我们正在考虑在工作中实施 WSUS。最大的问题是使用组。如果一台机器成为两个不同组的成员,并且一个组被批准进行更新,而另一个组没有,那么该机器会被批准进行更新吗?微软的大多数产品都使用“最严格”的理念,但我在 WSUS 中找不到这种理念的证据。
答案1
WSUS 计算机组与 AD 组不同。在 WSUS 中,一台计算机一次只能属于一个组。因此,组:计算机是 1:M(一对多)
这与 AD 不同,AD 中的 Group:Computer 是 M:M(多对多)。您可以将多台计算机放入一个组中,并且任何计算机都可以同时属于多个组。
注意事项:
尽管存在上述情况,但 WSUS 组仍处于层级结构中。如果您批准“树上”的更新,它通常会继承到子组,并最终被批准用于下面的所有计算机。但是,如果您愿意,可以在 WSUS 中按每次更新进行控制。
可以配置一个系统,以便:AD 组成员身份结果是WSUS 组策略应用程序结果是计算机被放入特定目标组。最终将仅应用 1 个 WSUS 目标组,这由通常的组策略继承顺序决定。