Я установил WSUS на компьютере с Windows Server 2008, и он работает, и ему подчиняется только моя машина. Теперь, когда я готов к масштабному масштабированию всей компании, я пытаюсь выяснить, как лучше всего добавить и сгруппировать клиентские компьютеры. Он настроен на использование групповой политики для добавления клиентов. Я создал новый объект групповой политики, строго определяющий настройки WSUS.
У меня вопрос: можете ли вы применить это к компьютерам на основе объекта User AD или это должно быть объектом Computer AD? Я спрашиваю потому, что в AD у нас есть 100 пользователей, сгруппированных по отделам, однако все компьютеры просто неорганизованы в Домен \ Компьютеры. Передо мной стоит задача: мы не хотим, чтобы все наши компьютеры были подключены к WSUS (как, например, программисты). Итак, в этом случае могу я просто использовать уже созданные группы, состоящие из членов «Пользователи», или мне нужно создать новую группу для каждого отдела и добавить в нее соответствующие компьютеры? (т.е. группа «Финансы-Пользователи» и «Финансы-Компьютеры»).
Вам нужно будет организовать свои компьютеры. Невозможно определить личность пользователя, чтобы диктовать политику WSUS; что происходит, когда кто-то входит в систему? Или когда никто не авторизовался?
Обработка петли позволяет применять к пользователю связанные с компьютером объекты групповой политики, но не работает наоборот.
Настройте политику домена, чтобы заблокировать все компьютеры для сервера WSUS. Используйте нацеливание на стороне клиента, а глобальная политика нацелена на компьютеры в группу, которая не будет регулярно получать исправления.
Затем создайте более конкретные политики на стороне клиента в группах, для которых вы будете регулярно утверждать исправления. Программисты могут не захотеть, чтобы вы обновляли их программное обеспечение, но это не значит, что вы не должны помещать их в инвентарь, чтобы увидеть, насколько они отстают. Подход «не вижу зла» опрометчив.
Именно по этой причине ваши компьютеры должны быть организованы в подразделения в AD. Я бы начал проводить инвентаризацию и таким образом отображать ее в AD. Затем примените GPO (компьютерный, а не пользовательский) к этим OU.