Windows Server 2012 R2 WSUS-5：組策略配置自動更新

若是公司具有域環境的話，咱們能夠根據不一樣的計算機組的要求，來配置不一樣的WSUS的自動更新策略。好比測試機器連接一套GPO，生產服務器連接一套GPO，針對於測試環境和生產環境的服務器和客戶端的策略都是不同，能夠進行自定義設置的。固然若是機器比較少，環境比較簡單，也能夠直接新建一個覆蓋全域的GPO，來作WSUS的策略。

在個人一級WSUS服務器上，我新建了四個計算機組，這四個計算機組都對應到AD中相應的計算機的OU（關於計算機組的設置和客戶端目標的設置將在下篇文章介紹），咱們能夠爲域級別、測試計算機組OU和生產計算機組OU來制定不一樣的WSUS組策略。

首先咱們來在default domain policy作一個影響全域計算機的自動更新策略。

在組策略管理控制檯 (GPMC) 中，瀏覽到默認的default domain policy的 GPO，而後單擊「編輯」。

在 GPMC 中，依次展開「計算機配置」、「策略」、「管理模本」和「Windows 組件」，而後單擊「Windows Update」。

在詳細信息窗格中，雙擊「配置自動更新」。

單擊「已啓用」，而後單擊「配置自動更新」設置下的如下選項之一：

• 下載通知和安裝通知。該選項會在你下載和安裝更新以前通知登陸的管理用戶。

• 自動下載和通知安裝。該選項將自動開始下載更新，而後在安裝更新以前通知登陸的管理用戶。

• 自動下載和計劃安裝。該選項自動開始下載更新，而後在你指定的當天和時間安裝更新。

• 容許本地管理員選擇設置。該選項可以讓本地管理員使用控制面板中的自動更新來選擇配置選項。例如，他們能夠選擇計劃的安裝時間。本地管理員不能僅用自動更新。

這裏我選擇3-自動下載並通知安裝，而後單擊「肯定」。

在 Windows Update 詳細信息窗格中，雙擊「指定 Intranet Microsoft 更新服務位置」。

單擊「已啓用」，而後在「設置 Intranet 更新服務以檢測更新」框和「設置 Intranet 統計服務器」框中鍵入相同 WSUS 服務器的 URL例如，在這兩個框中（其中服務器名稱是 WSUS 服務器的名稱），鍵入 http://servername，而後單擊「肯定」。

當你鍵入 WSUS 服務器的 Intranet 地址時，確保指定準備使用哪一個端口。默認狀況下，WSUS 使用適用於 HTTP 的端口 8530 以及適用於 HTTPS 的端口 8531。例如，若是使用 HTTP，則應鍵入 http://servername:8530。

能夠設置「自動更新檢測的頻率」，默認是22小時，咱們能夠根據實際的須要來調整間隔。如圖。

能夠啓用「對於已登陸用戶的計算機，計劃的自動更新安裝不執行從新啓動」，這樣的話，當計算機存在已登陸的用戶的時候，裝完更新是否重啓取決於用戶的行爲，計算機不會強制重啓，如圖。

對於某些不會中斷windows服務，也不會須要重啓服務器才生效的更新，咱們能夠配置啓用「容許自動更新當即安裝」，如圖。

全域級別的組策略設置完成後，咱們還能夠針對測試組合生產組來配置不一樣的自動更新策略。

下面咱們來爲測試服務器組配置一個自定義的GPO，該GPO的優先級會高於默認的域組策略，因此該GPO所連接到的計算機OU內的計算機客戶端都會優先應用該策略。

右擊「測試服務器組」計算機OU，選擇「在這個域中建立GPO並在此處連接」，如圖。

輸入新建的GPO的名稱，如圖。

而後咱們右擊新建的GPO，選擇編輯，如圖。

而後咱們就能夠爲該GPO設置不一樣的自動更新策略了，全部連接到這個策略的計算機OU都會應用該策略。

通常來講：測試環境的服務器和客戶端咱們能夠配置自動下載通知安裝或者自動下載計劃安裝，對於生產環境的客戶機咱們能夠設置自動下載並計劃安裝，對於生產服務器組，若是須要手動控制打補丁的行爲和重啓時間，咱們能夠配置自動下載並通知安裝，具體要看需求。

下圖是我爲生產客戶端計算機組設置的自動下載並計劃安裝的策略。

設置策略以後，客戶端計算機幾分鐘後，計算機將出如今 WSUS 管理控制檯中的「計算機」頁上。對於配有基於域的組策略對象的客戶端計算機，組策略將花費大約 20 分鐘才能將新的策略設置應用於客戶端計算機。默認狀況下，組策略會在後臺每隔 90 分鐘更新一次，並將時間做 0 到 30 分鐘的隨機調整。若是你但願更快地更新組策略，可在客戶端計算機上打開「命令提示符」窗口，並鍵入 gpupdate /force。