У меня есть домен, работающий на Windows Server 2008 R2 - конечно, немножко устаревший, но он работал достаточно хорошо.
Недавно я заметил, что компьютеры компании загружают обновления из Интернета, а не с нашего внутреннего сервера WSUS.
Я начал расследование и заметил, что политики WSUS не применяются (тестирование с rsop.msc).
Политики настроены правильно - ведь раньше они БЫЛИ РАБОТАЮТ.
Интересно, связано ли это с тем, что у нас все больше и больше систем под управлением Windows 10, но это кажется неправильным, поскольку я совершенно уверен, что у меня была моя Windows 10, которая также загружала обновления с локального WSUS несколько недель назад - вы можете вроде как скажите, когда это так, когда Windows показывает, что некоторыми настройками управляет системный администратор.
gpupdate /force работает, не вызывая ошибок и на клиентских машинах.
Кроме того, один конкретный объект групповой политики, связанный с WSUS, все еще работает - он настраивает таргетинг на стороне клиента.
Что могло быть не так? Как я могу попробовать отладить эти GPO, связанные с WSUS?
Для групповой политики вы в первую очередь выясняете, что применяется (или нет) и почему должна быть команда GPRESULT. Он очень похож на старый добрый rsop.msc, но я нахожу некоторые дополнительные преимущества в нескольких настройках.
Начните с рассмотрения того, какие групповые политики применяются, а какие отфильтровываются: (вы можете не указывать "/ S <target PC>", если делаете это с некорректно работающего компьютера)
gpresult /S <target machine name> /R
Это даст вам представление об объектах групповой политики, и я считаю, что моя самая распространенная проблема заключается в том, что кто-то пытался изменить фильтрацию WMI для объекта групповой политики, который я ожидал применить, и им удалось исключить ПК (в этом случае вы увидите сообщение "ОТКАЗАНО (фильтр WMI)")
Следующее, что вы можете сделать, это проверить настройки всех примененных GPO, чтобы убедиться, что они такие, какими вы их ожидали. (Параметр / F заменяет любой существующий файл gpresult.htm, или вы можете просто изменить имя файла.)
gpresult /S <target machine name> /H gpresult.htm /F
Затем откройте gpresult.htm в Internet Explorer (конечно, вы можете использовать другие браузеры, но в нем есть компонент ActiveX для удобного развертывания / свертывания разделов, который лучше всего работает в IE). Прогуляйтесь по результатам и посмотрите, какие значения применяются / не применяются к ПК.
С этого легко начать, и между этими двумя командами вы обычно сможете определить свою проблему.