Comment optimiser le fonctionnement de vos stratégies de groupe Windows Update
Gérer Windows Update via les stratégies de groupe peut s’avérer complexe si vous n’y êtes pas habitué. Il arrive que les mises à jour ne s’installent pas comme prévu, ou que les clients restent obstinément déconnectés de votre serveur WSUS. Ce guide aborde les bases de la configuration de ces stratégies pour les serveurs et les postes de travail, en proposant des conseils pratiques tirés de situations réelles. L’objectif est que vos serveurs installent les correctifs discrètement en arrière-plan et que les PC de vos utilisateurs restent à jour sans les déranger pendant les heures de pointe. Après avoir ajusté ces paramètres, vous bénéficierez d’un flux de mises à jour centralisé et facile à gérer : un peu comme un régulateur pour les correctifs.
🎯 Comment configurer les paramètres de stratégie de groupe (GPO) de Windows Update pour les clients WSUS
Assurez-vous d’abord que WSUS est correctement configuré.
Si vous avez installé le serveur WSUS local sur votre réseau, l’étape suivante consiste à configurer les ordinateurs de votre domaine pour qu’ils reçoivent les mises à jour depuis ce serveur plutôt que depuis les serveurs Microsoft. C’est là qu’intervient la stratégie de groupe. Sur votre serveur, ouvrez la console de gestion WSUS (`wsus.msc`) et créez deux groupes de mise à disposition sous « Ordinateurs » : un pour les postes de travail et un autre pour les serveurs. Cela permet de mieux organiser les correctifs.
Dans la console WSUS, accédez aux Options et configurez les ordinateurs pour utiliser la stratégie de groupe ou les paramètres du Registre. Pourquoi ? Cela permet aux clients de récupérer leurs informations de groupe via le Registre, que vous aurez configuré par stratégie de groupe. Ainsi, les mises à jour seront automatiquement attribuées en fonction du groupe du client, ce qui vous évitera de nombreuses manipulations manuelles par la suite.
Création de politiques pour les serveurs et les postes de travail
Dans gpmc.msc (la console de gestion des stratégies de groupe), créez deux nouveaux objets de stratégie de groupe (GPO) : ServerWSUSPolicyet WorkstationWSUSPolicy. Commencez par la stratégie serveur, car les serveurs doivent être particulièrement vigilants lors des redémarrages et des installations automatiques. Dans cet objet de stratégie de groupe, accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Windows Update.
Si vous êtes comme moi, vous aurez remarqué que par défaut, les serveurs téléchargent les mises à jour mais peuvent redémarrer automatiquement. Il est probablement préférable de modifier ce comportement pour éviter toute interruption de production. Configurez les règles suivantes :
- Configurer les mises à jour automatiques :
Enabled— Choisissez3 – Auto download and notify for installcette option. Ainsi, les mises à jour se téléchargeront silencieusement mais ne s’installeront que lorsque vous serez prêt, vous laissant ainsi le contrôle. - Spécifiez l’emplacement du service de mise à jour Microsoft intranet :
Enabled— Indiquez l’URL de votre serveur WSUS, par exemple :http://hq-wsus.woshub.com:8530. Cela indique explicitement aux clients où rechercher les mises à jour. - Redémarrage automatique désactivé en présence d’utilisateurs connectés :
Enabled— Empêche les serveurs de redémarrer inopinément. Cette option est fortement recommandée sur les serveurs, notamment en environnement de production. - Activer le ciblage côté client :
Enabled— Et définissez laTarget group namevaleur surServers. Vos serveurs seront alors automatiquement regroupés dans WSUS sous cette étiquette.
Pour la stratégie de groupe des postes de travail, les mêmes principes s’appliquent, mais avec des paramètres plus conviviaux. En voici quelques exemples :
- Autoriser l’installation immédiate des mises à jour automatiques :
Disabled— cela empêche les mises à jour de s’installer instantanément, offrant ainsi un répit à vos utilisateurs. - Autoriser les utilisateurs non administrateurs à recevoir des notifications de mise à jour :
Enabled— permet d’informer les utilisateurs des mises à jour et d’éviter les surprises. - Configurer les mises à jour automatiques :
Enabled— définir sur4 — Auto download and schedule the installavecScheduled install day: 0 (every day)ettime: 05:00 AM. Idéalement, tôt, afin que les correctifs soient appliqués pendant que les utilisateurs dorment. - Activer le ciblage côté client :
Workstationscela les répartit automatiquement dans le groupe approprié. - Pas de redémarrage automatique pendant les heures d’activité :
Enableddéfinissez vos horaires afin que les employés ne soient pas interrompus pendant la journée. - Forcez le client à reconnaître sa source WSUS : définissez
Use WUServeret1spécifiez l’URL correcte dans le registre, afin que les clients fonctionnent correctement.
Ah oui, et dans les deux GPO, assurez-vous que le service Windows Updatewuauserv est configuré pour démarrer automatiquement. Sinon, tous vos efforts auront été vains.
Forcez l’application des GPO et vérifiez le résultat.
Pour que ces stratégies soient appliquées immédiatement (sans attendre la prochaine actualisation), exécutez la commande suivante gpupdate /forcesur les machines clientes. Cette commande rapide force l’actualisation des stratégies. Pour vérifier si les paramètres de stratégie sont stockés dans le registre (Windows a tendance à y cacher des informations), consultez la clé HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.
Il peut arriver que vos clients mettent du temps à répondre ou à apparaître dans les tableaux de bord WSUS. Si vous êtes impatient ou que vous effectuez un dépannage, exécutez des commandes comme :
wuauclt /detectnow /reportnow— oblige les clients à vérifier les mises à jour dès maintenantwuauclt /resetauthorization /detectnow— les oblige à se réinscrire auprès de WSUS
Je ne sais pas pourquoi, mais sur certaines configurations, la première détection peut échouer ; relancer ces commandes permet souvent de faire avancer les choses.
Facultatif : Comment changer de client pour recevoir les mises à jour depuis Internet
Si vous ne disposez pas d’un serveur WSUS interne, vous pouvez toujours gérer les mises à jour via une stratégie de groupe (GPO), mais vous devez indiquer aux clients de télécharger leurs correctifs directement depuis Microsoft. Pour cela, définissez simplement l’ emplacement du service de mise à jour Microsoft intranet sur « Non configuré ». Procédez de même pour le groupe cible. Ainsi, les ordinateurs se connecteront eux-mêmes aux serveurs Windows Update. Notez toutefois que sans WSUS, vous perdez un certain contrôle sur le processus de déploiement, ce qui peut convenir aux petites configurations.
Conclure
Configurer correctement WSUS et la stratégie de groupe demande un peu de pratique, mais une fois optimisé, la gestion des correctifs devient beaucoup plus simple. Surveillez les journaux de mises à jour et n’oubliez pas d’approuver les correctifs sur le serveur WSUS avant leur déploiement sur les clients. Si les mises à jour ne s’affichent pas, vérifiez vos liens GPO et vos filtres WMI. Un redémarrage ou une actualisation de la stratégie suffit parfois à résoudre le problème.
Résumé
- Configurez des GPO distinctes pour les serveurs et les postes de travail avec des stratégies appropriées.
- Assurez-vous que les clients ciblent le bon serveur WSUS ou activez les mises à jour Internet si aucun serveur WSUS n’est installé.
- Forcer l’actualisation de la politique
gpupdate /forceaprès avoir effectué des modifications. - Vérifiez les clés de registre si les mises à jour ne s’appliquent pas comme prévu.
- N’oubliez pas que l’approbation dans WSUS est cruciale avant que les clients ne voient les mises à jour.
J’espère que ça aidera.
Honnêtement, la gestion des politiques WSUS peut s’avérer complexe, surtout lorsque les mises à jour ne s’affichent pas ou que les clients se bloquent. Mais une fois maîtrisée, elle révolutionne la gestion des correctifs. Il suffit de surveiller les journaux et de ne pas hésiter à forcer les mises à jour ou les actualisations de politiques en cas de besoin. Bonne chance !