Mise à jour des clients Windows 2000, XP et 2003 par GPO

Rédacteur : Eric Drezet

Administrateur réseau
CNRS-CRHEA – 01/2004

Mise en œuvre d’une stratégie de mise à jour automatisée des systèmes d’exploitations clients via les
stratégies de groupes.

Ressources :

White paper : http://www.microsoft.com/windowsserversystem/sus/susoverview.mspx

Pré requis

Etre dans un domaine Windows basé sur Active Directory. Installer un serveur SUS.

Clients concernés

Windows 2000 Pro et serveur, Windows XP Pro, Windows 2003 serveur.

Choix d’une méthode de mise à jour

La mise à jour des clients Windows peut se faire par le biais du service Windows Update. Cependant,
cette solution pose plusieurs problèmes :

• Activer Windows Update sur tous les clients

• Comment mettre à jour les clients privés quand aucun serveur proxy est présent ?
• Comment être certain que le paramétrage de Windows update n’est pas modifié, voir arrêté ?

La solution évidente, quand on se trouve dans un domaine Active Directory, semble consister à
s’appuyer sur les stratégies de groupes (GPO) pour piloter à partir des contrôleurs de domaine la mise
à jour automatisée de tous les clients Active Directory.

Note : pour ceux qui ne disposent pas d’un domaine basé sur Active Directory, il est néanmoins
possible d’activer Windows Update par modification du registre (cf.
http://support.microsoft.com/default.aspx?scid=kb;fr;328010&Product=win2000SFRA, paragraphe
« Configuration du service Mises à jour automatique en modifiant le Registre »).

Pour ce faire, nous allons utiliser au moins deux unités d’organisation (OU) :

• Une OU nommée « test Windows Update » pour tester les updates sur un groupe restreint de
machines
• Une (ou plusieurs) OU contenant les machines du domaine, selon l’organisation en place

Ajout du modèle d’administration pour Windows Update

Eric Drezet – Administrateur réseau CNRS-CRHEA 1

Pour charger des paramètres de stratégie à l'aide d'une Stratégie de groupe dans Active Directory
procédez comme suit :

• Sur un contrôleur de domaine Active Directory, cliquez sur Démarrer, puis cliquez sur
Exécuter
• Tapez dsa.msc pour charger le composant logiciel enfichable Utilisateurs et ordinateurs
Active Directory
• Cliquez avec le bouton droit sur l'unité organisationnelle ou le domaine dans lequel vous
voulez créer la stratégie, puis cliquez sur Propriétés
• Cliquez sur l'onglet Stratégie de groupe, puis sur Nouveau
• Donnez un nom à la stratégie, puis cliquez sur Modifier
• Sous Paramètres ordinateur ou Paramètres utilisateur, cliquez avec le bouton droit
sur Modèles d'administration
• Cliquez sur Ajouter/Supprimer des modèles, puis sur Ajouter
• Tapez le nom du fichier .adm du service Mises à jour automatiques, par exemple,
dossier_windows\inf\wuau.adm
• Cliquez sur Ouvrir

Application de la stratégie de groupe

Sélectionner l’OU sur laquelle appliquer la stratégie de groupe sur le contrôleur de domaine en mode
administrateur du domaine. Cliquer sur Propriétés puis sur l’onglet Stratégie de groupes. Cliquer sur
le bouton Nouveau pour créer une nouvelle stratégie de groupe. Donner un nom à la stratégie de
groupe, Windows Update par exemple. Sélectionner la nouvelle stratégie puis cliquer sur le bouton
Modifer.

Sélectionner Windows Update en suivant l’arborescence Configuration ordinateur, Modèles

d’administration, Composants Windows. Quatre stratégies apparaissent qu’il faut paramétrer.

Effectuer un double click de souris sur chacune successivement pour les éditer. Voici ci-dessous les
paramétrages mis en place au Crhea pour l’unité d’organisation contenant les postes clients pour
chacune des quatre stratégies.

Pour l’OU de test, la seule modification concerne la première stratégie dont l’heure d’installation
planifiée sera anticipée de quelques heures par rapport aux clients du reste du réseau.

En résumé, voici la configuration au Crhea : l’administrateur vérifie chaque matin l’arrivée de nouvelles
mises à jour à partir des serveurs de Microsoft (connexion du serveur SUS chaque nuit à 3h du

Eric Drezet – Administrateur réseau CNRS-CRHEA 2

matin), le cas échéant, la validation des mises à jours sur le serveur est effectuée entre 8h et 9h. La
mise à jour dans le groupe de machine de test est programmée à 10h par GPO. Avant midi,
l’administrateur vérifié le bon déroulement des mises à jour sur les machines de test. Si tout est
normal, l’administrateur laisse la GPO client s’appliquer automatiquement à 13h. Si une machine est
éteinte à ce moment, la GPO s’appliquera lors du prochain redémarrage.

Stratégie n°1

Eric Drezet – Administrateur réseau CNRS-CRHEA 3

 Stratégie n°2

Stratégie n°3

Stratégie n°4

Eric Drezet – Administrateur réseau CNRS-CRHEA 4