【WSUS】「クライアント側のターゲットを有効にする」グループポリシー

6か月前 WSUS

どうも、Tです。

WSUSを使うとき、WSUSのコンピュータグループを自動配置してくれる以下のグループポリシーの検証の備忘録です。

  • クライアント側のターゲットを有効にする
スポンサーリンク
アドセンス1

環境

バージョン

検証環境については、下記記事の「環境」をご参照ください。

WSUSを使うときに押さえておきたいWindows Updateグループポリシー
どうも、Tです。 WSUSを使うときに抑えておいた方が良いと思ったWindowsUpdate関連のグループポリシーについての備...
t-dilemma.info
2024-04-08 14:36

事前に設定しているグループポリシー

以下のグループポリシーは事前に設定済みの環境で確認しています。

  • イントラネットのMicrosoft更新サービスの場所を指定する
  • 自動更新の検出頻度
  • 自動更新と再起動の期限を指定する

設定の詳細は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の検証結果を参照してください。

https://t-dilemma.info/wsus-gpo-point-on-w2k22/ 

GPOが未構成の場合

「クライアント側のターゲットを有効にする」ポリシーはデフォルトで上記のようになっています。

デフォルトでは、WSUSクライアントをどのコンピュータグループに割り当てるのかは、WSUSコンソールで対象のWSUSクライアントのメンバーシップの変更(コンピュータグループの割当)を手動で実施する必要があります。

「クライアント側のターゲットを有効にする」ポリシーを使うことで、このメンバーシップの変更を半自動化できます。

WSUS設定

WSUSのコンピュータオプション設定

「クライアント側のターゲットを有効にする」ポリシーを使用する場合、WSUSサーバーの「オプション」->「コンピューター」->「コンピューターのグループポリシーまたはレジストリ設定を使用します。」に設定変更しておく必要があります。

この設定を行うと、手動でメンバーシップの変更が行えなくなります。そのため、運用上では、手動でメンバーシップの変更を行うか、グループポリシーに任せるかのどちらかを考慮する必要があります。

WSUSのコンピュータグループ作成

WSUSコンソールで「コンピュータ」->「すべてのコンピューター」を右クリック->「コンピュータグループの追加」をクリックし、コンピュータグループを追加しておきます。

今回は、上図のように「検証」「本番」のコンピュータグループを追加しました。

GPO設定

テスト用の「test7」OUの配下に「dev」「prod」OUを作成しました。

「dev」OUに配置したコンピュータは、WSUSの「検証」コンピュータグループ

「prod」OUに配置したコンピュータは、WSUSの「本番」コンピュータグループ

に自動的にメンバーシップの変更が行われるようにしていきます。

「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「クライアント側のターゲットを有効にする」を設定します。

今回は、2つのグループポリシーを作成しました。

32の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。

WSUSを使うときに押さえておきたいWindows Updateグループポリシー
どうも、Tです。 WSUSを使うときに抑えておいた方が良いと思ったWindowsUpdate関連のグループポリシーについての備...
t-dilemma.info
2024-04-08 14:36

個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。

windowsupdate-32_dev

windowsupdate-32_prod

それぞれのグループポリシーを「有効」にし、「このコンピューターのグループ名をターゲットにする」にWSUSで作成したコンピュータグループ名を指定します。

注: このポリシーは、このコンピューターで指定されている先のイントラネット Microsoft 更新サービスがクライアント側のターゲットをサポートするように構成されているときにのみ適用されます。[イントラネットの Microsoft の更新サービスの場所を指定する] ポリシーが無効か構成されていない場合、このポリシーは有効にはなりません。

それぞれのOUにグループポリシーをリンクしておきます。

GPO設定後

AD側でドメインに参加したWSUSクライアントをそれぞれのOUに配置します。

WSUSクライアントを再起動するか「gpupdate /foce」コマンドでグループポリシーを反映します。

他のグループポリシーでWindows Updateで更新プログラムが検知されるのを待つか、手動で「Windows Update」->「更新プログラムのチェック」をクリックします。

WSUSサーバーで検知するとグループポリシーで設定したコンピュータグループに自動で割り当てられます。

今回は検証のためAD側のOU名とWSUS側のコンピュータグループ名を別にしていましたが、本番で利用する場合は、同じ名前で合わせておいたほうがよいでしょう。管理上見た目でわかりやすくなります。

注意点

手動と自動の併用はできない

「クライアント側のターゲットを有効にする」ポリシーを使用している(というよりも、WSUSサーバーで「コンピューターのグループポリシーまたはレジストリ設定を使用します。」を設定している)場合、メンバーシップの変更は手動で行えなくなります。

コンピューターを右クリックしてもグレーアウトして操作できません。

コンピュータ グループの管理
learn.microsoft.com

クライアント側のターゲット

クライアント側のターゲットでは、WSUS コンソールで作成したコンピュータ グループにクライアント コンピュータを追加できます。Active Directory ネットワーク環境のグループ ポリシーを使用するか、Active Directory 以外のネットワーク環境のクライアント コンピュータのレジストリ エントリを編集して、クライアント側のターゲットを有効にできます。クライアント コンピュータが WSUS サーバーに接続するときに、正しいコンピュータ グループに追加されます。クライアント側のターゲットは、クライアント コンピュータが多い場合や、コンピュータ グループへの割り当てプロセスを自動化する場合に適したオプションです。

グループポリシーの対象になっていないWSUSクライアント

「クライアント側のターゲットを有効にする」ポリシーは適用されていないが、他のWSUS向けのポリシーが適用されているWSUSクライアントはどうなるのか?というところですが、これも同じくメンバーシップの変更が手動で行えません。

WSUSの「割り当てられいないコンピューター」グループに割り当てられ、右クリックしてもグレーアウトでメンバーシップの変更は行えないようになります。

参考

Windows Server Update Servicesを使用して更新プログラムをデプロイする
WSUS を使うと、更新プログラムを保留したり選択的に承認したり、更新プログラムの配信時期を選択したり、更新プログラムを受信するデバイスを決定したりできます。
learn.microsoft.com

https://learn.microsoft.com/ja-jp/security-updates/windowsupdateservices/18111623

まとめ

WSUSクライアントのが数百台など多く、厳密に運用管理されていれば使えそうですが、小規模環境では、手動で行う方が何かあった時も対応しやすいので良いかなと感じました。

スポンサーリンク
アドセンス1
アドセンス1
ブログランキング・にほんブログ村へ

シェアする

フォローする

, , 管理人T