W przypadku, gdy wszystkie komputery w organizacji znajdują się w tej samej lokacji, serwer aktualizacji WSUS jest przypisywany elementarnie przy użyciu zasad grupy. Jeśli infrastruktura informatyczna kopania jest wystarczająco rozproszona, a kilka gałęzi serwerów WSUS jest używanych do zmniejszenia obciążenia kanałów komunikacyjnych, sytuacja z wyznaczeniem serwera WSUS jest skomplikowana.
Najprostszym i najbardziej logicznym rozwiązaniem byłoby podzielenie wszystkich komputerów organizacji na różne grupy (zwykle terytorialne / regionalne) i utworzenie z nich oddzielnych jednostek organizacyjnych Active Directory (kontenerów). W takim przypadku do każdej jednostki organizacyjnej można przypisać indywidualne zasady grupy, wskazując regionalny serwer WSUS, z którego należy pobrać aktualizacje. Ta technika wiązania z serwerami WSUS jest stosowana w większości dużych organizacji. Jednak w firmach, których procesy biznesowe wymagają wystarczająco mobilnego charakteru pracy pracowników przemieszczających się między podziałami terytorialnymi za pomocą laptopów, ten schemat działania ma swoje wady. Rzeczywiście, w przypadku przeniesienia użytkownika do innej podsieci, jego komputer kontynuuje pobieranie aktualizacji z „swojego” serwera WSUS, ładując dość drogie kanały WAN niepotrzebnym ruchem.
Uwaga. Nie rozważamy możliwości przenoszenia komputerów przenośnych między OU ze względu na ich złożoność.O wiele bardziej eleganckim rozwiązaniem jest powiązanie zasad aktualizacji WSUS nie z OU, ale z witrynami Active Directory, które ze swojej natury uwzględniają topologię sieci organizacji. W takim przypadku po przeniesieniu dowolnego komputera do innej podsieci (witryny) komputer automatycznie przełącza się i zaczyna korzystać z najbliższego serwera WSUS.
W tym artykule przyjrzymy się metodologii przypisywania serwera WSUS za pomocą zasad grupy opartych na witrynach Active Directory..
Przede wszystkim musisz się upewnić, że witryny usługi Active Directory są uruchomione, a ich podsieci IP są do nich podłączone. Po skonfigurowaniu witryn AD komputery automatycznie powiążą się z żądaną witryną podczas rejestracji w dowolnej opisanej podsieci.
Wskazówka. Witryny i podsieci są konfigurowane przy użyciu przystawki mmc Witryny i usługi Active Directory..Następnym krokiem jest utworzenie zasad grupy, które określają opcje aktualizacji z serwerów WSUS. Logiczne byłoby utworzenie pojedynczej zasady (na przykład o nazwie WSUS_Clients) z następującymi ustawieniami w sekcji Konfiguracja komputera -> Szablony administracyjne -> Składniki systemu Windows-> Windows Update. Ta zasada zawiera typowe ustawienia WSUS, które są takie same dla wszystkich komputerów organizacji..
- Zezwalaj na automatyczną instalację: Prawda
- Konfiguruj automatyczne aktualizacje: 4 (Automatyczne pobieranie i instalacja harmonogramu)
- Włącz kierowanie po stronie klienta: Komputery
Następnie dla każdego serwera lokacji (lub WSUS) utwórz osobne zasady wskazujące konkretny serwer WSUS. Na przykład zasada GPO dla regionu Irkuck (o nazwie Irkutsk_WSUS) wyglądałaby następująco:
Określ lokalizację usługi aktualizacji Microsoft w intranecie: Włączone
- Ustaw usługę aktualizacji intranetu w celu wykrywania aktualizacji: http: // IrkutskWSUS: 8530
- Ustaw serwer statystyk intranetu: http: // IrkutskWSUS: 8530
Na koniec musisz przypisać utworzone zasady do odpowiednich witryn. Domyślnie witryny AD nie są wyświetlane w konsoli zarządzania zasadami grupy. Aby je wyświetlić, przejdź do poziomu witryny (Witryny) w drzewie GPM i menu kontekstowym Pokaż witryny wybierz witryny, które chcesz pokazać w konsoli.
Po pojawieniu się witryn Active Directory w konsoli kliknij panel sterowania w żądanej witrynie, wybierz menu Połącz istniejący obiekt zasad grupy aw wyświetlonym oknie określ zasady grupy, które chcesz powiązać z tą witryną. 
W ten sposób można zorganizować system do automatycznego łączenia klientów z serwerem WSUS w oparciu o witrynę AD, w której aktualnie znajduje się komputer.
Wskazówka. W przypadku, gdy coś nie działa zgodnie z oczekiwaniami, można przeprowadzić diagnostykę za pomocą rsop.msc (sprawdź przypisane zasady) i zespoły nltest / dsgetsite (pozwala określić witrynę, w której komputer jest zarejestrowany).
