WSUS est un serveur de mise en cache des mises à jour. Il permet à la fois de soulager l’accès internet en ne téléchargeant qu’une seule fois les mises à jour à destination des PC d’une entreprise. Il permet également de sélectionner des mises à jour non désirées.
Prérequis
Un contrôleur de domaine
Un serveur à jour et intégré au domaine pour accueillir WSUS.
Installation
On se rend tout d’abord dans le gestionnaire de serveurs pour ajouter le rôle WSUS.
On valide l’ajout des fonctionnalités recommandées :
Validez les services par défaut.
Ajoutez ensuite un chemin pour le stockage des mises à jour. Il est recommandé de disposer de disques dédiés à ce traitement. Ici je l’installerai sur le disque C:\.
Installez enfin le serveur :
On lance ensuite la configuration du serveur.
Validez tout d’abord l’emplacement des mises à jour.
Réouvrez ensuite le gestionnaire WSUS.
L’assistant de configuration devrait se lancer.
Suivez les étapes.
Cliquez sur « Démarrer la connexion » pour tester la bonne communication entre le serveur WSUS et Windows Update.
Choisissez vos paramètres linguistiques pour vos mises à jour.
Choisissez ensuite les produits pour lesquels vous souhaitez des mises à jour. Pour ma part je décide de ne mettre à jour que les postes clients sous Windows 10.
Vous pouvez ensuite choisir la classification des mises à jour que vous souhaitez.
Choisissez ensuite les paramètres de synchronisation. Ici je ne vérifie les mises à jour qu’une fois par jour et en dehors des heures ouvrées pour éviter les encombrements du réseau en cas de gros téléchargements.
Lancez la synchronisation initiale.
Terminez la configuration.
Sur le gestionnaire WSUS, dépliez la ligne correspondant aux ordinateurs et créez une nouvelle catégorie appelée Postes.
Dans les options pour la catégorie Ordinateurs, indiquez que vous souhaitez déployer la stratégie de mises à jour via des GPO.
Ouvrez alors le serveur AD.
On ouvre le gestionnaire des stratégies de groupe et on en crée une nouvelle qui déploiera nos mises à jour sur nos postes.
On modifie alors notre stratégie précédemment créée et on se rend dans Configuration Ordinateur > Modèles d’administration > Composant Windows > Windows Update. On va ici modifier plusieurs éléments :
- Configuration du service Mises à jour Automatiques
Activez la GPO, Choisissez ensuite vos paramètres de déploiement selon vos besoins.
- Spécifier l’emplacement intranet du service de mise à jour Microsoft
Activez la GPO et indiquez l’emplacement du serveur avec son port (ici celui par défaut).
- Fréquence de détection des mises à jour automatiques
Activez la GPO.
- Autoriser le ciblage côté client
Activez la GPO et définissez le groupe d’ordinateur que vous souhaitez mettre à jour.
Pour que cette dernière solution fonctionne, vous devez créer une nouvelle Unité d’organisation du même nom et y déplacer les ordinateurs que vous souhaitez mettre à jour.
Appliquez alors la GPO sur le groupe d’ordinateurs. Pour cela, Ouvrez la gestion des stratégies de groupe, cliquez droit sur votre Unité d’organisation et cliquez sur « Lier un objet de stratégie de groupe existant ».
Choisissez votre GPO.
Et enfin n’oubliez pas de l’appliquer.
Revenez enfin sur le serveur WSUS.
Nous allons nous occuper de l’approbation automatique des mises à jour. Dans Options > Approbations automatiques, ajoutez une nouvelle règle :
Je définis ici une règle qui va télécharger toutes les mises à jour pour les PC présents dans le groupe Postes.
Votre serveur est maintenant prêt pour le téléchargement et le déploiement de mises à jour.
Test
Nous allons maintenant démarrer un PC présent dans le groupe Postes. Lancez Windows Update sur le poste. Il devrait alors remonter dans la liste de Postes sur le serveur WSUS.
Les mises à jour devraient alors être récupérées une fois approuvées. Vous pourrez les visualiser dans la ligne mise à jour du gestionnaire de serveur.