การกำหนด Group Policy สำหรับอัปเดต WSUS
เมื่อกำหนดค่าเริ่มต้นการทำงานของ WSUS แล้ว เราจะต้องไปกำหนดค่า Group Policy ที่จะใช้งานร่วมกับ WSUS ด้วย โดยมีขั้นตอนดังนี้
- สร้าง OU ชื่อ SecUpdate ขึ้นมา จากนั้นย้ายออบเจ็กต์คอมพิวเตอร์ที่ต้องการอัปเดต WSUS ไปไว้ใน OU นี้
2. เปิดหน้าต่าง Group Policy ขึ้นมา แล้วกำหนด Group Policy ให้กับ OU ชื่อ SecUpdate โดยการสร้าง GPO ชื่อ SecUpdate จากนั้นคลิกขวาแล้วเลือกคำสั่ง Edit
3. กำหนด Group Policy เพื่อตรวจสอบและอัปเดต WSUS ให้กับเครื่อง Client ดังนี้
| ชื่อ | Configure Automatic Updates |
| ตำแหน่ง | Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update |
| ค่า | Enabled, ที่ช่อง Configure automatic updating เลือกคำสั่ง Auto download and notify for install |
| ชื่อ | Specify intranet Microsoft update service location |
| ตำแหน่ง | Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update |
| ค่า | Enabled, ที่ช่อง Set the intranet update service for detecting updates: และ Set the intranet statistics server: ให้ใส่ URL ที่เป็นชื่อเครื่อง Server และพอร์ตของ WSUS ลงไป เช่น http://server1.admingroup.com:8530 |
| ชื่อ | Do not connect to any Windows Update Internet locations |
| ตำแหน่ง | Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update |
| ค่า | Enabled |
| ชื่อ | Allow non-administrators to receive update notifications |
| ตำแหน่ง | Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update |
| ค่า | Enabled |
| ชื่อ | No auto-restart with logged on users for scheduled automatic updates installations |
| ตำแหน่ง | Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update |
| ค่า | Enabled |
| ชื่อ | Enable client-side targeting |
| ตำแหน่ง | Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update |
| ค่า | Enabled, ที่ช่อง Target group name for this computer กำหนดชื่อ Group สำหรับการอัปเดต WSUS ลงไป เช่น ชื่อ Group ที่เราตั้งไว้คือ SecUpdate |
| ชื่อ | Allow Automatic Updates immediate installation |
| ตำแหน่ง | Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update |
| ค่า | Enabled |
4. กลับมาที่หน้าต่าง Group Policy Management สั่ง Force Policy โดยคลิกขวาที่ OU ชื่อ SecUpdate แล้วเลือกคำสั่ง Group Policy Update… หรือใช้คำสั่ง gpupdate /force ที่หน้าต่าง cmd ก็ได้
5. ที่หน้าต่าง Updat Services (หน้าต่างกำหนดค่าการทำงานของ WSUS) เข้าไปที่ WSUS > Computers > All Computers แล้วคลิกเลือกชื่อ Group ที่สร้างขึ้นมา ตัวอย่างนี้คือ SecUpdate ที่ช่อง Status ให้เลือกคำสั่ง Any แล้วคลิกคำสั่ง Refresh จะพบว่ามีชื่อเครื่อง Client ที่ได้รับการอนุญาตให้อัปเดตผ่าน WSUS ขึ้นมาแล้ว
6. คลิกเข้าไปที่คำสั่ง WSUS > Updates > All Updates คลิกเลือกคำสั่งที่ต้องการอัปเดต สามารถเลือกอัปเดตเฉพาะบางคำสั่งหรือทั้งหมดก็ได้ จากนั้นคลิกเลือกคำสั่ง Approve…
7. ที่หน้าต่าง Approe Updates คลิกเลือก Group ชื่อ SecUpdate แล้วเลือกคำสั่ง Approved for Install แล้วคลิกปุ่ม OK
8. ที่หน้าต่าง Approval Progress คลิกปุ่ม Close
9. Windows Server ก็จะดาวน์โหลดคำสั่งอัปเดตที่ถูกเลือกมาเก็บไว้ในเครื่อง ให้รอจนกว่าสถานะการดาวน์โหลดที่คำสั่ง Download Status จะหยุดนิ่ง ไม่มีการดาวน์โหลดใดๆ โดยสังเกตที่คำสั่ง Updates needing files จะเป็น 0
กำหนดค่าการอัปเดตที่เครื่อง Client
ที่ฝั่งเครื่อง Client ที่จะร้องขอการอัปเดตผ่าน WSUS ให้ตรวจสอบค่าการอัปเดต ดังนี้
- คลิกปุ่ม Start > Settings ที่หน้าต่าง Settings ให้คลิกเลือกคำสั่ง Update & security
- คลิกเลือกคำสั่ง Windows Update
- จะพบว่าเครื่อง Client กำลังดาวน์โหลดไฟล์อัปเดตจากเครื่อง WSUS โดยอัตโนมัติแล้ว ให้สังเกตจะมีคำสั่ง Some settings are managed by your organization แสดงขึ้นมา
