我已经在 Windows Server 2008 机器上设置了 WSUS,并且它只通过我的机器向其报告即可运行。现在我准备在整个公司范围内大规模推广,我正在尝试找出实际添加和分组客户端计算机的最佳方法。它设置为使用组策略来添加客户端。我创建了一个新的组策略对象来严格定义 WSUS 设置。
我的问题是,您能根据用户 AD 对象将此应用于计算机吗?还是必须通过计算机 AD 对象?我之所以问这个问题,是因为在 AD 中,我们有 100 个左右的用户按部门分组,但是所有电脑在 Domain\Computers 中只是杂乱无章。我面临的任务是,我们不希望所有计算机都连接到 WSUS(例如程序员的计算机)。因此,在这种情况下,我是否只能使用我们已经创建的由“用户”成员组成的组,还是需要为每个部门创建一个新组,并将他们各自的计算机添加到该组中?(即“财务用户”组和“财务计算机”组)。
答案1
您需要组织您的计算机。没有办法让用户身份决定 WSUS 策略;当其他人登录时会发生什么?或者当没有人登录时会发生什么?
环回处理允许计算机链接的 GPO 应用于用户,但反过来则不行。
设置域范围的策略,将所有计算机锁定到 WSUS 服务器。使用客户端定位,并让全局策略将计算机定位到不会定期获得补丁批准的组中。
然后,制定更具体的客户端目标策略,将您定期批准补丁的组划分为不同的组。程序员可能不希望您更新他们的软件,但这并不意味着您不应该将他们纳入清单,看看他们落后了多少。“视而不见”的做法是不明智的。
答案2
出于这个原因,您应该在 AD 中将您的计算机组织成 OU。我会开始进行实物盘点,并将其映射到 AD 中。然后将 GPO(它基于计算机,而不是基于用户)应用于这些 OU。