VietNetwork.Vn

Trong bài đăng này, chúng tôi sẽ chỉ cho bạn cách sử dụng chính sách nhóm để định cấu hình máy tính trong miền Active Directory nhằm thực hiện cập nhật Windows tự động từ Internet hoặc máy chủ WSUS mà bạn quản lý.

Tự động hóa các bản cập nhật sẽ giúp bạn tiết kiệm rất nhiều thời gian quản lý và tăng tốc quá trình vá lỗi trong thời gian dài. Bằng cách tự động áp dụng các bản cập nhật Windows, bạn sẽ không cần phải đăng nhập thủ công vào từng máy và thực hiện cập nhật. Khi kết hợp với WSUS, chúng tôi cũng có thể báo cáo máy chủ nào đã cài đặt bản cập nhật nào, cho phép chúng tôi xem mức độ vá lỗi của toàn bộ môi trường Windows.

1. Định cấu hình chính sách nhóm

Trong ví dụ này, chúng tôi sẽ tạo một đối tượng chính sách nhóm (GPO) áp dụng cho tất cả các máy tính Windows của chúng tôi. Chúng ta đã có tất cả các đối tượng máy tính được lưu trữ trong cùng một đơn vị tổ chức (OU) được gọi là "Máy chủ" trong ví dụ này, vì vậy đây là nơi chúng ta sẽ áp dụng GPO của mình.

Để định cấu hình chính sách nhóm, hãy mở bảng điều khiển Quản lý chính sách nhóm từ trong menu Công cụ trong Trình quản lý máy chủ như hình bên dưới.


Trong trường hợp này, chúng tôi sẽ tạo một GPO mới để áp dụng các thay đổi của chúng tôi thay vì chỉ cập nhật Chính sách miền mặc định hiện có vì đây là phương pháp hay nhất. Trong Đối tượng chính sách nhóm, nhấp chuột phải và chọn Mới.


Đặt tên hợp lý cho GPO để người khác dễ dàng xác định trong tương lai.


Nhấp chuột phải vào GPO mới tạo của bạn và chọn Chỉnh sửa.


Từ bên trong Trình chỉnh sửa quản lý chính sách nhóm (GPME), chọn Cấu hình máy tính > Chính sách > Mẫu quản trị > Cấu phần Windows > Windows Update. Từ đây, bạn sẽ có thể thấy tất cả các tùy chọn cấu hình liên quan đến bản cập nhật Windows.


2. Định cấu hình Cập nhật Windows tự động

Không có gì ngạc nhiên khi chính sách chính để định cấu hình cập nhật tự động là "Định cấu hình cập nhật tự động" như được tô sáng ở trên. Đặt chính sách này thành bật và sau đó chỉ định một trong bốn tùy chọn. Nếu chính sách này được để ở trạng thái Không được định cấu hình mặc định, thì các bản cập nhật tự động sẽ không được định cấu hình và sẽ được quản trị viên cục bộ kiểm soát theo cách thủ công trên cơ sở từng máy tính.

Sau đây là danh sách các tùy chọn khác nhau mà bạn có thể áp dụng khi định cấu hình cập nhật tự động thông qua chính sách này.

• 2. Thông báo để tải xuống và thông báo để cài đặt: Nếu tìm thấy các bản cập nhật cần được cài đặt trên máy tính, người dùng sẽ được thông báo rằng có các bản cập nhật sẵn sàng để tải xuống và cài đặt. Tùy chọn này sẽ cho phép người dùng tải xuống và cài đặt các bản cập nhật.
• 3. Tự động tải xuống và thông báo cài đặt: Đây là cài đặt mặc định và sẽ tự động tải xuống các bản cập nhật cần thiết mà không thông báo hoặc làm gián đoạn người dùng. Khi các bản cập nhật đã tải xuống đã sẵn sàng để cài đặt, người dùng sẽ được thông báo, sau đó người dùng có thể cài đặt chúng. Cá nhân tôi thích tùy chọn này hơn tùy chọn bên trên, vì việc tải xuống trước các bản cập nhật và sẵn sàng hoạt động sẽ đẩy nhanh quá trình cài đặt.
• 4. Tự động tải xuống và lên lịch cài đặt: Theo tôi, đây là tùy chọn tốt nhất để triển khai các bản cập nhật Windows tự động. Bạn chỉ định ngày giờ để các bản cập nhật Windows tải xuống và cài đặt, nếu cần khởi động lại thì máy tính cũng sẽ tự động khởi động lại để hoàn tất quá trình cập nhật. Bất kỳ người dùng nào đã đăng nhập sẽ được cảnh báo rằng máy tính sẽ sớm khởi động lại.
• 5. Cho phép quản trị viên cục bộ chọn cài đặt: Chỉ quản trị viên cục bộ mới có thể sử dụng Windows update để định cấu hình các bản cập nhật. Đây thường là tùy chọn ít được mong đợi nhất khi bạn đang cố gắng tự động hóa các bản cập nhật trong một môi trường rộng lớn.

Nếu chọn số 4, bạn có thể tùy ý tích vào ô cài đặt trong quá trình bảo trì tự động. Bảo trì Tự động cài đặt các bản cập nhật khi máy tính không được sử dụng và có sẵn trong Windows 8 trở lên. Các bản cập nhật cũng sẽ không xảy ra nếu máy tính đang chạy bằng nguồn pin. Nếu các bản cập nhật không được cài đặt trong vòng hai ngày, các bản cập nhật sẽ được cài đặt ngay lập tức.

Sau đó, chúng tôi có thể chỉ định xem chúng tôi có muốn các bản cập nhật tự động cài đặt hàng ngày hay chỉ định một ngày cụ thể trong tuần theo sau là thời gian bắt đầu cập nhật. Chúng ta cũng có thể tùy chọn để tự động cập nhật các sản phẩm khác của Microsoft, ví dụ như bộ Office của Microsoft chẳng hạn.


Có một số tùy chọn chính sách hữu ích khác ở đây cũng có thể được sử dụng để tùy chỉnh cách thực hiện các bản cập nhật Windows tự động. Ví dụ: chúng tôi có thể điều chỉnh thêm tính năng tự động khởi động lại, kiểm soát cách người dùng được nhắc về thông báo cập nhật hoặc đặt tần suất phát hiện cập nhật tự động chỉ để nêu tên một số.

3. Trỏ tới Máy chủ WSUS

Theo tùy chọn, nếu bạn đang sử dụng máy chủ WSUS, bạn sẽ muốn đặt chính sách "Chỉ định vị trí dịch vụ cập nhật của Intranet Microsoft" để trỏ đến máy chủ WSUS cho cả các bản cập nhật và thống kê. Chỉ cần kích hoạt chính sách và chỉ định máy chủ WSUS của bạn như hình bên dưới.


Bạn cũng có thể muốn xem xét việc sử dụng chính sách "Bật nhắm mục tiêu phía máy khách" để chỉ định các máy tính đó sẽ thuộc về nhóm máy tính nào trong WSUS, bạn có thể tìm thêm thông tin tại đây về các nhóm máy tính.

Nếu bạn không sử dụng máy chủ WSUS thì không cần bật các chính sách này, máy tính của bạn sẽ cố gắng kết nối trực tiếp với Internet theo mặc định.

4. Liên kết chính sách

Khi bạn đã hoàn tất việc định cấu hình GPO, hãy đóng Trình chỉnh sửa quản lý chính sách nhóm và quay lại cửa sổ Quản lý chính sách nhóm. Nhấp chuột phải vào vùng chứa hoặc OU mà bạn muốn liên kết chính sách và chọn "Liên kết GPO hiện có..." như minh họa bên dưới.


Từ cửa sổ Chọn GPO xuất hiện tiếp theo, hãy chọn GPO mà bạn muốn liên kết. Trong trường hợp này, chúng tôi đang theo dõi Windows Updates GPO chứa tất cả các thay đổi mà chúng tôi vừa thực hiện.


Ngoài ra, bạn cũng có thể kéo và nhóm GPO từ bộ chứa Đối tượng Chính sách Nhóm thẳng vào vị trí bạn chọn.

Hãy nhớ rằng có thể mất tới 90 phút để GPO triển khai cho các máy tính trong OU được liên kết, vì vậy bạn có thể muốn chạy trực tiếp lệnh "gpupdate" trên máy tính để thực hiện cập nhật chính sách nhóm ngay lập tức nếu bạn muốn kiểm tra.

Chúng tôi đã chỉ cho bạn cách sử dụng chính sách nhóm để định cấu hình máy tính Windows tự động tải xuống và cài đặt các bản cập nhật Windows. Theo tùy chọn, bạn cũng có thể đặt chính sách để định cấu hình tất cả các máy chủ để sử dụng máy chủ WSUS, bằng cách này, bạn có thể xem thông tin báo cáo chi tiết hơn trong WSUS và dễ dàng xem máy chủ nào đã nhận được một bộ bản cập nhật.

Với các bản cập nhật tự động sẵn có, giờ đây chúng ta có thể ngồi lại và thư giãn, và ý tôi là dành thời gian khắc phục một số vấn đề khác thay thế.