V případě, že jsou všechny počítače v organizaci umístěny na stejném webu, je aktualizační server WSUS přiřazen elementárně pomocí skupinových zásad. Pokud je infrastruktura IT kopání dostatečně distribuována a pro snížení zátěže komunikačních kanálů je použito několik pobočkových serverů WSUS, je situace s ustanovením serveru WSUS komplikovaná..
Nejjednodušším a nejlogičtějším řešením by bylo rozdělení všech počítačů organizace do různých skupin (obvykle územních / regionálních) a vytvoření samostatných OU (kontejnerů) Active Directory od nich. V tomto případě lze každé OU přiřadit individuální skupinovou politiku označující regionální server WSUS, ze kterého by se měly aktualizace stahovat. Tato technika vazby na servery WSUS se používá ve většině velkých organizací. Avšak ve společnostech, jejichž obchodní procesy vyžadují poměrně mobilní povahu práce zaměstnanců pohybujících se mezi územními divizemi s jejich notebooky, má toto pracovní schéma své nevýhody. Opravdu, v případě, že se uživatel přestěhoval do jiné podsítě, jeho počítač pokračuje v stahování aktualizací ze „svého“ serveru WSUS a načítání poměrně drahých kanálů WAN s zbytečným provozem.
Poznámka:. Nepovažujeme možnost přesouvání mobilních počítačů mezi OU kvůli jeho složitosti.Mnohem elegantnějším řešením je svázat zásady aktualizace WSUS nikoli s OU, ale s weby Active Directory, které svou povahou zohledňují topologii sítě organizace. V tomto případě, když přesunete jakýkoli počítač do jiné podsítě (webu), počítač se automaticky přepne a začne používat nejbližší server WSUS.
V tomto článku se podíváme na metodologii přiřazování serveru WSUS prostřednictvím skupinových zásad založených na serverech Active Directory..
Nejprve se musíte ujistit, že jsou aktivní weby služby Active Directory a že k nim jsou připojeny jejich podsítě IP. Po konfiguraci webů AD se počítače při registraci v popsané podsíti automaticky spojí s požadovaným webem.
Tip. Weby a podsítě jsou konfigurovány pomocí modulu snap-in mmc Active Directory Sites and Services..Dalším krokem je vytvoření skupinových zásad, které určují možnosti aktualizace ze serverů WSUS. Bylo by logické vytvořit jednu zásadu (například s názvem WSUS_Clients) s následujícím nastavením v sekci Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows-> Windows Update. Tato zásada obsahuje typická nastavení služby WSUS, která jsou stejná pro všechny organizační počítače..
- Povolit automatickou instalaci: Pravda
- Konfigurovat automatické aktualizace: 4 (Automatické stahování a instalace harmonogramu)
- Povolit cílení na straně klienta: Počítače
Dále pro každý server (nebo WSUS) vytvořte samostatnou zásadu, která odkazuje na konkrétní server WSUS. Například zásady GPO pro oblast Irkutsk (pojmenované Irkutsk_WSUS) by vypadaly takto:
Určete umístění intranetové aktualizace společnosti Microsoft: Povoleno
- Nastavte službu aktualizace intranetu pro detekci aktualizací: http: // IrkutskWSUS: 8530
- Nastavit statistický server intranetu: http: // IrkutskWSUS: 8530
A konečně musíte vytvořené zásady přiřadit odpovídajícím webům. Ve výchozím nastavení se servery AD nezobrazují v konzole pro správu zásad skupiny. Chcete-li je zobrazit, přejděte na stromovou úroveň (weby) ve stromu GPM a v místní nabídce Zobrazit stránky vyberte weby, které chcete zobrazit v konzole.
Jakmile se weby služby Active Directory objeví v konzole, klepněte na ovládací panel na požadovaném webu a vyberte nabídku Propojte existující GPO av zobrazeném okně určete zásady skupiny, které chcete svázat s tímto webem. 
Je tedy možné uspořádat systém pro automatické propojení klientů se serverem WSUS na základě serveru AD, na kterém je počítač aktuálně umístěn..
Tip. V případě, že něco nefunguje podle očekávání, lze diagnostiku provést pomocí rsop.msc (zkontrolujte přiřazené zásady) a týmy nltest / dsgetsite (umožňuje určit web, na kterém je počítač registrován).
