GPO et Windows Update

Pour la mise à jour des PC du réseau, il est possible soit :

  1. d'utiliser le service WSUS d'un serveur interne au réseau de l'entreprise comme l'explique le billet "Le service de MAJ : WSUS" du site ;

  2. de laisser les postes se connecter à Internet pour qu'ils contactent individuellement les serveurs Windows Update de Microsoft.

La solution n°2, décrite dans ce billet, ne demande pas trop d'effort de paramétrage mais et très gourmande en ressource réseau Internet.

Dernière MAJ :
06 mai 2024
Billet créé le :
23 nov 2020

Ce billet décrit la GPO (Groupe Policy Object ou stratégie de groupe) à mettre en place  pour que les PC contactent directement les serveurs de Microsoft. Il s'agit d'une stratégie d'ordinateurs qui peut être appliquée à tous les ordinateurs du domaine (ou à un groupe restreint d'ordinateurs) mais qui peut consommer votre bande passante sur le réseau Internet.

1. Les paramètres de la GPO :

Ouvrir le paramètre "windows Update" dans "configuration ordinateurs - stratégies - modèles d'administration - composants windows" soit à travers la console "gpedit.msc" ou "le composant Stratégie Ordinateur local de la console "mmc" :

  1. désactiver le paramètre "Ne pas afficher l'option 'Installer les mises à jour et éteindre' dans la boite de dialogue 'arrêt de windows'" ;

  2. désactiver le paramètre "Ne pas modifier l'option par défaut ''Installer les mises à jour et éteindre' dans la boite de dialogue 'arrêt de windows'" ;

  3. activer le paramètre "Configuration du service des mises à jour automatiques" ;

  4. désactiver le paramètre "Spécifier l'emplacement Intranet du service de mises à jour automatiques" (qui se trouve sous "gérer les mises à jour proposées de WSUS" dans certaines versions) ;

  5. activer le paramètre "Fréquence de détection des mises à jour automatiques" (qui se trouve sous "gérer les mises à jour proposées de WSUS" dans certaines versions) ;

  6. activer le paramètre "Autoriser les non-administrateurs à recevoir les notifications de mise à jour automatiques" ;

  7. activer le paramètre "Autoriser l'installation immédiate des mises à jour automatiques" ;

  8. activer le paramètre "Activer les mises à jour automatiques recommandées via le service de mises à jour automatiques" ;

  9. activer le paramètre "Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées des mise à jour automatiques" ;

  10. désactiver le paramètre "Autoriser les mises à jour signées provenant d'un emplacement Intranet du service de mises à jour Microsoft" (qui se trouve sous "gérer les mises à jour proposées de WSUS" dans certaines versions).

 

Dans les versions récentes de Windows : 
  • les paramètres 1, 2, 6, 7, 8, 9 sont regroupés sous "Stratégies héritées"  ;
  • le paramètre 3 est dans "Gérer l'expérience utilisateur final"  ;
  • les paramètres 4, 5, 10  sont regroupés sous "Gérer les mises à jour proposées de WSUS".

2. Exemple : Le  paramètre "Configuration du service de mises à jour automatiques" :

Cliquez pour agrandir l'image

Cliquez sur l'image pour l'agrandir

3.Une GPO en image :

Cliquez pour agrandir l'image

Cliquez sur l'image pour l'agrandir