WSUS (Windows Server Update Services) ve Group Policy (GPO) yapılandırmasının entegrasyonu, Network üzerindeki Windows makinelerinin güncelleme süreçlerini merkezi ve kontrollü bir şekilde yönetmek için kullanılır. Bu entegrasyon, güncellemelerin ne zaman ve nasıl uygulanacağı konusunda detaylı kontrol sağlar, böylece Network'ün güvenliğini ve istikrarını artırmak mümkün olur.
WSUS ile GPO yapılandırmasını entegre etmek için öncelikle WSUS Server üzerinde gerekli güncelleme paketleri ayarlanır. Daha sonra, Group Policy Management Console (GPMC) üzerinden ilgili Group Policy Objects (GPO) düzenlenir. GPO'lar aracılığıyla, hangi güncellemelerin hangi makineler tarafından indirilip kurulacağı, güncellemelerin otomatik mi yoksa manuel onayla mı uygulanacağı gibi detaylar belirlenir.
Örneğin, bir GPO kullanılarak, belirli bir kullanıcı grubunun güncellemeleri otomatik olarak alması veya belirli saatlerde sistem güncellemelerinin yapılması için ayarlar yapılabilir. Bu, özellikle çalışma saatleri dışında otomatik güncellemelerin yapılmasını sağlayarak, iş verimliliğini etkilemeden sistemlerin güncel kalmasını garantiler.
Ek olarak, GPO ile WSUS sunucusundan güncellemeleri alacak makinelerin listesini oluşturabilir, istisnai durumlar için güncelleme politikaları tanımlayabilirsiniz. Bu da, gereksiz güncellemelerin engellenmesi ve Network trafiğinin optimizasyonu anlamına gelir.
1- Group Policy Management içinde ilgili Organization Unit (OU) üzerinde sağ tıklayarak, Create a GPO in this domain, and Link it here... seçeneğini seçerek, ilgili OU üzerinde GPO oluşturup, aynı zamanda da bu GPO'yu OU'ya bağlama işlemini gerçekleştiriyorum.
1.1- Group Policy Object (GPO) için "WsusPol" adını verip, OK butonuna basıyorum.
1.2- "WsusPol" adındaki Group Policy Object (GPO), Istanbul OU'su altında oluştu.
1.3- İlgili GPO üzerine tıkladıktan sonra, sağ bölümde GPO ile ilgili ayarların bulunduğu bölüm açılıyor. Bu bölümde Delegation sekmesine tıklıyorum.
1.4- Delegation sekmesinde, sağ altta bulunan Advanced... butonuna tıklıyorum. Karşıma gelen WsusPol Security Settigs penceresinde, Active Directory üzerinde oluşturduğum ilgili Security Group nesnesini ekleyeceğim. Add... butonuna tıklıyor, oluşturmuş olduğum "WsusComputers" isimli Security Group'u seçip, OK butonuna basıyorum. "WsusComputers" isimli Security Group seçildikten sonra tekrar OK butonuna basıyor, ekleme işlemini tamamlıyorum.
1.5- "WsusComputers" isimli Security Group eklendikten sonra, gerekli izin atama işlemlerini yapmak için seçiyorum ve izinler kısmında Apply group policy seçeneği ile bu Group Policy Object'in (GPO) bu gruba uygulanmasını sağlıyorum.
1.6- Gerekli izin ayarını yapılandırdıktan sonra, OK butonuna tıklayarak, Settings penceresini kapatıyorum.
1.7- Delegation sekmesinde gerekli işlemlerimi bitirdim. Şimdi, bir sonraki adımda bu sefer de Scope sekmesine tıklıyor, en alttaki Security Filtering bölümünde WsusComputers isimli Security Group'umu Add... butonuna tıklayarak ekliyorum. Buradaki amacım, GPO'nun bu bilgisayar grubuna etki etmesi olacaktır..
1.8- Yine aynı bölümde Authenticated Users'ı seçerek Remove butonuna basıyor ve siliyorum.
2- GPO üzerindeki izinlerin yapılandırmasını tamamladıktan sonra, Istanbul OU'su altında oluşturduğum "WsusPol" isimli Group Policy Object (GPO) üzerinde sağ tıklayarak Edit... seçeneğini seçiyor, GPO yapılandırma işlemine geçiyorum.
2.1- Group Policy Management Editor penceresi açıldıktan sonra sırasıyla Computer Configuration > Policies > Administrative Templates altıkdaki Windows Components'ı genişletiyorum.
2.2- Windows Components'ı genişlettikten sonra, alt klasörlerden Windows Update klasörü, Group Policy Object (GPO) yapılandırması için ihtiyacımız olan klasördür. Windows Update klasörü altında gerekli olan birçok Policy seçeneği mevcut durumdadır. Bizim için gerekli olan Policy'ler;
● Configure Automatic Updates
● Specify intranet Microsoft Update service location
● Automatic Updates detection frequency
● Allow non-administrators to receive Update notifications
2.2.1- Configure Automatic Updates: Bu Policy, güncellemerin hangi şarta bağlı olarak Download edilip, Install edileceği ile alakalıdır.
2- Notify for download and notify for install: İndirmek ve yüklemek için sor.
3- Auto download and notify for install: Otomatik olarak indir, yüklemek için sor.
4- Auto download and schedule the install: otomatik olarak indir, yüklemeyi bir zamana bağla.
5- Allow local admin to choose setting: İndirme ve yükleme işlemlerini local admin'e bırak.
2.2.1.1- Ben, Auto download and schedule the install seçeneğini seçerek güncellemelerin otomatik olarak indirilip, yüklemeyi belirli bir zamana atamak istiyorum. Bu nedenle de 4 numaralı seçeneği seçiyorum.
2.2.1.2- 4 numaralı seçeneği seçtikten sonra, alt kısımda bulunan;
* Schedule install day: altında yüklemelerin otomatik olarak kaç günde bir yapılacağını seçiyoruz. Ben, 0- Every day seçeneğini seçiyorum.
* Schedule install time: altında indirilen otomatik güncellemelerin hangi saat diliminde yükleneceğini seçiyorum. Ben, 23:00 olarak belirledim.
2.2.2- Specify intranet Microsoft Update service location Policy'si, en önemli Policy'lerden biridir. Burada, Set the intranet Update service for detecting updates: altında Client PC'lerin Wsus Server'ı bulabilmesi için, Wsus Server'ın Host Name'i http://Host Name:8530 şeklinde belirtiyorum. Buradaki 8530, erişimin http veya https üzerinden yapılacağını belirtir ki Wsus kurulumu yaparken IIS (Internet Information Services) kurulumu da yapmıştık. 8530, IIS (Internet Information Services) üzerindeki Wsus Web Site'un Port numarasıdır.
2.2.3- Automatic Updates detection frequency Policy'si, güncellemelerin Client PC'ler tarafından kaç saatte bir kontrol edileceğini belirtir.
2.2.4- Allow non-administrators to receive update notifications Policy'si, Administrators grubuna dahil olmayan, Users grubu üyesi kullanıcılar için, belirtilen saattelerde kontrol edilen güncellemelerde yeni güncelleme bulunması durumunda, bunu ekranın sağ altında uyarı olarak gösterecektir.
3- Group Policy güncelleştirme Policy'lerini yapılandırdıktan sonra, Istanbul OU'su üzerinde sağ tıklayıp, Group Policy Update... seçeneğini seçerek, güncelleştirmelerin tüm Client PC'lere uygulanmasını sağlıyorum.
4- Client PC üzerinde Contol Panel'den (denetim masası) Windows Update penceresini açtıktan sonra ilk olarak You receive updates: For windows only. seçeneği görünecektir. Client PC'yi yeniden başlattıktan sonra, Managed by your system administator olarak değiştiğini göreceksiniz.
5- Güncelleştirmeleri tüm Client PC'lere uygulattıktan sonra, Client PC'lerin Update Services Yönetim Konsolu üzerinde All Computers içine geldiğini göreceksiniz. Client PC'leri buradan daha önce oluşturuğumuz gruplara dağıtabiliriz. Ben, Windows 8.1 işletim sistemli bilgisayarımı "Windows-8.1" grubuna taşıyorum. Taşımak için; Client PC üzerinde sağ tıklayarak Change Membership... seçeneğini seçiyorum. Set Computer Group Membership penceresi altında "Windows-8.1" grubunu seçip, OK butonuna basıyorum.
6- Update Services Yönetim Konsolu üzerinde sol bölümde SRV0001 altında Updates sekmesi içindeki All Updates bölümünde, Microsoft'tan indirilen güncelleştirmeleri görececeksiniz. Buradaki güncelleştirmeler; Products and Classifications yapılandırması yaparken Classifications bölümünde bir önceki ayar olan Products sekmesinde seçtiğimiz Microsoft ürünleri için hangi tür Update'leri çekeceğimizi belirtmiştik. Burada çektiğimiz tüm Update'ler sınıflandırmasız, karışık olarak yer almaktadır. Ben, senaryom gereği Windows 8.1 işletim sistemi için indirilmiş olarak update'lerden bazılarını seçip, sağ tıklayarak Approve... seçeneğini seçiyorum.
6.1- All Updates bölümünde toplanan güncelleştirmeleri Approve etmediğiniz sürece, hiçbir güncelleştirme yüklenmeyecektir. Approve Updates penceresi altında All computers üzerinde sağ tıklayarak Approved for Install seçeneğini seçiyorum.
6.2- All computers üzerinde sağ tıklayarak Approved for Install seçeneğini seçtikten sonra, aynı işlemi Windows-8.1 üzerinde de gerçekleştiriyorum.
6.3- Tüm bu işlemleri bitirdikten sonra, OK butonuna basarak Approve Updates penceresini kapatıyorum.
6.5- Seçtiğim ve Approve ettiğim güncelleştirmelerin başarılı bir şekilde Windows-8.1 grubu içindeki bilgisayarlara yüklenmek üzere atandığını görüyorum. Close penceresini Approval Progress penceresini kapatıyorum.
7- Client PC üzerinde Contol Panel'den (denetim masası) Windows Update penceresini açtığımda, Windows-8.1 grubu içine atadığım güncelleştirmelerin Automatic Updates detection frequency Policy'si sayesinde Windows 8.1 işletim sistemli Client PC tarafından kontrol edilip, Install edilmeye hazır hale geldiğini görüyorum.
Bu makalede ele alınan WSUS (Windows Server Update Services) ve Group Policy (GPO) entegrasyonu üzerine yapılandırmalar, Network yönetimi ve güncelleme süreçlerini merkezi ve efektif bir şekilde yönetme imkanı sunmaktadır. Detaylı incelenen bu süreçler, güncellemelerin kontrolünü artırarak, Network güvenliğini maksimize etme ve sistem istikrarını koruma potansiyelini ortaya koymuştur.
Bu yapılandırmalar sayesinde, Network üzerindeki makinelerin güncel ve güvenli tutulması, yönetim yükünün azaltılması ve IT altyapısının sürekli olarak iyileştirilmesi mümkün hale gelmiştir. GPO aracılığıyla detaylı güncelleme politikalarının belirlenmesi ve WSUS ile bu güncellemelerin etkin bir şekilde dağıtılması, Network trafiğini optimize ederken, kaynak kullanımını da en verimli şekilde yönlendirir.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.