Les mises à jour automatiques permettent de maintenir le système à jour. Même si on peut configurer les mises à jour automatiques en restant dans une optique ordi-nateur, il est souvent préférable de configurer cette fonctionnalité pour tous les uti-lisateurs et tous les ordinateurs qui traitent un GPO, ce qui constitue une technique de gestion bien plus efficace.
Configurer les mises à jour automatiques
Si vous gérez les mises à jour automatiques via la Stratégie de groupe, vous pouvez mettre à jour la configuration à l’aide des options suivantes :
Téléchargement automatique et planification des installationsLes mises à jour sont automatiquement téléchargées et installées selon un planning que vous spécifiez. Lorsque les mises à jour ont été téléchargées, le système d’exploi-tation prévient l’utilisateur qu’il peut consulter les mises à jour dont l’ins-tallation est planifiée. L’utilisateur peut alors les installer ou attendre l’installation planifiée.
Téléchargement automatique et notification des installationsLe système d’exploi-tation récupère toutes les mises à jour dès leur disponibilité puis prévient l’utilisateur lorsqu’elles sont prêtes à être installées. L’utilisateur accepte ou rejette alors la mise à jour. Les mises à jour acceptées sont installées. Les mises à jour rejetées ne sont pas installées mais restent sur le système, dis-ponibles pour une installation ultérieure.
Notification des téléchargements et des installationsLe système d’exploitation pré-vient l’utilisateur avant de récupérer les mises à jour. Si un utilisateur choi-sit de télécharger la mise à jour, il conserve la possibilité de l’accepter ou de la rejeter. Les mises à jour acceptées sont installées. Les mises à jour reje-tées ne sont pas installées mais restent sur le système, disponibles pour une installation ultérieure.
Autoriser l’administrateur à choisir les paramètresPermet à l’administrateur de con-figurer les mises à jour automatiques en restant dans une optique ordina-teur. Notez que si vous employez n’importe quel autre paramètre, les utilisateurs et administrateurs locaux ne peuvent pas modifier les paramè-tres de la mise à jour automatique.
Voici comment configurer les mises à jour automatiques de la Stratégie de groupe : 1. Dans la console Gestion de stratégie de groupe, cliquez droit sur le GPO à
exploiter et choisissez Modifier.
2. Dans l’éditeur de stratégie, développez Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update.
3. Double cliquez sur Configuration du service Mises à jour automatiques. Dans la boîte de dialogue Propriétés, vous activez ou désactivez la gestion des mises à jour automatiques de la Stratégie de groupe. Pour l’activer, sélectionnez Activé. Pour désactiver la gestion des mises à jour automatiques, sélectionnez Désac-tivé, cliquez sur OK, puis passez les étapes suivantes.
4. Choisissez la configuration de mise à jour voulue parmi les options de la liste Configuration de la mise à jour automatiques.
5. Si vous avez choisi Téléchargement automatique et notification des installa-tions, planifiez le jour et l’heure d’installation à l’aide de la liste déroulante. Cli-quez sur OK pour enregistrer les paramètres.
Optimiser les mises à jour automatiques
Généralement, la plupart des mises à jour automatiques ne s’installent qu’au démarrage de l’ordinateur et à l’arrêt du système. Il est possible d’installer immédia-tement certaines mises à jour sans interrompre les services du système ou sans le redémarrer. Pour garantir l’installation immédiate de certaines mises à jour, procé-dez comme suit :
1. Dans la console Gestion de stratégie de groupe, cliquez droit sur le GPO à exploiter et choisissez Modifier.
2. Dans l’éditeur de stratégie, développez Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update.
3. Double cliquez sur Autoriser l’installation immédiate des mises à jour automa-tiques. Dans la boîte de dialogue Propriétés, sélectionnez Activé, puis cliquez sur OK.
Par défaut, seuls les utilisateurs possédant des privilèges d’administrateur local reçoivent les notifications sur les mises à jour. Voici comment autoriser n’importe quel utilisateur connecté à un ordinateur à recevoir des notifications :
1. Dans la console Gestion de stratégie de groupe, cliquez droit sur le GPO à exploiter et choisissez Modifier.
2. Dans l’éditeur de stratégie, développez Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update.
3. Double cliquez sur Autoriser les non-administrateurs à recevoir les notifica-tions de mise à jour. Dans la boîte de dialogue Propriétés, sélectionnez Activé, puis cliquez sur OK.
Voici d’autres stratégies qui concernent les mises à jour automatiques :
Mises à jour automatiques Windows Chaque fois qu’un utilisateur se connecte à l’Internet, Windows recherche les mises à jour disponibles pour l’ordina-teur. Désactivez cette stratégie si vous ne voulez pas que le système d’exploitation effectue cette recherche. Windows ne pourra plus rechercher de mises à jour. Cette stratégie se situe sous Configuration utilisa-teur\Modèles d’administration\Système.
Désactiver la mise à jour automatique des fichiers ADM On peut modifier la Straté-gie de groupe par le processus des mises à jour automatiques. Générale-ment, cela implique l’installation et la mise à disposition de nouvelles stratégies lors de la prochaine ouverture de l’éditeur de stratégie. Activez cette stratégie si vous ne voulez pas mettre à jour la Stratégie de groupe par un processus de mises à jour automatiques. Cette stratégie se trouve sous Configuration utilisateur\Modèles d’administration\Système\Stratégie de groupe et ses paramètres sont ignorés si vous activez la stratégie Toujours utiliser les fichiers ADM locaux pour l’Éditeur d’objet de stratégie de groupe.
Supprimer l’accès à l’utilisation de toutes les fonctionnalités de Windows Update
Interdit l’accès à toutes les fonctionnalités de Windows Update. Si cette stratégie est activée, toutes les fonctionnalités de mises à jour automatiques sont supprimées et ne peuvent être configurées. Cela inclut l’onglet Mises à jour automatiques dans l’utilitaire Système, le lien Windows Update dans le menu Démarrer et dans le menu Outils d’Internet Explorer et les mises à jour de pilotes via le site web Windows Update dans le Gestionnaire de périphériques. Cette stratégie se situe sous Configuration utilisateur\Modè-les d’administration\Composants Windows\Windows Update.
Exploiter les emplacements intranets du service de mise à jour Sur des réseaux comportant des centaines ou des milliers d’ordinateurs, les mises à jour automatiques peuvent mobiliser une grande quantité de bande passante réseau et le fait de configurer tous les ordinateurs pour qu’ils recherchent des mises à jour et les installent par l’Internet n’a pas beaucoup de sens. Il existe en revanche une stratégie qui indique aux ordinateurs individuels de consulter un serveur dédié pour rechercher les mises à jour : la stratégie Spécifier l’emplacement intranet du service de mise à jour Microsoft.
Le serveur de mise à jour dédié doit exécuter WSUS (Windows Server Update
Servi-ces), être configuré comme serveur Web exécutant IIS et être en mesure de traiter
une charge de travail supplémentaire, laquelle peut s’avérer considérable sur un réseau de grande envergure lors des pics d’utilisation. En outre, le serveur de mise à jour doit avoir accès au réseau externe sur le port 80. L’emploi d’un pare-feu ou d’un serveur proxy sur ce port ne devrait pas poser de problème.
Le processus de mise à jour garde également une trace de la configuration et des informations de statistiques pour chaque ordinateur. Ces données sont nécessaires pour que le processus de mise à jour se déroule correctement ; elles peuvent être stockées sur un serveur de statistiques séparé (serveur interne exécutant IIS) ou sur le serveur de mise à jour lui-même.
Voici comment spécifier un serveur de mise à jour interne :
1. Après avoir installé et configuré le serveur de mise à jour, ouvrez le GPO à modifier. Dans l’éditeur de stratégie, développez Configuration ordina-teur\Modèles d’administration\Composants Windows\Windows Update. 2. Double cliquez sur Spécifier l’emplacement intranet du service de mise à jour
3. Dans le champ Configurer le service de Mise à jour pour la détection des mises à jour, tapez l’URL (Uniform Resource Locator) du serveur de mise à jour. Il s’agit dans la plupart des cas de http://nomserveur, comme http://ServeurMiseAJour01. La figure 5-18 en donne un exemple.
4. Tapez l’URL du serveur de statistiques dans le champ Configurer le serveur intranet de statistiques. Il n’est pas obligatoire de configurer un serveur séparé ; vous pouvez inscrire le serveur de mise à jour dans ce champ.
Remarque Pour qu’un seul serveur gère les mises à jour et les statistiques, il suffit de saisir la même URL dans les deux champs. Si vous préférez confi-gurer deux serveurs différents pour les mises à jour et les statistiques, saisissez l’URL de chaque serveur dans le champ approprié.
Figure 5-18 Exploitez les serveurs de mise à jour intranet pour centraliser le
processus de mise à jour et réduire le trafic réseau externe.
5. Cliquez sur OK. Dès lors que l’objet de stratégie de groupe est actualisé, les sys-tèmes exécutant Windows 2000 Service pack 3 ou ultérieur, Windows XP Ser-vice pack 1 ou ultérieur, Windows Server 2003, Windows Vista et Windows Server 2008 consultent le serveur de mise à jour pour rechercher des mises à jour. Surveillez attentivement le(s) serveur(s) de mise à jour et de statistiques pendant quelques jours ou semaines pour vérifier que tout se passe comme prévu. Les répertoires et les fichiers seront créés sur le(s) serveur(s) de mise à jour et de statistiques.