Mise à jour à la chaine des machines : WSUS comme solution ? - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 27-01-2008 à 17:03:05
Tout à fait, cela va fonctionner.
Mais pourquoi veux-tu arreter de gerer tes machines avec un domaine ?.
Marsh Posté le 27-01-2008 à 17:19:40
Tu peux aussi faire du WSUS sans être dans un domaine hein.
Suffit de configurer les local policy (ou d'exécuter un .reg)
Par exemple :
|
Tu peux personnaliser les autres options comme tu veux
Après tu reboot ou tu fait un wuauclt /detectnow et ça doit passer je pense
Marsh Posté le 27-01-2008 à 20:38:27
Merci pour vos réponses :
- les machines sont pour des clients, pas pour notre réseau interne : donc on ne va pas les laisser sur notre domaine
- la solution sans domaine, j'ai vu en effet (merci d'ailleurs pour les détails que tu as fourni ), mais on ne va pas l'utiliser pour la même raison : vu que l'on ne va pas laissé la machine chez nous ça va pas faire riche si Windows Update ne fonctionne plus à cause de cette policy
Merci pour vos réponses
Marsh Posté le 27-01-2008 à 21:01:10
Bah c'est pas dûr, tu met le reg pour configurer wsus, tu fais tes maj et après tu fais le reg inverse (en sauvegardant la ruche HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\ par exemple et en la restaurant après).
Comme ça tu as tes machines updatés et elles font à nouveau appel à WU chez le client
Marsh Posté le 27-01-2008 à 21:23:12
sinon pour éviter touts ca télécharge ca WUD http://wud.jcarle.com/
avec les maj et tu crée un fichier bat avec les paramétres silencieux et ca roule sans se casser la tete avec un WSUS
Marsh Posté le 27-01-2008 à 21:37:38
Je@nb : oui en effet Un ptit gpedit.msc aussi permet d'atteindre les réglages et de tout passer en "non configuré"
Je vais faire des tests je te tiens au courant des résultats Le .reg me semble la solution idéale en effet.
duncan mac leod : j'ai le serveur et franchement WSUS c'est super simple à utiliser, une fois en place et paramétré ça marche tout seul.
Ta solution fonctionne aussi parfaitement mais ce n'est pas la solution que je retiens pour l'instant : merci pour ce lien, je le garde bien au chaud pour des CD Nlite bien préparés
Marsh Posté le 20-03-2008 à 11:50:17
Bonjour
Je viens de tester le .reg
Mais je n arrive pas a le faire monter dans le serveur rien ne se passe connaisse vous se problème
Voila le reg que j ai fait
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000001
"WUServer"="http://wsus"
"WUStatusServer"="http://wsus"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"AutoInstallMinorUpdates"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
Marsh Posté le 20-03-2008 à 20:26:15
Ton serveur SUS écoute sur le port 80 ?
Télécharge l'outil de diagnostic, décompresses et utilises ClientDiag.exe .
-> ça test les paramètre et la communication avec le serveur
Après la procédure normale à suivre pour inscrire le serveur WSUS :
1- net stop wuauserv (arrêt du service de mise à jour automatique)
2- enregistrer les paramètres dans la base de registre
3- net start wuauserv (démarrage du service de mise à jour automatique)
4- wuauclt /detectnow (forcage de la détection des mises à jour auprès du serveur SUS)
-> commande à utiliser après chaque reboot afin d'éviter le délai des 24h si on veut porter à 100 % les mises à jour du PC client en quelques minutes
Marsh Posté le 20-03-2008 à 20:31:31
oui merci te ta reponse j ai trouver un truc sa a l aire de marche voila les .reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\]
"WUServer"="http://10.196.140.23"
"WUStatusServer"="http://10.196.140.23"
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\]
"AUOptions"=dword:00000002
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"NoAutoUpdate"=dword:00000000
"RescheduleWaitTime"=dword:00000005
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000000
"UseWUServer"=dword:00000001
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\]
"NoAUAsDefaultShutdownOption"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000d
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000016
"AutoInstallMinorUpdates"=dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:0000001e
"IncludeRecommendedUpdates"=dword:00000001
"AUPowerManagement"=dword:00000001
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000001
"AcceptTrustedPublisherCerts"=dword:00000001
si je mette les 3 ensemble sa ne marche pas je suis obliger de tout mettre separement
en tout ca merci
Marsh Posté le 20-03-2008 à 21:00:09
Merci sa marche nikel..... ahh mon chef vas etre heureux merci
Marsh Posté le 22-04-2008 à 22:51:12
Un ptit mot pour vous dire que ça marche du tonnerre pour mettre à jour mes machines à la chaine !
Un ptit coup de "wuauclt /detectnow" à chaque reboot jusqu'à que toutes les mises à jour soient installées
Un vrai plaisir à utiliser : suffit de nettoyer les machines qui font que passer dans la base.
Marsh Posté le 23-05-2008 à 17:41:26
slt a tous,
je suis dans le meme cas que vous, j'ai mis en place un serveur WSUS sans AD
par contre lorsque j'execute le scipt les resultat sont pris en compte dans la base de registre mais quand je vais voir dans gpedit.msc il n'y a aucune modiification et mon client ne s'accroche pas au serveur alors que si je fais les modifications a la main via gpedit.msc cela fonctionne
pouvez vous m'aider svp?
Marsh Posté le 23-05-2008 à 17:44:38
voici mon script pour info
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000001
"WUServer"="http://update"
"WUStatusServer"="http://update"
"TargetGroupEnabled"=REG_dword:00000001
"TargetGroup"="Test"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000001
"ScheduledInstallTime"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"NoAUAsDefaultShutdownOption"=dword:00000001
"NoAUShutdownOption"=dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000000f
"RebootRelaunchTimeoutEnabled"=dword:00000001
"UseWUServer"=REG_dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:0000001e
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000017
Marsh Posté le 23-05-2008 à 17:47:43
Tes machines sont-elles dans un domaine ? Si oui, tes GPOs surclasseront ta stratégie locale.
Marsh Posté le 24-05-2008 à 09:47:35
Et en executant l'utilitaire d'analayse ? Tu as quelque chose ?
Voir ce post : http://forum.hardware.fr/forum2.ph [...] s=0#t34860
Marsh Posté le 27-01-2008 à 11:11:36
Bonjour,
Je vais dans les semaines qui viennent préparer des dizaines de machine (modèles non identiques), j'ai pensé monter un contrôleur de domaine 2003 avec WSUS3 pour déployer les mises à jour sans passer par la case Windows Update n'ayant malheureusement qu'un accès web limité à 100 ko/s :
- intégration à mon domaine "maintenance"
- WSUS met à jour la machine
- je retire la machine du domaine et je nettoie le compte ordinateur dans l'AD.
-> cette solution vous semble correcte ?