我的目标是让 Windows Update 每天运行,安装所有可用的更新并(如有必要)自动重启计算机,让用户有机会将其推迟至最多 4 小时...
我想我已经几乎完成了为我们这里的小型基础设施设置 WSUS 的工作,但是仍然有一些问题困扰着我。
我应该使用哪个 GPO 设置来强制我的客户端为其各自的组自动安装所有可用的更新?(“允许自动更新立即安装”不起作用......)
我可以使用哪个 GPO 来禁用 Windows Update 客户端应用程序中的“选择要安装的更新”?
提前致谢!
答案1
您想要使用配置自动更新并选择下载和安装、每天和时间。
我不相信“推迟重启”的最大次数或关闭选择屏幕的方法,但如果它在用户到达之前应用,你就不会遇到这个问题。
答案2
凯瑟琳的回答很好,但这里还有一些额外的信息:
您可能不想强制用户重新启动。这样做的最终结果几乎总是相同的:当计算机意外重新启动时,一些可怜的用户会丢失 8 小时未保存的工作。将 Katherine 上面描述的时间表与“计划的自动更新安装不自动重新启动已登录用户”策略相结合,可确保计算机始终在计划的时间安装所有可用的更新,但只有在没有用户登录时才会重新启动。在我的环境中,我们要求用户在当天离开时注销并重新启动。
您提到的“允许自动更新立即安装”策略仅表示不需要重新启动的更新将实时安装,即它们不会等到预定的安装时间。将此策略与上述策略结合使用,您能够在批准时安装绝大多数更新,同时将需要重新启动的更新保留到下班后。
没有办法禁用“选择要安装的更新”屏幕,但是,如果您启用了 UAC(您应该启用)并且您的用户不是本地管理员(他们不应该是),则尝试在 Windows Update 客户端中执行任何操作都会引发 UAC 提示,要求输入管理员凭据。这有效地阻止了他们更改更新中的任何内容。