GPO WSUS – Configuration des Mises a Jour Automatique

Modification de la configuration des Mises a Jour Automatiques avec ou sans Serveur WSUS “Windows Server Update Services”

2 solutions proposées :

La première permettra de controler les mises a jour avec un Serveur WSUS ou d’en simuler un pour les “bloquer”.

La seconde désactivera les mises a jour.

  • Solution 1 : Controler les Mises a jour automatique “WSUS”

Créer un nouvel objet GPO : WSUS : en prévision de l’utilisation du rôle de mise a jour WSUS “Windows Server Update Services”

Si vous n’utilisez pas le rôle de Serveur WSUS, cette configuration sera quand même utile pour contrôler ou bloquer les mises a jour Windows.

gpo2

1

Chemin : Configuration Ordinateur, Stratégies, Modèles d’administration, Composants Windows, Windows Update :

  • Activer la fonctionnalité de gestion de l’alimentation par Windows Update …..

2.1

  • Désactiver les mises a jour automatiques recommandées via le service Mises a jour automatiques

2

  • Désactiver : Autoriser les non-administrateurs a recevoir les notifications de mise a jour

3

  • Configuration du service Mise a jour automatiques

4

  • Activer : Ne pas se connecter a des emplacements Internet Windows Update

5

  • Activer : Spécifier l’emplacement intranet du service de mise a jour Microsoft

Spécifier l’URL complète du Serveur WSUS pour contrôler les Mises a jour ou indiquer une URL non fonctionnelle pour bloquer les Mises a jour. Exemple : http://wsus.labo.local:8530

6

  • Activer : Pas de redémarrage automatique avec des utilisateurs connectés …..

6.1

  • Activer : Désactiver l’accès a toutes les fonctionnalités Windows Update

7

  • Activer le démarrage automatique du service de Mises a jour

Configuration Ordinateur, Préférences, Paramètres Windows, Registre : Nouveau, Elément registre : “Nouveau Élément Registre”

8.1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

Nom de valeur : Start

Si vous utilisez ou utiliserez WSUS :

REG_DWORD : 00000002 = Active le Service de Mises a Jour Automatiques

Si vous n’utilisez ou n’utiliserez pas WSUS

REG_DWORD : 00000004 = Désactive le Service de Mises a Jour Automatiques

8

  • Désactiver Mises a jour Automatiques du Lecteur Windows Media

MAJ4

  • Résultat :

9.0 9.1

Important : la stratégie de groupe applique les objets de stratégie de groupe de bas en haut, en remplaçant les paramètres au fil de la progression.

gpo9


  • Solution 2 : Désactiver les Mises a jour Automatiques

Créer un nouvel objet GPO : Desactiver MAJ

gpo2

DesactiverMAJ

Configuration Ordinateur, Préférences, Paramètres Windows, Registre : Nouveau, Elément registre :

MAJ1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

MAJ3.0

Nom de valeur : AUOptions

REG_DWORD : 00000001 = Désactive les Mises a Jour Automatiques

MAJ3.1

Ajouter les 3 clés suivantes de la même manière :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

Nom de valeur : ElevateNonAdmins

REG_DWORD : 00000000 = Seul les Administrateurs peuvent installer les Mises a Jour (Seulement Windows 7)

MAJ3.2

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

Nom de valeur : IncludeRecommendedUpdates

REG_DWORD : 00000000 = Désactive les Mises a Jour Recommandées

MAJ3.3

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

Nom de valeur : Start

REG_DWORD : 00000004 = Désactive le Service de Mises a Jour Automatiques

MAJ3.4

Résultat des Clés de registre

MAJ3

Désactiver Mises a jour Automatiques du Lecteur Windows Media

MAJ4

  • Résultat :

MAJ5

Important : la stratégie de groupe applique les objets de stratégie de groupe de bas en haut, en remplaçant les paramètres au fil de la progression.

gpo9


Configuration des Utilisateurs avec Profils Itinerants

Suivez le guide : Créer et configurer des Utilisateurs avec profils itinerants dans Active Directory