- PR -

AD参加クライアントにおけるWSUSの適用

1|2 次のページへ»
投稿者投稿内容
きくじろう
常連さん
会議室デビュー日: 2004/09/06
投稿数: 43
投稿日時: 2008-09-30 14:49
クライアント200台弱の企業のシステム管理者です。このたびActiveDirestory(以下AD)を構築しましたが、その配下でWindowsUpdateを行うにあたって、意味不明な挙動ばかりで非常に困っています。
一般ユーザはAdmin権限を与えておりませんので、WindowsUpdateを適用するには、(1)WSUSによりコントロールするか、(2)クライアント単位で強制配布するか、の何れかしかないようですが、基本的には(2)、目の届く範囲で(1)を設定して負荷を確認しながら広げていくという方法をとろうと思っています。
なお、WSUSはAD構築以前に導入ずみで、ワークグループ環境で数クライアントに対してレジストリ設定により動作しています。

現在、段階的にクライアントのAD参加作業を行っているのですが、
(2)の強制配布を行うために、各クライアントの「自動更新」の設定を、
「更新は自動的にダウンロードするが、インストールは手動で実行する」に変えた状態にしておけば、配布がダウンロードされると、シャットダウンする前にインストールが選択できるようになるであろうことを確認しました。
また、まずシステム部で(1)のWSUS配布ができるかどうかを確かめるために、WSUSを適用するためのグループポリシーを設定したOUに参加させました。

ここで質問です。
1.この方法でWindowsUpdateを更新させると一定のレベルの更新は強制的に更新されてしまいますが、この更新範囲はどこかに示されるものなのでしょうか?
2.ADに参加させてしまうと、管理者権限を与えても「自動更新」の設定を変更できなくなってしまうクライアントがあります。これを回避する方法は無いでしょうか?
3.WSUSに参加させるためのグループポリシーを設定したOUに参加させたユーザーがWSUSのコンソール上に出てきません。その中でもともとワークグループの状態でWSUSに参加させたユーザーは出てきています。(レジストリで設定したローカルポリシーが活きているようです)
ADとワークグループが混在していることが原因なのでしょうか?
4.クライアントのローカルポリシーよりもグループポリシーのほうが優先されるようですが、グループポリシーが各クライアントに適用されているかどうかは、クライアント側で確認することはできるのでしょうか?

長々と書きましたが、1つ2つだけでもアドバイスいただける点がありましたら、教えていただけると大変助かります。
よろしくお願い申し上げます。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2008-09-30 19:49
こんにちは。

引用:
きくじろうさんの書き込み (2008-09-30 14:49) より:

このたびActiveDirestory(以下AD)を構築しましたが、その配下でWindowsUpdateを行うにあたって、意味不明な挙動ばかりで非常に困っています。

なお、WSUSはAD構築以前に導入ずみで、ワークグループ環境で数クライアントに対してレジストリ設定により動作しています。

また、まずシステム部で(1)のWSUS配布ができるかどうかを確かめるために、WSUSを適用するためのグループポリシーを設定したOUに参加させました。

ざっと目を通した程度ですが、グループポリシーの適用方法は正しい手順でしょうか?
こちらのサイトを確認してみて下さい。
グループ ポリシーを使用して自動更新を構成する

直接関係しませんが、こちらのサイトも結構参考になりますよ。
グループ・ポリシーでクライアントを管理する10の方法
basty
常連さん
会議室デビュー日: 2006/10/06
投稿数: 42
投稿日時: 2008-09-30 23:35
こんばんわ。

前提条件の(2)が意味していることがいまいち良く分からないのですが、
WSUSはクライアントに対して修正プログラムを強制配布するような
動きはしません。

とりあえず質問内容について、解答してみます。

1に関して
これはWSUSのコンソールの更新プログラム一覧を出し
これが、承認されているかどうかを確認すれば良いかと思います。
ここで承認されているプログラムをクライアントはダウンロードします。
(グループごとによる分別をされている場合は別ですが)

2に関して

引用:

2.ADに参加させてしまうと、管理者権限を与えても「自動更新」の設定を変更できなくなってしまうクライアントがあります。これを回避する方法は無いでしょうか?

出来なくなってしまうクライアントがある。
と書かれていますが、ということはAD環境下+管理者権限で設定変更が
できる端末もあるってことでしょうか?
その端末との違いを確認してみては?

3、4に関して
ADとワークグループの混在はあまり関係ないような気がします。
(ユーザというよりコンピュータのこと?)

クライアントがWSUSサーバにアクセスしているかしていないかは、
クライアント側のWindows Updateのログを見るか、
サーバ側IISのアクセスログを確認してみましょう。

ユーザにどのようなグループポリシが適用されているかは
gpresultコマンドで確認出来ます。

それか、GPMCのポリシーの結果セットを使うことでも
確認できるかと思います。

# 最近WSUSを触ってないので、誤ってる部分がありましたら申し訳ないです。
きくじろう
常連さん
会議室デビュー日: 2004/09/06
投稿数: 43
投稿日時: 2008-10-01 12:05
BackDoorさん、bastyさん
アドバイスありがとうございました。

>前提条件の(2)が意味していることがいまいち良く分からないのですが、
>WSUSはクライアントに対して修正プログラムを強制配布するような
>動きはしません。

表現がよくなかったのですが、WSUSで行うという意味でなく、クライアント側のセキュリティ設定に依存させて行うという意味です。

>出来なくなってしまうクライアントがある。
>と書かれていますが、ということはAD環境下+管理者権限で設定変更が
>できる端末もあるってことでしょうか?
>その端末との違いを確認してみては?

その違いが見当たらないので困っているところです。
本来は、設定できるのが正しいのですよね?

>ユーザにどのようなグループポリシが適用されているかは
>gpresultコマンドで確認出来ます。

ありがとうございます。
このコマンドは知りませんでした。
実行したところ、WSUSのポリシーが適用されていないことが判りました。
下記のような結果が出ました。

次の GPO はフィルタで除外されたため適用されませんでした。
--------------------------------
WSUSによるUpdate適用
フィルタ: 未適用 (空)

GPOはOUの階層に応じて適用させているため、部分部分に分割してあるので、
「WSUSによるUpdate適用」という名前でWSUSに関するポリシーのみ設定してあります。
これ以外のGPOでは、同じポリシーに関しては「未構成」にしてあるので、
全てそのGPOの設定通りになっていると思っていたのですが...

BackDoorさんに教えていただいたMSのサイト、私もこれを参照して設定しているのですが、もう一度ポリシーの内容を確認してみます。
basty
常連さん
会議室デビュー日: 2006/10/06
投稿数: 42
投稿日時: 2008-10-01 16:11
こんにちは。
一番最後の部分だけですが、

引用:

きくじろうさんの書き込み (2008-10-01 12:05) より:

>ユーザにどのようなグループポリシが適用されているかは
>gpresultコマンドで確認出来ます。

ありがとうございます。
このコマンドは知りませんでした。
実行したところ、WSUSのポリシーが適用されていないことが判りました。
下記のような結果が出ました。

次の GPO はフィルタで除外されたため適用されませんでした。
--------------------------------
WSUSによるUpdate適用
フィルタ: 未適用 (空)

GPOはOUの階層に応じて適用させているため、部分部分に分割してあるので、
「WSUSによるUpdate適用」という名前でWSUSに関するポリシーのみ設定してあります。
これ以外のGPOでは、同じポリシーに関しては「未構成」にしてあるので、
全てそのGPOの設定通りになっていると思っていたのですが...

BackDoorさんに教えていただいたMSのサイト、私もこれを参照して設定しているのですが、もう一度ポリシーの内容を確認してみます。



Windows Updateの構成は、グループポリシーのコンピュータの構成にて
設定する部分ですので、
このWSUSのGPOを適用したいコンピュータアカウントとリンクさせないと
駄目なはずです。
きくじろう
常連さん
会議室デビュー日: 2004/09/06
投稿数: 43
投稿日時: 2008-10-03 14:30
bastyさん、書き込み有難うございました。

引用:

bastyさんの書き込み (2008-10-01 16:11) より:

Windows Updateの構成は、グループポリシーのコンピュータの構成にて
設定する部分ですので、
このWSUSのGPOを適用したいコンピュータアカウントとリンクさせないと
駄目なはずです。



はい、確かにWindowsUpdateに関する件だけを記述したGPOをリンクさせてあります。

OUの階層があり、2階層目に属しているユーザーなので、階層を無くした別の1階層の
OUを作って、そこに参加させたうえ、
1階層目と2階層目でリンクさせているGPOをまとめましたが結果は同じです。

こんなポリシーです。

Windows コンポーネント/Windows Update非表示
イントラネットの Microsoft 更新サービスの場所を指定する 有効
更新を検出するためのイントラネットの更新サービスを設定する: http://xxxxx:80/
イントラネット統計サーバーの設定: http://xxxxx:80/
(例: http://IntranetUpd01)
クライアント側のターゲットを有効にする 有効
このコンピュータのグループ名をターゲットにする XXXXX
スケジュールされた自動更新インストールに対しては自動再起動しない 有効
自動更新のインストールを再度スケジュールする 無効
自動更新を構成する 有効
自動更新の構成: 2-ダウンロードとインストールを通知
以下の設定は 4 が選択されたときのみに必要です。
 インストールを実行する日: 0 - 毎日
 インストールを実行する時間: 03:00
自動更新を直ちにインストールすることを許可する 無効
basty
常連さん
会議室デビュー日: 2006/10/06
投稿数: 42
投稿日時: 2008-10-06 09:12
ポリシーの設定内容は問題ないと思います。
なので、そのポリシーが確実にクライアントへ適用されているかを
確認していただければ良いのではないかと。

同じく、GPMC上のポリシーの結果セットを用いて、
適用を想定しているクライアントにGPOが割り当てられるかは
確認されてますか?
qbly
会議室デビュー日: 2007/07/20
投稿数: 2
投稿日時: 2008-10-06 14:27
こんにちは。

引用:

下記のような結果が出ました。

次の GPO はフィルタで除外されたため適用されませんでした。
--------------------------------
WSUSによるUpdate適用
フィルタ: 未適用 (空)


上記結果は gpresult の「ユーザー設定」の結果ではありませんか?
WSUSのGPOはコンピュータに適用されます。ユーザーのテンプレートは空なので上記の結果はそれをあらわしているだけでは?

gpresult /scope computer で「コンピュータ設定」のみの結果が表示できます。

[ メッセージ編集済み 編集者: qbly 編集日時 2008-10-06 14:31 ]
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)