我们正在运行最新的 WSUS 服务器 3.0 sp-something-or-other。将管理模板添加到域组策略中,以便让每个人都加入池中,可以这么说。
现在,出于各种原因,我需要将两台服务器从 WSUS 系列中移除。它们需要重新从 Microsoft 获取更新。
我创建了一个新的 OU(“非 WSUS 服务器”)。我创建了一个新的 GPO 作为默认域策略(“非 WSUS”)的副本,并删除了该 wsus 管理模板。
从 WSUS 中删除了 2 个服务器。但它们不断被添加回来。显然我在这里漏掉了一步——有什么想法吗?
在撰写本文时,我注意到我的“非 WSUS 服务器”OU“组策略继承”列出了我的非 WSUS GPO,然后列出了其下的默认域策略。这就是让我困惑的地方吗?
(您能看出我不是 GPO 专家吗?;-))
答案1
如果 WSUS 设置在默认域级别,并且新 OU 上没有定义 WSUS 策略,那么您在这些 PC 上获得的设置将是 WSUS 设置,根据 GPO 规则,这是正确的行为。您需要做的是在 AD 结构中创建一个新 OU,将所有计算机(当然,DC 除外)移至该 OU,在该 OU 上定义 WSUS 策略,然后一切就会按您希望的方式运行。
答案2
我将使用组策略建模向导来确定究竟应用了什么策略到 OU。另外,听起来您正在将默认域策略链接到 OU...您不需要这样做(策略通过 AD 向下流动,“最接近”的策略具有最高优先级)。
另外,请记住,策略处理需要一些时间。您可能需要运行gpupdate /force在您的服务器上。