企業でWindowsサーバ、クライアントのパッチ適用をWSUSで管理しているケースが多いと思います。Windowsサーバがあれば無料で構築できるのがいいですが、運用方法を事前に考えて置く必要があります。特にWindows10が出てから更新プログラムのサイズが大きくなったこともあり、さらに半期チャネルのアップグレードではかなりのサイズになる為、配信方法も考慮が必要です。
そして、今回の記事はグループ管理についてです。すでに管理ができている場合はこちらの内容は不要となりますが、これからグループ管理を検討している方、WSUSの構築を初めて行う方は、最初にグループの検討を必要する必要があります。
WSUSのグループの管理方法は大きく二つあります。WSUS では、更新プログラムをクライアント コンピュータのグループ単位で承認することができます。
更新プログラムは何も考えずに最新化していくとバグなどがあった場合に問題になることがある為、多くは一度に適用せず段階的に適用して様子を見ることが多いです。
サーバに関しては構築後にパッチを適用してからそのままということもあるかもしれませんが、ゼロデイ攻撃の対象となる為、なるべくパッチは適用したほうがいいです。さらにひさしぶりに適用するとかなり時間がかかってしまうなんてこともあります。
そして、話を戻してグループの管理ですが、マイクロソフトの公開情報によると"サーバー側のターゲット" または "クライアント側のターゲット" のいずれかの方法でコンピュータをコンピュータ グループに割り当てることができます。
実際に使ったことがないとピンとこないかもしれません。
以下はそのグループ管理方法の説明の抜粋です。
サーバー側のターゲット
サーバー側のターゲットでは、WSUS コンソールを使用してグループを作成し、コンピュータをグループに割り当てます。サーバー側のターゲットは、更新するクライアント コンピュータが少ない場合や、クライアント コンピュータを手動でコンピュータ グループに移動する場合に適したオプションです。
WSUS サーバーでサーバー側のターゲットを有効にするには、[コンピュータのオプション] ページで [Windows Server Update Services のコンピュータの移動タスクを使用する] オプションをクリックします。
クライアント側のターゲット
クライアント側のターゲットでは、WSUS コンソールで作成したコンピュータ グループにクライアント コンピュータを追加できます。Active Directory ネットワーク環境のグループ ポリシーを使用するか、Active Directory 以外のネットワーク環境のクライアント コンピュータのレジストリ エントリを編集して、クライアント側のターゲットを有効にできます。クライアント コンピュータが WSUS サーバーに接続するときに、正しいコンピュータ グループに追加されます。クライアント側のターゲットは、クライアント コンピュータが多い場合や、コンピュータ グループへの割り当てプロセスを自動化する場合に適したオプションです。
WSUS サーバーでクライアント側のターゲットを有効にするには、[コンピュータのオプション] ページで [コンピュータのグループ ポリシーまたはレジストリを使用する] オプションをクリックします。
情報元はこちら。
https://docs.microsoft.com/ja-jp/security-updates/windowsupdateservices/18111623
この二つの違いですが、 [Windows Server Update Services のコンピュータの移動タスクを使用する]を選んだ場合、WSUSの管理コンソールを使用してコンピュータを管理しますので、手動で移動してあげる必要があります。台数が少ない場合はいいですが、台数が多いと管理が煩雑になります。
もう一つの[コンピュータのグループ ポリシーまたはレジストリを使用する] はADのGPOを利用してどのグループに所属するかを設定できます。例えば、OU毎にポリシーを作成すれば、OUとWSUSのグループの構成を合わせることができますし、端末やサーバを適切なOUに移動すれば、自動的にWSUSのグループへ振り分けることができますので、手間が省けますし、移動漏れなども防ぐことができます。
また、[コンピュータのグループ ポリシーまたはレジストリを使用する] をコンピュータをグループへ移動することが項目がグレーアウトされてできなくなります。基本的にはGPOで管理したほうが運用面を考えてもいいでしょうね。
