我正在尝试使用 WSUS 的组策略来阻止安装 Silverlight 之类的东西,除非需要。我希望每个软件都有计算机组(这样一台计算机最终会进入多个目标组),这些将由 GPO 分配。
问题是多个 GPO 的客户端定位设置被覆盖而不是合并。
是否有人知道有什么简单的方法可以实现此目的,而不会导致 GPO 呈指数级增长?
答案1
正如您所怀疑的,没有一种简单的方法可以实现这一点,除非 GPO 数量激增。或者通过手动分配组,这可能也不是您的选择。
尝试从角色的角度看待您的客户端,而不是“安装了什么软件?”和/或“这台机器在哪里?”毕竟,从客户端接收的更新的角度来看,其物理位置可能并不重要。例如,通常所有会计工作站都安装了一组软件(或可能有一组标准软件),所有操作工作站都安装了一组软件。这在 WSUS 中成为两个目标组,并且根据您已经知道的每个组中的软件按角色应用更新。
如果可以合并就太好了,但是即使使用 WMI 过滤,我也无法为您的问题找到一个简单的解决方案。
这不是一个很好的答案,但我觉得它比你这里的两个答案要好。
答案2
看了您的问题,我明白您希望特定计算机位于多个 WSUS 计算机组中。如果是这样,您将需要一个 GPO 来推送多个计算机组,而不是多个 GPO 来推送单个计算机组,否则设置(注册表项)将被覆盖。
您可以为每个 GPO 指定多个计算机组,它们之间需要用分号分隔。这是我刚刚从组策略设置中提取的描述:
“如果内部网 Microsoft 更新服务支持多个目标组,则此策略可以指定多个以分号分隔的组名。否则,必须指定单个组。”
例子:
工作站;伦敦;伦敦工作站
答案3
在 WSUS 中:转到选项 > 计算机。
选择手动分配组的选项。
这使您可以使用 WSUS 手动管理计算机分配。