CONFIGURACION SERVIDOR WSUS CON GPO

Esta es la consola principal de WSUS, donde veremos los servidores de WSUS así cómo su estado, el estado de nuestros equipos y de las actualizaciones

En la parte de "Sincronizaciones" es donde veremos el progreso de la descarga, cómo hemos dicho que se sincronice ahora durante la instalación, vemos que lleva un 10% y aquí veremos los estados de las futuras sincronizaciones

una vez que se haya actualizado, vemos si es con éxito o hay errores, en este caso vemos que la primera vez me bajó 1344 parches y la siguiente ninguno

lo primero que hay que hacer es crear un grupo de equipos, podemos crear uno para toda la empresa al que todas las actualziaciones se les aplicarán de forma igual, o por departamentos o directamente un grupo de equipos que sean servidores y otros PC's

Indicamos un nombre, en mi caso será igual al de la compañía, pulsamos en "Agregar", luego meteremos a los equipos en este grupo, lo haré mediante políticas del Active Directory

Luego vemos a los equipos

en este grupo, lo haré

mediante políticas del Active

Directory

Podemos además en el panel de "Opciones" pinchar en "Asistente para la limpieza de objetos WSUS" realizar una limpieza en el propio servidor de objetos obsoletos,

"Equipos", esto es el grupo que acabamos de crear si queremos meter los equipos nuevos directamente en un grupo llamado "equipos sin asignar" y los movemos manualmente en los grupos que nos interesen o si mediante las directivas de grupo configuraremos a qué equipos meteremos en qué grupos, está es mi opción y marco: "Usar directivas de grupo o la configuración de Registro de los equipos". "Aceptar",

En "Opciones" > "Notificaciones por correo electrónico" podemos configurar para que se manden a una cuenta de correo o varias informes del estado del servidor o eventos de la sincronización, todo esto en la pestaña de "General".

En la pestaña de "Servidor de correo electrónico" es donde configuraremos el servidor de mails para enviar dichos mails. Una vez configurado pulsaremos en "Probar"...

WSUS primero se baja las actualizaciones del servidor Microsoft Update con la sincronización y después para poder distribuir una actualización, esta debe de estar aprobada ya que si no, no se instalará en el PC final.

Bien, una vez más o menos configurado el servidor WSUS lo que hay que hacer es definir una directiva de grupo

Abrimos la consola de directivas o si no la tenemos desde la de "Usuarios y equipos del AD". Lo dicho, creamos una nueva directiva.

CONFIGURACION DEL ACTIVE DIRECTORY CON GPO

Y aquí configuraremos todas las opciones que nos interese, está directiva yo la aplicaré a una Unidad Organizativa que serán equipos, por lo que me interesa más editarla desde la "Configuración del equipo" > "Plantillas administrativas" > "Componentes de Windows" > "Windows Update". Ahí veremos las configuraciones posibles.

Especifica si este equipo recibirá actualizaciones de seguridad y otras descargas importantes a través del servicio de actualización automática de Windows.

Especifique la programación con las opciones de Directiva de grupo. Si no especifica ninguna programación, la configuración predeterminada para todas las instalaciones será diariamente a las 3:00 a.m.

Esta opción permite especificar un servidor de la red para que funcione como un servicio de actualización interno. El cliente de actualizaciones automáticas buscará en este servicio actualizaciones que sean aplicables a los equipos de su red.

Si el estado se establece en Habilitado, la información del grupo de destino especificado se envía al servicio Microsoft Update de la intranet, que la usa para determinar qué actualizaciones se deben implementar en este equipo.

Si el estado se establece en Habilitado, las instalaciones programadas que no se hayan realizado se efectuarán después del número especificado de minutos posteriores al siguiente inicio del equipo.

Si el estado se establece en Habilitado, Actualizaciones automáticas no reiniciará el equipo automáticamente durante una instalación programada si un usuario tiene una sesión iniciada en el equipo. En cambio, Actualizaciones automáticas notificará al usuario que debe reiniciar el equipo para que las actualizaciones surtan efecto.

Si el estado se establece en Habilitado, Windows comprobara si existen actualizaciones disponibles en el intervalo especificado.

Si el estado se establece en Habilitado, Actualizaciones automáticas incluirá a usuarios que no sean administradores cuando determine qué usuarios con sesión iniciada deben recibir notificaciones.

Si el estado se establece en Habilitado, se producirá un reinicio programado en el número especificado de minutos después de que finalice la instalación.

Si el estado se establece en Habilitado, se producirá un reinicio programado después del número especificado de minutos posteriores a la anterior petición de intervención de usuario pospuesta.

Si el estado se establece en Habilitado, Actualizaciones automáticas incluirá a usuarios que no sean administradores cuando determine qué usuarios con sesión iniciada deben recibir notificaciones.

Especifica si Actualizaciones automáticas suministrará tanto las actualizaciones importantes como las recomendadas por el servicio de actualización de Windows Update.

Windows Update sólo despertará automáticamente al sistema si Windows Update está configurado para instalar actualizaciones automáticamente. Si el sistema está en hibernación cuando llegue la hora de instalación programada y hay actualizaciones que deban aplicarse, Windows Update utilizará las características de administración de energía de Windows para despertar automáticamente al sistema e instalar las actualizaciones.

Si el estado se establece en Habilitado, Actualizaciones automáticas aceptará las actualizaciones recibidas desde una ubicación de los servicios de Microsoft Update en la intranet si están firmadas por un certificado existente en el almacén de certificados "Editores de confianza" del equipo local.

Si abrimos de nuevo la consola y vamos a "Equipos" > "Todos los equipos" y a nuestro grupo, al de un rato veremos que en nuestro grupo ya se han ido agregando puestos y ahí veremos el estado de cada uno de ellos

configuradas las directivas cerramos la consola y ejecutamos gpupdate desde el controlador de dominio para que se apliquen inmediatamente las directivas que acabamos de configurar

Y dentro de las "Actualizaciones" en "Actualizaciones críticas" veremos las que tenemos exáctamente y en qué estado están, si están aprobadas, con errores... podemos aplicar filtros para visualizarlas

En "Actualizaciones" veremos ya un estado de qué actualizaciones tenemos disponibles para los equipos