用于部署更新的 WSUS 组策略设置

在之前的一篇文章中，我们详细描述了在 Windows Server 2012 R2/2016 上安装 WSUS 服务器。配置更新服务器后，您需要配置 Windows 客户端（服务器和工作站）才能使用 WSUS 服务器接收更新。因此，网络上的所有 Windows 客户端都应该从内部更新服务器接收更新，而不是通过 Internet 从 Microsoft 更新服务器接收更新。在本文中，我们将了解如何使用 Active Directory 域组策略 (GPO) 配置客户端以使用 WSUS 服务器。

AD 组策略允许管理员自动将计算机分配到不同的 WSUS 组，因此 WSUS 管理员无需在 WSUS 控制台中手动在组之间移动计算机并使这些组保持最新状态。将客户端分配到不同的目标 WSUS 组基于客户端注册表中的标签（标签由 GPO 或直接注册表修改设置）。这种分配到 WSUS 组的客户端类型称为客户端定位。

预计我们的网络将使用两种不同的更新策略：针对服务器的单独更新策略和针对工作站的另一种更新策略。需要在 WSUS 控制台的“所有计算机”部分中创建这两个组。

提示。客户端使用WSUS服务器的策略很大程度上取决于Active Directory组织单元（OU）的组织结构和公司中的更新安装规则。在本文中，我们将尝试了解使用组策略安装 Windows 更新的基本原理。

首先，您必须在WSUS控制台中指定计算机分组的规则（目标）。默认情况下，WSUS 控制台中的计算机由服务器管理员手动分配到组中（服务器端定位）。它不适合我们，因此我们将指定使用客户端目标（使用组策略或注册表参数）将计算机分配到组中。为此，请在 WSUS 控制台中单击选项，然后打开计算机。将值更改为“使用计算机上的组策略或注册表设置”。

现在您可以创建 GPO 来配置 WSUS 客户端。打开组策略管理 (GPMC.msc) 并创建两个新的组策略：ServerWSUSPolicy 和 WorkstationWSUSPolicy。

适用于 Windows 服务器的 WSUS 组策略

让我们从服务器策略的描述开始——ServerWSUSPolicy。

负责 Windows Update 服务操作的组策略设置位于以下 GPO 部分：计算机配置 -> 策略-> 管理模板-> Windows 组件-> Windows Update。

在我们的环境中，我们建议使用此策略在 Windows 服务器上安装来自 WSUS 的更新。属于此策略的所有计算机都被分配到 WSUS 控制台中的服务器组。此外，我们希望在收到更新后禁用服务器上的自动更新安装。在更新期间，客户端只需将可用更新下载到本地驱动器，在系统托盘中显示相应的通知，然后等待管理员手动开始安装（本地或使用 PSWindowsUpdate 模块远程）。这意味着，未经管理员确认，生产服务器不会自动安装更新并重新启动（通常这些任务由系统管理员作为每月计划维护的一部分执行）。为了实施这样的计划，让我们制定以下政策：

• 配置自动更新： 启用。 3 - 自动下载并通知安装 - 客户端自动下载新更新并通知您；

• 指定内网 Microsoft 更新服务位置：启用。设置用于检测更新的内网更新服务：http://hq-wsus.a-d.site:8530、设置内网统计服务器：http://hq-wsus.a-d.site:8530 - 设置本地 WSUS 服务器和统计服务器的地址（通常它们是相同的）；

• 对于计划的自动更新安装，登录用户不会自动重新启动：启用 - 如果用户会话打开，则禁用自动重新启动；

• 启用客户端定位：启用。此计算机的目标组名称：服务器 - 在 WSUS 控制台中，将客户端分配到服务器组。

注意。配置更新策略时，我们建议您熟悉 Windows Update GPO 部分每个选项中可用的所有设置，并设置适合您的基础结构和组织的参数。

适用于 Windows 工作站的 WSUS 组策略

我们假设与服务器策略相反，客户端工作站的更新在收到更新后立即在夜间自动安装。安装更新后计算机应自动重新启动（5 分钟内通知用户）。

在此 GPO (WorkstationWSUSPolicy) 中，我们指定：

• 允许自动更新立即安装： 禁用 - 禁用收到更新后立即安装；

• 允许非管理员接收更新通知： 启用-向非管理员显示新更新的通知并允许手动安装；

• 配置自动更新：启用。配置自动更新：4 - 自动下载并计划安装。计划安装日期：0 - 每天。计划安装时间：05:00 - 客户端下载新更新并计划在凌晨 5:00 自动安装；

• 此计算机的目标组名称： 工作站 - 在 WSUS 控制台中，将客户端分配到工作站组；

• 对于计划的自动更新安装，登录用户不会自动重新启动： 已禁用；

• 指定 Intranet Microsoft 更新服务位置：启用。设置用于检测更新的内网更新服务：http://hq-wsus.a-d.site:8530，设置内网统计服务器：http://hq-wsus.a-d.site:8530 - 是公司 WSUS 服务器的地址。

在 Windows 10 1607 及更高版本中，尽管您已指定从内部 WSUS 接收更新，Windows 10 仍可能尝试访问 Internet 上的 Windows 更新服务器。此“功能”称为双重扫描。要禁止从 Internet 接收更新，您需要另外启用策略不允许更新延迟策略导致针对 Windows Update 的扫描。

提示。为了让公司内的计算机安装所有可用的补丁，可以配置这两个策略，以便强制在客户端启动更新服务（wuauserv）。为此，请在计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 系统服务下找到 Windows Update 并将其设置为自动启动（自动）。

将 WSUS 组策略分配给 AD OU

下一步是将创建的策略分配给相应的 Active Directory 容器 (OU)。在我们的示例中，OU 结构非常简单：有两个容器 - 服务器（包含公司的所有服务器，域控制器除外）和 WKS（工作站 - 用户计算机）。

提示。我们只考虑将 WSUS 策略绑定到客户端的相当简单的方法。在现实世界中，可以将单个 WSUS 策略链接到所有域计算机（GPO 分配给域根），跨不同的 OU 分布不同类型的客户端（如在我们的示例中，我们为服务器和工作站创建了不同的 WSUS 策略）。在大型分布式域中，值得将不同的 WSUS 服务器链接到 AD 站点，或者基于 WMI 过滤器分配 GPO，甚至组合这些方法。

要将策略分配给 OU，请在组策略管理控制台中单击正确的 OU，选择链接现有 GPO，然后检查相应的策略。

提示。不要忘记单独的 OU - 域控制器。在大多数情况下，WSUS 服务器 策略应链接到此容器。

您必须以相同的方式将 WorkstationWSUSPolicy 分配给名为 WKS（Windows 工作站所在的位置）的 AD 容器。

仍然需要更新客户端上的组策略以将客户端绑定到 WSUS 服务器：

gpupdate /force

我们通过组策略设置的所有 Windows 更新设置都应显示在客户端的注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 中。

以下 reg 文件可用于将 WSUS 设置传输到无法使用 GPO 配置更新设置的其他计算机（工作组、隔离网段、DMZ 等中的计算机）

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://hq-wsus.a-d.site:8530"
"WUStatusServer"="http://hq-wsus.a-d.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000 -
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

使用 rsop.msc 管理单元也可以方便地控制客户端上应用的 WSUS 设置。

过一段时间（取决于更新数量和 WSUS 服务器的带宽）检查托盘中是否有新更新的弹出通知。客户端（客户端的名称、IP、操作系统、补丁百分比和上次状态更新的日期）应显示在 WSUS 控制台中的相应组中。由于我们使用 GPO 将计算机和服务器分配到不同的 WSUS 组，因此它们将仅收到批准在相应 WSUS 组上安装的更新。

注意。 如果客户端上没有出现更新，建议仔细检查 Windows 更新服务日志 (C:\Windows\WindowsUpdate.log)。请注意，Windows 10 (Windows Server 2016) 使用不同格式的 WindowsUpdate.log 文件。

客户端将更新下载到本地文件夹 C:\Windows\SoftwareDistribution\Download。

要立即开始在 WSUS 服务器上搜索新更新，您需要运行以下命令：

wuauclt /detectnow

另外，有时您必须强制客户端在 WSUS 服务器上重新注册：

wuauclt /detectnow /resetAuthorization

在特别困难的情况下，您可以尝试按如下方式修复 wuauserv 服务。如果在客户端上接收更新时出现错误 0x80244010，请尝试使用自动更新检测频率策略将在 WSUS 服务器上检查更新的频率更改为 3-4 小时。

在接下来的文章中，我们将描述 WSUS 服务器上更新批准的特殊性，以及如何使用 PowerShell 在组之间将批准的更新传输到 WSUS 服务器。