Часть 1. Установка и настройка

Уже давно системные администраторы ощущают необходимость в средстве, которое, благодаря автоматическому развертыванию программ коррекции для системы безопасности на всех компьютерах сети, позволяло бы поддерживать защиту сети на максимально высоком уровне. Правда, несколько лет назад корпорация Microsoft выпустила программу Windows Update, но данный инструмент предназначен лишь для частных пользователей и небольших организаций, ибо ни механизмов управления использованием полосы пропускания, ни средств, обеспечивающих тестирование и санкционирование применения новых исправлений, в нем не предусмотрено.

И вот недавно Microsoft выпустила пакет Software Update Services (SUS), один из первых продуктов, подготовленных в рамках стратегической программы Strategic Technology Protection Program (STPP). Тут уж, конечно, разработчикам надо отдать должное: SUS заполнила зияющую брешь в системе средств управления и защиты семейства Windows. В предлагаемой статье я расскажу о том, как функционирует служба SUS и как устанавливаются и настраиваются различные ее компоненты. Во второй части статьи речь пойдет о более сложных конфигурациях SUS, предусматривающих, скажем, возможность отслеживания процедур установки программ коррекции, регулирования потребностей в ширине полосы пропускания и учета потенциала для масштабирования.

Служба SUS обеспечивает автоматическое развертывание важнейших программ коррекции (crucial updates — устраняют ошибки, которые не имеют отношения к средствам защиты), программ коррекции для системы безопасности (crucial security updates) и наборов обновлений системы безопасности (security rollups) на всех компьютерах сети. Причем развертывание осуществляется таким образом, что администраторам не приходится ни лично посещать рабочие места пользователей, ни составлять какие-либо сценарии. SUS — довольно гибкая система; администратор может следить за тем, какие программы нужно развертывать, когда осуществлять этот процесс и какие компьютеры в него включать. Служба SUS не выполняет развертывания пакетов обновлений (service packs), однако для доменов Active Directory (AD) это обстоятельство несущественно. С момента выпуска пакета Windows 2000 Service Pack 1 (SP1) разработчики Microsoft возлагают бремя установки пакетов обновлений на программу IntelliMirror и на групповые политики. Взяв на вооружение IntelliMirror и службу SUS, можно полностью автоматизировать процесс поддержания систем Windows XP и Windows 2000 на уровне самых современных требований.

Служба SUS несовершенна, ей свойственны некоторые ограничения:

  • SUS нельзя устанавливать на компьютерах Windows NT и Windows 9x;
  • SUS несовместима с Microsoft Office или Microsoft BackOffice. Данная служба обеспечивает развертывание программ коррекции только для самой операционной системы, Microsoft IIS и Microsoft Internet Explorer (IE);
  • в настоящее время SUS предусматривает возможность использования многих, но не всех языков, поддерживаемых Windows XP и Windows 2000;
  • SUS не имеет функции удаления, т. е. не допускает автоматического удаления ранее развернутого модуля, поэтому перед установкой корректирующих программ средствами SUS важно тестировать эти программы. Впрочем, удалить модули администратор может вручную.

Служба SUS состоит из трех компонентов: компонент SUS, выполняемый на сервере; компонент Automatic Updates (AU), выполняемый на клиентских компьютерах; настройки групповых политик Group Policy, позволяющие управлять клиентами AU через службу AD. Сервер SUS, в сущности, представляет собой Web-узел на базе IIS. Администраторы используют Web-страницы для управления и мониторинга служб SUS, AU-клиенты с помощью Web-страниц осуществляют загрузку модулей. Microsoft размещает эти модули на своих серверах Windows Update. Одна из служб SUS, именуемая Windows Update Synchronization Service, периодически синхронизирует содержимое сервера SUS и серверов Microsoft Windows Update.

Для взаимодействия с сервером SUS клиенты AU используют протокол HTTP. Сервер SUS тоже применяет данный протокол для периодических обращений к серверам Windows Update и для синхронизации базы данных модулей, предоставленных для загрузки. Эта база данных называется каталогом. Сеансы синхронизации с каталогом можно проводить по запросу или по графику. Самих модулей в каталоге нет: он содержит лишь описания модулей, а также информацию, с помощью которой клиенты AU определяют, подходит ли тот или иной модуль для их операционных систем — Windows XP или Windows 2000.

Сервер SUS можно настроить таким образом, чтобы он загружал и устанавливал модули на всех указанных языках. Другой вариант — оставить обновляемые модули на серверах Windows Update; в этом случае их загрузкой и установкой будут заниматься клиенты AU. Но при любой выбранной конфигурации перед тем, как приступить к загрузке и установке модулей, пакет SUS будет проверять их на соответствие открытому сертификату Microsoft. Это мера предосторожности на случай попыток внедрить разрушительный код в компьютеры сети по каналам SUS.

Во многих программах процедуры загрузки и установки модулей реализованы как единая операция; однако пакет SUS рассматривает их как два самостоятельных процесса. Представим себе такую ситуацию. Пусть требуется, чтобы загрузкой и установкой модулей коррекции занимались клиенты AU. Клиент AU периодически справляется на сервере SUS о наличии новых предназначенных для развертывания модулей. Отыскав подлежащий загрузке модуль, клиент начинает процесс загрузки с подключения к соответствующему серверу Windows Update. Так вот, в зависимости от заданных администратором настроек клиент AU может автоматически загрузить модуль с сервера Windows Update или известить пользователя о том, что модуль готов к загрузке. В последнем случае клиент AU будет ожидать инициализации процесса загрузки пользователем.

Процесс установки начинается после того, как клиент AU загрузит модуль в папку временного хранения. Клиент проверяет заданные администратором параметры, определяющие время установки модуля. Клиент AU можно настроить таким образом, чтобы он автоматически устанавливал модули в соответствии с заранее составленным графиком, а можно поручить ему уведомлять пользователя о наличии модулей для установки и ждать инициализации процесса развертывания пользователем. При необходимости клиент AU по завершении установки модулей осуществляет повторный запуск компьютера. Если в это время в системе зарегистрирован пользователь, клиент AU дает ему 5 мин на то, чтобы сохранить данные, закрыть все программы и завершить сеанс. Затем клиент перезапускает компьютер. При этом он использует инструментальное средство Qchain, так что перезапускать машину приходится только один раз, даже если было установлено несколько модулей коррекции.

Установка службы SUS

Ну что ж, разобравшись с основными принципами функционирования пакета SUS, мы можем познакомиться с несложной процедурой установки SUS в домене AD. Для установки SUS необходим сервер, на котором эти службы будут выполняться. Контроллеры доменов AD (domain controllers, DCs) и компьютеры, функционирующие под управлением Small Business Server (SBS), не могут использоваться в качестве серверов SUS.

На сервере SUS, а также на контроллерах доменов и на рабочих станциях, которыми будут управлять программы SUS, должны быть установлены пакет обновлений Windows 2000 SP2 или более поздней версии и браузер IE 5.5 или более поздней версии. Кроме того, на сервере SUS должен быть установлен пакет IIS 5.0 или более новый. Службы SUS можно устанавливать на сервере IIS, на котором уже размещаются другие Web-сайты. SUS может «сосуществовать» с другими Web-сайтами потому, что этот пакет использует лишь три компонента IIS: папку Common Files, оснастку консоли управления Microsoft Management Console (MMC) Internet Information Services и службу World Wide Web Server.

Чаще всего пакет SUS устанавливается на заданном по умолчанию Web-сайте. Если такого сайта нет или с портом 80 ассоциирован другой Web-сайт, следует обратиться к приложению A «Белой книги» Microsoft «Deploying Microsoft Software Update Services». Чтобы открыть ее, нужно щелкнуть на ссылке Software Update Services Deployment White Paper, которая имеется на Web-странице Software Update Services (http://www.microsoft.com/windows2000/ windowsupdate/sus/default.asp).

Web-страница Software Update Services содержит также ссылку на ресурс, где можно загрузить пакет SUS. Завершив процесс загрузки, необходимо открыть файл sussetup.msi. На экране появится окно мастера Setup Wizard. Просмотрев страницу приветствия (Welcome page), а также лицензионное соглашение с конечным пользователем (End User License Agreement, EULA), следует ответить на предложенный вопрос, а затем выбрать пункт Typical installation и щелкнуть на кнопке Next. Когда мастер отобразит URL сервера SUS, нужно записать его. Этот указатель понадобится для настройки клиентов AU. Затем необходимо щелкнуть на кнопке Install.

В процессе установки пакет SUS запускает средство IIS Lockdown Tool, которое обеспечивает защиту IIS на сервере SUS. Таким образом хакеру, сумевшему взломать сервер SUS, закрывается доступ к клиентам AU. IIS Lockdown Tool отключает функции, которые представляют угрозу для безопасности системы; иначе говоря, он может прервать выполнение существующих приложений для Web. Если на сервере SUS размещаются другие Web-приложения и эти приложения используют в своей работе такие компоненты, как WWW Distributed Authoring and Versioning (WebDAV), Microsoft FrontPage Server Extensions или FTP, могут возникнуть проблемы. Возможно, удастся наладить «мирное сосуществование» служб SUS с этими приложениями, но не исключено, что после установки SUS придется вновь активизировать некоторые функции. Полное описание изменений, вносимых службами SUS в IIS, можно найти в приложении A к «Белой книге» «Deploying Microsoft Software Update Services».

Наконец, мастер отобразит страницу Finish и представит URL Web-страницы административного управления пакетом SUS. Нужно записать и этот указатель. В дальнейшем он понадобится для управления сервером SUS.

Настройка сервера SUS

Следующий этап — настройка сервера SUS. Введя соответствующие параметры, администратор определяет, как и когда сервер SUS будет выполнять синхронизацию с серверами Windows Update и какие модули получат санкцию на развертывание в сети.

Настройку сервера SUS можно выполнять с любого компьютера сети, на котором установлен браузер IE 5.5 или более поздней версии. Следует запустить браузер IE и ввести в качестве URL либо имя из локальной intranet (например, //server/SUSAdmin), либо имя DNS (например, server.acme.com/SUSAdmin). На экране появится страница приветствия, изображенная на Экране 1. На левой панели этой страницы имеется несколько важных ссылок, в том числе ссылки Set options, Synchronize server и Approve updates.

Ссылка Set options. Когда пользователь активизирует эту ссылку, на экране появляется страница Set options. Внутри страницы имеется оснащенное средствами прокрутки окно с пятью разделами.

  • В разделе Select a proxy server configuration нужно указать, следует ли использовать конфигурацию с учетом proxy-сервера. Если соединение компьютеров сети осуществляется через proxy-сервер, можно настроить службы SUS таким образом, чтобы они предъявляли свои учетные данные proxy-серверу и именно через него обращались к серверам Windows Update. Но в рассматриваемом примере нужно выбрать вариант Do not use a proxy server to access the Internet.
  • В разделе Specify the name your clients use to locate this update server можно при необходимости изменять имя SUS-сервера. По умолчанию в поле Server name будет отображаться NetBIOS-имя сервера SUS, но, если функция разрешения имен NetBIOS в сети отключена, можно заменить его именем DNS или IP-адресом. Кроме того, придется еще раз ввести имя сервера SUS в настройки клиента AU. Почему это имя приходится вносить в настройки как сервера, так и клиента - непонятно.
  • В разделе Select which server to synchronize content from необходимо указать источник данных, с которым серверу SUS предстоит синхронизировать содержимое. В распоряжении администратора два варианта: Synchronize directly from the Microsoft Windows Update servers (этот пункт предлагается по умолчанию) и Synchronize from a local Software Update Services server. Второй вариант позволяет синхронизировать сервер SUS с содержимым другого сервера SUS и применяется для обеспечения масштабирования. При выборе второго варианта администратор должен указать NetBIOS-имя или DNS-имя другого сервера. Можно также выбрать пункт Synchronize list of approved items updated from this location (replace mode). После выбора данного варианта сервер SUS будет не только синхронизировать свой каталог модулей с другим сервером SUS, но и станет к тому же сверяться с хранящимся на другом сервере списком разрешенных к установке модулей коррекции.
  • В разделе Select how you want to handle new versions of previously approved updates нужно указать, как службы SUS должны реагировать на новые версии модулей коррекции. Порой бывает, что в программе коррекции обнаруживается ошибка, и тогда Microsoft приходится готовить повторный выпуск модуля. Что же будет происходить в случае, когда администратор уже санкционировал развертывание неисправного модуля? Нужно ли, чтобы система SUS поручала клиентам AU автоматически устанавливать новую версию? Если так, то следует выбрать вариант Automatically approve new versions of previously approved updates. Но если желательно, чтобы службы SUS рассматривали новую версию ранее выпущенного модуля как новую программу коррекции и не приступали к процессу развертывания до получения санкции, необходимо выбрать вариант Do not automatically approve new versions of previously approved updates. I will manually approve these later.
  • В разделе Select where you want to store updates нужно указать, где планируется хранить модули коррекции. SUS всегда загружает каталог, но вопрос о том, будут ли модули загружаться на сервер SUS или оставаться на серверах Windows Update, решает администратор. В рамках данного примера следует выбрать вариант Maintain the updates on a Microsoft Windows Update server. Если потребуется загружать модули на сервер SUS, нужно выбрать вариант Save the updates to a local folder, а затем указать интересующие языки для модулей.

Выбрав соответствующие настройки для пяти упомянутых разделов страницы, следует сохранить их, щелкнув Apply. Теперь можно составлять график синхронизации SUS и утверждать список модулей, которые предполагается развернуть в сети.

Ссылка Synchronize server. Когда пользователь активизирует ссылку Synchronize server, на экране появляется страница Synchronize server. На этой странице отображается два варианта: Synchronize Now, на котором нужно щелкнуть в том случае, если предстоит немедленно приступить к синхронизации данных вручную, и Synchronization Schedule. Если щелкнуть на втором пункте, можно приступать к составлению графика синхронизации в автоматическом режиме. Следует щелкнуть на варианте Synchronization Schedule. Когда появится представленное на Экране 2 диалоговое окно Schedule Synchronization, можно будет настроить службу SUS так, что синхронизацию придется выполнять только при выводе данного окна (т. е. график не составляется) или предписать проводить синхронизацию раз в день в определенное время либо раз в неделю в определенный день и в определенное время. Если будет выбран вариант с составлением графика, я рекомендую изменить предлагаемое по умолчанию время синхронизации (3.00 ч утра): дело в том, что в такое время серверы Windows Update будут, скорее всего, работать с исключительно большой нагрузкой, ибо именно в этот час стандартно настроенные серверы SUS запрашивают новые модули коррекции. Можно указать, сколько раз службы SUS должны возобновлять попытки проведения синхронизации данных, если процесс закончится неудачей. По умолчанию предпринимаются три попытки. Пауза между попытками составляет 30 мин.

Экран 2. Настройка расписания.

В рамках нашего примера следует предложить SUS выполнять синхронизацию ежедневно в 1.00 ночи и нажать OK. Теперь на странице Synchronize server указывается дата и время следующего запланированного сеанса синхронизации. Щелкните на кнопке Synchronize Now. SUS отображает название системы, синхронизация с которой выполняется, а также ход процесса синхронизации.

Ссылка Approve updates. При нажатии на ссылку Approve updates на экране появляется список всех имеющихся в каталоге модулей коррекции, и можно указать статус состояния этих модулей, как показано на Экране 3. Содержимое каталога можно сортировать по дате создания модуля, по названию, по платформе (XP или Windows 2000) или по статусу. Модуль может иметь статус Approved (утвержден для распространения среди соответствующих клиентов AU), Not Approved (не утвержден для предоставления какому-либо клиенту AU), New (недавно загруженный модуль, еще не утвержденный на распространение), Updated (новая версия ранее выпущенного модуля) или Temporarily Unavailable (модуль недоступен для загрузки).

Если бы можно было прокрутить список модулей, представленный на Экране 3, стало бы понятно, что я санкционировал распространение всех пяти программ коррекции для системы безопасности IE, ассоциированных с Q321232: IE 6.0 для XP, IE 6.0 для Windows 2000, IE 5.5 SP2, IE 5.5 SP1 и IE 5.01. И хотя я утвердил развертывание всех упомянутых модулей, каждый клиент AU устанавливает лишь тот модуль, который подходит для соответствующей версии IE.

Чтобы санкционировать распространение одного или нескольких модулей, нужно выставить флажок рядом с каждым отобранным модулем и щелкнуть Approve. На экране появится диалоговое окно с запросом о подтверждении; следует нажать Yes. Затем SUS выведет диалоговое окно со списком получивших «добро» модулей и предложит принять условие лицензионного соглашения (EULA) по этим программам. При некоторых значениях разрешения экрана и настройках браузера кнопки Accept и Don?t Accept могут не уместиться в диалоговом окне, если оно слишком мало для отображения всех модулей. Возможность изменения размеров данного окна не предусмотрена. Но можно установить курсор мыши в окне списка и нажать на клавишу табуляции, тогда кнопки Accept и Don?t Accept появятся на экране. Необходимо щелкнуть на кнопке Accept, и выбранные модули получат санкцию на распространение среди клиентов AU.

Установка AU

Чтобы компьютеры сети могли получать от сервера SUS обновляемую информацию, нужно будет установить на них компонент Automatic Updates. Установку AU можно осуществлять двумя способами:

  • модернизировать компьютеры Windows XP до уровня SP1, а компьютеры Windows 2000 - до уровня SP3. В ходе такой модернизации компонент AU устанавливается автоматически;
  • загрузить AU с Web-страницы Software Update Services и установить в качестве автономного компонента.

Но в любом случае процесс установки можно автоматизировать с помощью групповой политики и службы AD. Во врезке «AU в составе пакета обновлений» подробно описывается процедура установки AU как части Windows 2000 SP3 с помощью программных средств. В «Белой книге» «Deploying Microsoft Software Update Services» содержатся инструкции по программным средствам установки AU в качестве автономного компонента.

Настройка клиентов AU

Конфигурирование клиентов AU сводится к установке значений нескольких параметров в реестре. Но если в сети имеется множество компьютеров, выполнение этих операций вручную может занять слишком много времени. Для настройки клиентов AU можно использовать такое средство, как групповая политика. Параметры реестра, о которых идет речь, являются новыми, поэтому может случиться, что при редактировании объектов групповых политик Group Policy Objects (GPO) они будут не видны. Это будет зависеть от того, какой пакет обновлений имеется на рабочей станции. Если администратор редактирует GPO с компьютера, на котором установлен пакет Windows 2000 SP3, значит, все готово к установке параметров для клиента AU. Но для того, чтобы редактировать GPO с компьютера, на котором установлен пакет Windows 2000 SP2 или более ранней версии, придется установить SP3 или вручную создать новый административный шаблон для настройки клиентов AU. Чтобы вручную добавить новый административный шаблон, необходимо следовать приведенным ниже инструкциям.

  1. В редакторе групповых политик GPE (Group Policy Editor) нужно найти раздел Computer Configuration и щелкнуть правой клавишей мыши на пункте Administrative Templates. Выделите пункт Add/Remove Templates, затем щелкните на кнопке Add. Обратитесь к ресурсам любого из компьютеров, где вы уже установили SP3 или AU, и откройте папку \%windir%inf. Выберите файл wuau.adm, щелкните Open, а затем - Close.
  2. В редакторе GPE следует выделить Computer Configuration, Administrative Templates, Windows Components, Windows Update, затем щелкнуть на папке Windows Update. На правой панели появится два правила: Configure Automatic Updates и Specify intranet Microsoft update service location.
  3. Выполните двойной щелчок на правиле Configure Automatic Updates. В представленном на Экране 4 диалоговом окне Configure Automatic Updates Properties нужно выбрать пункт Enabled. В списке Configure automatic updating следует выбрать один из вариантов:
    1. - Notify for download and notify for install;
    2. - Auto download and notify for install;
    3. - Auto download and schedule the install.

    Варианты 2 и 3 позволяют администратору локальной машины задавать время загрузки и установки модулей коррекции. Когда администратор зарегистрирован в системе и имеются доступные для загрузки или установки модули, клиент AU извещает администратора об этом. Если администратор щелкает на данном сообщении, клиент AU открывает диалоговое окно, в котором пользователь может щелчком мыши дать одну из следующих команд: Remind Me Later или Install.

    Выбрав вариант 4, можно будет настроить клиент AU на автоматическую установку новых модулей в указанное время ежедневно или раз в неделю. Клиенты AU часто обращаются к серверу SUS с тем, чтобы проверить, не поступили ли новые утвержденные для распространения модули коррекции. Когда клиент AU обнаруживает недавно получивший санкцию модуль, пригодный для установки на данной машине, он загружает его в папку временного хранения, которая пополняется либо с сервера SUS, либо с сервера Windows Update. Клиент AU регулирует параметры процесса загрузки (т. е. ширину выделенной ему полосы пропускания) так, чтобы этот процесс не замедлял работу сети. Клиенты AU способны выполнять загрузку модулей в режиме с перерывами (которые могут быть связаны, к примеру, с повторной инициализацией системы). После того как модули помещены в папку для временного хранения, клиент AU переходит в режим ожидания и при наступлении времени, заданного для установки модулей, выполняет эту операцию. Завершив настройку правила Configure Automatic Updates, следует нажать OK.

  4. Выполните двойной щелчок на правиле Specify intranet Microsoft update service location. В представленном на Экране 5 диалоговом окне Specify intranet Microsoft update service location Properties нужно выставить флажок Enabled. В текстовом окне Set the intranet update service for detecting updates требуется ввести первый из записанных ранее указателей URL (т. е. указатель на сервер SUS, к которому клиент AU должен периодически обращаться в ожидании модулей, только что получивших разрешение на распространение). В текстовое окно Set the intranet statistics server следует ввести URL, указывающий на сервер IIS, которому клиент AU должен направлять отчеты о своих действиях. Как правило, это тот же указатель, что и предыдущий. Щелкните на кнопке OK и закройте редактор GPE.
  5. Дайте команду на применение созданной групповой политики. Компьютеры "сверяются" с групповыми политиками раз в 90 мин плюс-минус произвольное отступление от этого значения на срок до 30 мин. Таким образом, возможно, придется еще целых 2 ч ждать того момента, когда компьютеры домена начнут обращаться на сервер SUS за получившими санкцию на распространение модулями. Чтобы форсировать немедленное применение групповой политики на машине Windows 2000, следует зарегистрироваться на данном компьютере, открыть окно командной строки и ввести команду

    secedit /refreshpolicy machine_policy

    После этого компьютер должен начать загрузку всех программ коррекции, которым дали "добро". На машине Windows XP для получения того же результата нужно выполнить команду Gpupdate без указания параметров.

Экран 4. Настройка политики автоматического обновления.

Экран 5. Настройка политики Specify intranet Microsoft update service location.

Итак, сервер SUS настроен таким образом, чтобы синхронизировалось только содержимое каталога. Поэтому клиенты AU будут загружать модули коррекции с сервера Windows Update. Придя на следующее утро на работу, зарегистрируйтесь на одном из компьютеров и запустите оснастку Add/Remove Programs из панели управления. На экране вы увидете названия модулей, распространение которых санкционировалось ранее.

Когда появятся новые пакеты обновлений, можно будет устанавливать их с помощью программы IntelliMirror. С такими помощниками, как IntelliMirror и SUS, администратору не составляет труда быстро и в автоматическом режиме развертывать модули коррекции для системы безопасности на машинах сети.


AU в составе пакета обновлений

Пользоваться службами Microsoft Software Update Services (SUS) можно только тогда, когда на клиентских машинах установлен компонент Automatic Update (AU). Один из способов установки AU предполагает модернизацию компьютеров Windows XP до уровня Service Pack 1 (SP1), а компьютеров Windows 2000 — до уровня SP3. При выполнении такой модернизации компонент AU устанавливается автоматически. Рассмотрим для примера, как можно программным путем установить компонент AU, являющийся частью пакета Windows 2000 SP3.

  • Создайте в сети общедоступную папку w2ksp3. С Web-страницы http://www.microsoft.com/windows2000/ downloads/servicepacks/sp3/download.asp загрузите файл w2ksp3.exe и сохраните его в только что созданной папке.
  • Откройте окно командной строки и сделайте папку w2ksp3 текущим каталогом. Выполните команду

    w2ksp3.exe -x

    и подтвердите имя папки, в которую собираетесь распаковывать файлы.

  • Откройте оснастку Active Directory Users and Computers консоли Microsoft Management Console (MMC). Если нужно развернуть пакет SP3 на всех машинах домена, следует выбрать корневой каталог домена. Если же предполагается установить пакеты SP3 всего лишь на группе компьютеров, необходимо выбрать соответствующую организационную единицу (organizational unit, OU). Правой клавишей мыши нужно щелкнуть на выбранном домене или OU и в контекстном меню выбрать пункт Properties. В диалоговом окне Properties следует выбрать закладку Group Policy. Создайте новый объект групповой политики Group Policy Object (GPO) или отредактируйте имеющийся.
  • В меню редактора групповых политик Group Policy Editor (GPE) следует выбрать пункты Computer Configuration, Software Settings, Software installation. Правой клавишей мыши нужно щелкнуть на пункте Software installation и выбрать NewPackage. В диалоговом окне Open требуется ввести имя папки w2ksp3 в нотации UNC. Необходимо щелкнуть на кнопке Open, чтобы на экране отобразились папки более низкого уровня, созданные программой w2ksp3.exe внутри папки w2ksp3.
  • Выполните двойной щелчок на папке i386, затем дважды щелкните на папке Update; в ней находится файл update.msi. В этом файле содержатся все данные, необходимые операционной системе Windows 2000 для автоматической установки пакета SP3. Следует выделить файл update.msi и щелкнуть на кнопке Open. Когда Windows 2000 предложит выбрать вариант Assign или вариант Advanced, нужно выделить пункт Assign и нажать OK. После этого Windows 2000 сконфигурирует объект GPO таким образом, чтобы пакет SP3 был установлен на каждом компьютере, к которому применима данная групповая политика.

Чтобы увидеть, как в реальности происходит развертывание, можно перезапустить один из компьютеров Windows 2000. После загрузки, но до того, как вы сможете зарегистрироваться в системе, Windows 2000 установит на этой машине пакет SP3. По завершении установки Windows 2000 выполнит повторную инициализацию системы. Пройдет совсем немного времени, и на всех машинах будет установлен компонент AU.

Рэнди Франклин Смит — редактор Windows & .NET Magazine и президент компании Monterey Technology Group, которая занимается обучением и консалтингом в области защиты Windows NT. Связаться с ним можно по адресу: rsmith@montereytechgroup.com.