Bilgisayar sistemlerinin güvenli ve güncel tutulması, Security Patch'ler (güvenlik yamaları) ile sağlanmaktadır. Client PC'lerdeki güncellemeler, Windows Update servisi ile yapılmaktadır. Windows Update servisi, sisteminizin güncel tutulmasını sağlamak üzere çalışan bir servistir ve normal şartlarda (WSUS GPO yapılandırılmadıysa) Client PC, güncelleştirme işlemini Microsoft ile doğrudan iletişim kurarak kendisi gerçekleştirmeye çalışacaktır ki bu da güncelleştirmelerin merkezileştirilmesi amacının dışına çıkmaktadır. Bu durumun önüne geçmek ve güncelleştirmeleri merkezileştirmek için WSUS Server üzerinde gerekli kurulum ve yapılandırmaları tamamladıktan sonra, Client PC'lerin WSUS Server'ı bulabilmeleri ve hangi yapılandırma ayarları üzerinden Update bilgilerini WSUS sunucusundan çekeceklerini Group Policy ile belirlememiz gerekiyor. Aksi durumda; gerekli Group Policy ayarlarını yapılandırmazsak, güncellemeleri Client PC'e yönlendiremezsiniz. Yine daha önceki makalemin konusu olan Server üzerinde WSUS-Windows Update Services Kurulum ve Yapılandırma işlemlerinizi tamamladıktan sonra, WSUS Group Policy Object (GPO) oluşturmak için;
1- Group Policy Management içinde ilgili Organization Unit (OU) üzerinde sağ tıklayarak, Create a GPO in this domain, and Link it here... seçeneğini seçerek, ilgili OU üzerinde GPO oluşturup, aynı zamanda da bu GPO'yu OU'ya bağlama işlemini gerçekleştiriyorum.
1.1- Group Policy Object (GPO) için "WsusPol" adını verip, OK butonuna basıyorum.
1.2- "WsusPol" adındaki Group Policy Object (GPO), Istanbul OU'su altında oluştu.
1.3- İlgili GPO üzerine tıkladıktan sonra, sağ bölümde GPO ile ilgili ayarların bulunduğu bölüm açılıyor. Bu bölümde Delegation sekmesine tıklıyorum.
1.4- Delegation sekmesinde, sağ altta bulunan Advanced... butonuna tıklıyorum. Karşıma gelen WsusPol Security Settigs penceresinde, Active Directory üzerinde oluşturduğum ilgili Security Group nesnesini ekleyeceğim. Add... butonuna tıklıyor, oluşturmuş olduğum "WsusComputers" isimli Security Group'u seçip, OK butonuna basıyorum. "WsusComputers" isimli Security Group seçildikten sonra tekrar OK butonuna basıyor, ekleme işlemini tamamlıyorum.
1.5- "WsusComputers" isimli Security Group eklendikten sonra, gerekli izin atama işlemlerini yapmak için seçiyorum ve izinler kısmında Apply group policy seçeneği ile bu Group Policy Object'in (GPO) bu gruba uygulanmasını sağlıyorum.
1.6- Gerekli izin ayarını yapılandırdıktan sonra, OK butonuna tıklayarak, Settings penceresini kapatıyorum.
1.7- Delegation sekmesinde gerekli işlemlerimi bitirdim. Şimdi, bir sonraki adımda bu sefer de Scope sekmesine tıklıyor, en alttaki Security Filtering bölümünde WsusComputers isimli Security Group'umu Add... butonuna tıklayarak ekliyorum. Buradaki amacım, GPO'nun bu bilgisayar grubuna etki etmesi olacaktır..
1.8- Yine aynı bölümde Authenticated Users'ı seçerek Remove butonuna basıyor ve siliyorum.
2- GPO üzerindeki izinlerin yapılandırmasını tamamladıktan sonra, Istanbul OU'su altında oluşturduğum "WsusPol" isimli Group Policy Object (GPO) üzerinde sağ tıklayarak Edit... seçeneğini seçiyor, GPO yapılandırma işlemine geçiyorum.
2.1- Group Policy Management Editor penceresi açıldıktan sonra sırasıyla Computer Configuration > Policies > Administrative Templates altıkdaki Windows Components'ı genişletiyorum.
2.2- Windows Components'ı genişlettikten sonra, alt klasörlerden Windows Update klasörü, Group Policy Object (GPO) yapılandırması için ihtiyacımız olan klasördür. Windows Update klasörü altında gerekli olan birçok Policy seçeneği mevcut durumdadır. Bizim için gerekli olan Policy'ler;
● Configure Automatic Updates
● Specify intranet Microsoft Update service location
● Automatic Updates detection frequency
● Allow non-administrators to receive Update notifications
2.2.1- Configure Automatic Updates: Bu Policy, güncellemerin hangi şarta bağlı olarak Download edilip, Install edileceği ile alakalıdır.
2- Notify for download and notify for install: İndirmek ve yüklemek için sor.
3- Auto download and notify for install: Otomatik olarak indir, yüklemek için sor.
4- Auto download and schedule the install: otomatik olarak indir, yüklemeyi bir zamana bağla.
5- Allow local admin to choose setting: İndirme ve yükleme işlemlerini local admin'e bırak.
2.2.1.1- Ben, Auto download and schedule the install seçeneğini seçerek güncellemelerin otomatik olarak indirilip, yüklemeyi belirli bir zamana atamak istiyorum. Bu nedenle de 4 numaralı seçeneği seçiyorum.
2.2.1.2- 4 numaralı seçeneği seçtikten sonra, alt kısımda bulunan;
* Schedule install day: altında yüklemelerin otomatik olarak kaç günde bir yapılacağını seçiyoruz. Ben, 0- Every day seçeneğini seçiyorum.
* Schedule install time: altında indirilen otomatik güncellemelerin hangi saat diliminde yükleneceğini seçiyorum. Ben, 23:00 olarak belirledim.
2.2.2- Specify intranet Microsoft Update service location Policy'si, en önemli Policy'lerden biridir. Burada, Set the intranet Update service for detecting updates: altında Client PC'lerin Wsus Server'ı bulabilmesi için, Wsus Server'ın Host Name'i http://Host Name:8530 şeklinde belirtiyorum. Buradaki 8530, erişimin http veya https üzerinden yapılacağını belirtir ki Wsus kurulumu yaparken IIS (Internet Information Services) kurulumu da yapmıştık. 8530, IIS (Internet Information Services) üzerindeki Wsus Web Site'un Port numarasıdır.
2.2.3- Automatic Updates detection frequency Policy'si, güncellemelerin Client PC'ler tarafından kaç saatte bir kontrol edileceğini belirtir.
2.2.4- Allow non-administrators to receive update notifications Policy'si, Administrators grubuna dahil olmayan, Users grubu üyesi kullanıcılar için, belirtilen saattelerde kontrol edilen güncellemelerde yeni güncelleme bulunması durumunda, bunu ekranın sağ altında uyarı olarak gösterecektir.
3- Group Policy güncelleştirme Policy'lerini yapılandırdıktan sonra, Istanbul OU'su üzerinde sağ tıklayıp, Group Policy Update... seçeneğini seçerek, güncelleştirmelerin tüm Client PC'lere uygulanmasını sağlıyorum.
4- Client PC üzerinde Contol Panel'den (denetim masası) Windows Update penceresini açtıktan sonra ilk olarak You receive updates: For windows only. seçeneği görünecektir. Client PC'yi yeniden başlattıktan sonra, Managed by your system administator olarak değiştiğini göreceksiniz.
5- Güncelleştirmeleri tüm Client PC'lere uygulattıktan sonra, Client PC'lerin Update Services Yönetim Konsolu üzerinde All Computers içine geldiğini göreceksiniz. Client PC'leri buradan daha önce oluşturuğumuz gruplara dağıtabiliriz. Ben, Windows 8.1 işletim sistemli bilgisayarımı "Windows-8.1" grubuna taşıyorum. Taşımak için; Client PC üzerinde sağ tıklayarak Change Membership... seçeneğini seçiyorum. Set Computer Group Membership penceresi altında "Windows-8.1" grubunu seçip, OK butonuna basıyorum.
6- Update Services Yönetim Konsolu üzerinde sol bölümde SRV0001 altında Updates sekmesi içindeki All Updates bölümünde, Microsoft'tan indirilen güncelleştirmeleri görececeksiniz. Buradaki güncelleştirmeler; Products and Classifications yapılandırması yaparken Classifications bölümünde bir önceki ayar olan Products sekmesinde seçtiğimiz Microsoft ürünleri için hangi tür Update'leri çekeceğimizi belirtmiştik. Burada çektiğimiz tüm Update'ler sınıflandırmasız, karışık olarak yer almaktadır. Ben, senaryom gereği Windows 8.1 işletim sistemi için indirilmiş olarak update'lerden bazılarını seçip, sağ tıklayarak Approve... seçeneğini seçiyorum.
6.1- All Updates bölümünde toplanan güncelleştirmeleri Approve etmediğiniz sürece, hiçbir güncelleştirme yüklenmeyecektir. Approve Updates penceresi altında All computers üzerinde sağ tıklayarak Approved for Install seçeneğini seçiyorum.
6.2- All computers üzerinde sağ tıklayarak Approved for Install seçeneğini seçtikten sonra, aynı işlemi Windows-8.1 üzerinde de gerçekleştiriyorum.
6.3- Tüm bu işlemleri bitirdikten sonra, OK butonuna basarak Approve Updates penceresini kapatıyorum.
6.5- Seçtiğim ve Approve ettiğim güncelleştirmelerin başarılı bir şekilde Windows-8.1 grubu içindeki bilgisayarlara yüklenmek üzere atandığını görüyorum. Close penceresini Approval Progress penceresini kapatıyorum.
7- Client PC üzerinde Contol Panel'den (denetim masası) Windows Update penceresini açtığımda, Windows-8.1 grubu içine atadığım güncelleştirmelerin Automatic Updates detection frequency Policy'si sayesinde Windows 8.1 işletim sistemli Client PC tarafından kontrol edilip, Install edilmeye hazır hale geldiğini görüyorum.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.