekli işlemlerimi bitirdim. Şimdi, bir sonraki adımda bu sefer de Scope sekmesine tıklıyor, en alttaki Security Filtering bölümünde WsusComputers isimli Security Group'umu Add... butonuna tıklayarak ekliyorum. Buradaki amacım, GPO'nun bu bilgisayar grubuna etki etmesi olacaktır..

WSUS GPO-Group Policy

1.8- Yine aynı bölümde Authenticated Users'ı seçerek Remove butonuna basıyor ve siliyorum.

WSUS

WSUS

WSUS

2- GPO üzerindeki izinlerin yapılandırmasını tamamladıktan sonra, Istanbul OU'su altında oluşturduğum "WsusPol" isimli Group Policy Object (GPO) üzerinde sağ tıklayarak Edit... seçeneğini seçiyor, GPO yapılandırma işlemine geçiyorum.

WSUS GPO-Group Policy

2.1- Group Policy Management Editor penceresi açıldıktan sonra sırasıyla Computer Configuration > Policies > Administrative Templates altıkdaki Windows Components'ı genişletiyorum.

WSUS GPO-Group Policy

2.2- Windows Components'ı genişlettikten sonra, alt klasörlerden Windows Update klasörü, Group Policy Object (GPO) yapılandırması için ihtiyacımız olan klasördür. Windows Update klasörü altında gerekli olan birçok Policy seçeneği mevcut durumdadır. Bizim için gerekli olan Policy'ler;

Configure Automatic Updates
Specify intranet Microsoft Update service location
Automatic Updates detection frequency
Allow non-administrators to receive Update notifications

WSUS GPO-Group Policy

2.2.1- Configure Automatic Updates: Bu Policy, güncellemerin hangi şarta bağlı olarak Download edilip, Install edileceği ile alakalıdır.

2- Notify for download and notify for install: İndirmek ve yüklemek için sor.
3- Auto download and notify for install: Otomatik olarak indir, yüklemek için sor.
4- Auto download and schedule the install: otomatik olarak indir, yüklemeyi bir zamana bağla.
5- Allow local admin to choose setting: İndirme ve yükleme işlemlerini local admin'e bırak.

WSUS GPO-Group Policy

2.2.1.1- Ben, Auto download and schedule the install seçeneğini seçerek güncellemelerin otomatik olarak indirilip, yüklemeyi belirli bir zamana atamak istiyorum. Bu nedenle de 4 numaralı seçeneği seçiyorum.

2.2.1.2- 4 numaralı seçeneği seçtikten sonra, alt kısımda bulunan;

* Schedule install day: altında yüklemelerin otomatik olarak kaç günde bir yapılacağını seçiyoruz. Ben, 0- Every day seçeneğini seçiyorum.
* Schedule install time: altında indirilen otomatik güncellemelerin hangi saat diliminde yükleneceğini seçiyorum. Ben, 23:00 olarak belirledim.

WSUS GPO-Group Policy

2.2.2- Specify intranet Microsoft Update service location Policy'si, en önemli Policy'lerden biridir. Burada, Set the intranet Update service for detecting updates: altında Client PC'lerin Wsus Server'ı bulabilmesi için, Wsus Server'ın Host Name'i http://Host Name:8530 şeklinde belirtiyorum. Buradaki 8530, erişimin http veya https üzerinden yapılacağını belirtir ki Wsus kurulumu yaparken IIS (Internet Information Services) kurulumu da yapmıştık. 8530, IIS (Internet Information Services) üzerindeki Wsus Web Site'un Port numarasıdır.

WSUS GPO-Group Policy

2.2.3- Automatic Updates detection frequency Policy'si, güncellemelerin Client PC'ler tarafından kaç saatte bir kontrol edileceğini belirtir.

WSUS GPO-Group Policy

2.2.4- Allow non-administrators to receive update notifications Policy'si, Administrators grubuna dahil olmayan, Users grubu üyesi kullanıcılar için, belirtilen saattelerde kontrol edilen güncellemelerde yeni güncelleme bulunması durumunda, bunu ekranın sağ altında uyarı olarak gösterecektir.

WSUS GPO-Group Policy

3- Group Policy güncelleştirme Policy'lerini yapılandırdıktan sonra, Istanbul OU'su üzerinde sağ tıklayıp, Group Policy Update... seçeneğini seçerek, güncelleştirmelerin tüm Client PC'lere uygulanmasını sağlıyorum.

WSUS GPO-Group Policy

WSUS GPO-Group Policy

WSUS GPO-Group Policy

4- Client PC üzerinde Contol Panel'den (denetim masası) Windows Update penceresini açtıktan sonra ilk olarak You receive updates: For windows only. seçeneği görünecektir. Client PC'yi yeniden başlattıktan sonra, Managed by your system administator olarak değiştiğini göreceksiniz.

WSUS GPO-Group Policy

WSUS GPO-Group Policy

5- Güncelleştirmeleri tüm Client PC'lere uygulattıktan sonra, Client PC'lerin Update Services Yönetim Konsolu üzerinde All Computers içine geldiğini göreceksiniz. Client PC'leri buradan daha önce oluşturuğumuz gruplara dağıtabiliriz. Ben, Windows 8.1 işletim sistemli bilgisayarımı "Windows-8.1" grubuna taşıyorum. Taşımak için; Client PC üzerinde sağ tıklayarak Change Membership... seçeneğini seçiyorum. Set Computer Group Membership penceresi altında "Windows-8.1" grubunu seçip, OK butonuna basıyorum.

WSUS GPO-Group Policy

WSUS GPO-Group Policy

WSUS GPO-Group Policy

6- Update Services Yönetim Konsolu üzerinde sol bölümde SRV0001 altında Updates sekmesi içindeki All Updates bölümünde, Microsoft'tan indirilen güncelleştirmeleri görececeksiniz. Buradaki güncelleştirmeler; Products and Classifications yapılandırması yaparken Classifications bölümünde bir önceki ayar olan Products sekmesinde seçtiğimiz Microsoft ürünleri için hangi tür Update'leri çekeceğimizi belirtmiştik. Burada çektiğimiz tüm Update'ler sınıflandırmasız, karışık olarak yer almaktadır. Ben, senaryom gereği Windows 8.1 işletim sistemi için indirilmiş olarak update'lerden bazılarını seçip, sağ tıklayarak Approve... seçeneğini seçiyorum.

WSUS GPO-Group Policy

6.1- All Updates bölümünde toplanan güncelleştirmeleri Approve etmediğiniz sürece, hiçbir güncelleştirme yüklenmeyecektir. Approve Updates penceresi altında All computers üzerinde sağ tıklayarak Approved for Install seçeneğini seçiyorum.

WSUS GPO-Group Policy

6.2- All computers üzerinde sağ tıklayarak Approved for Install seçeneğini seçtikten sonra, aynı işlemi Windows-8.1 üzerinde de gerçekleştiriyorum.

WSUS GPO-Group Policy

6.3- Tüm bu işlemleri bitirdikten sonra, OK butonuna basarak Approve Updates penceresini kapatıyorum.

WSUS GPO-Group Policy

6.5- Seçtiğim ve Approve ettiğim güncelleştirmelerin başarılı bir şekilde Windows-8.1 grubu içindeki bilgisayarlara yüklenmek üzere atandığını görüyorum. Close penceresini Approval Progress penceresini kapatıyorum.

WSUS GPO-Group Policy

7- Client PC üzerinde Contol Panel'den (denetim masası) Windows Update penceresini açtığımda, Windows-8.1 grubu içine atadığım güncelleştirmelerin Automatic Updates detection frequency Policy'si sayesinde Windows 8.1 işletim sistemli Client PC tarafından kontrol edilip, Install edilmeye hazır hale geldiğini görüyorum.

WSUS GPO-Group Policy

WSUS GPO-Group Policy

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim. 2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin en önde gelen entegratör firması olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum. Ek olarak, 2015 yılında Network Akademi bünyesinde Sistem ve Network Uzmanlık eğitimleri vermeye başladım ve 2017 yılında da eğitmenlik tecrübemi, Microsft Certified Trainer (MCT) ünvanı ile taçlandırdım. Eğitmenlik serüvenime 2021 yılından beri Bilge Adam bünyesinde MCT ünvanı ile devam etmekteyim.

YORUMLAR
Bu makaleye 4 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


21.09.2022 Semih
Selamlar Fırat, Sende biliyorsun sitenin sıkı takipcisiyim ama bir sorum olacak 3 2.2.2 adımında Specify alanda yeni bir seçenek daha var. Set the Alternate download server bu alana microsoft adreslerini yazsam WSUSa ulaşamayan Clientlar buradan otomatik updateleri indirirler mi? Bu durum için yorumlarını almak beni çok mutlu eder. Ama şimdiden söyleyeyim belki bir gün sitemde yayınlarım. Ama dersimi aldım altında Fırattan aldım bu bilgiyi yazacağım. :)

23.09.2022 Fırat Boyan
Merhaba Semih. Takipçim olman güzel bir haber. Sevindim :) Soruna gelecek olursak, deneme şansım olmasa da yaptığım hızlı bir araştırma neticesinde Set the alternate download server alanı, aslında iç Network'teki (ör. Downstream) Wsus Server'ı yani local'deki yedekli bir Wsus Server'ı, hem de bir Microsoft Update servis URL'i kullanılabilir. Bu alan boş bırakıldığında ise zaten varsayılan olarak Wsus Server URL adresini kullanıyor.


02.11.2018 awaresh
oldukça faydalı. teşekkürler..
19.12.2017 Ercan Yurek
çok güzel bir makale. elinize sağlık. Detaylı ve açıklayıcı.