我是 GPO 新手,拥有一个多子网域,每个子网的站点服务器都安装了 WSUS。此外,VPN 用户也使用不同的 WSUS 服务器。问题是,我需要 VPN 用户在现场而不是远程访问站点 WSUS 服务器。
我使用 WMI 筛选按子网筛选了所有 GPO,这在我的测试中似乎有效。问题是,在应用 GPO 时,我是否应该在域中应用所有 WSUS GPO 并进行筛选,这样无论用户登录到哪里,他们都会获得本地 WSUS,还是我应该仅应用于单个 OU,而 VPN 是域级别的唯一选择,还是我也将其添加到每个单独的 OU?
另外我是否需要对它们其中任何一个使用强制措施?
编辑:此外,如果用户被绑定到站点 A,然后在一段时间内重新定位到站点 B。他们希望用户访问站点 B 的 WSUS 服务器,以最大限度地减少 WAN 流量。
答案1
这是我为跨国客户所做的事情:
确保为所有站点配置了 Active Directory 站点和服务。
确保您已创建适当的子网并将其与适当的站点关联。
为每个站点创建一个 WSUS GPO,将这些站点中的客户端定位到本地 WSUS 服务器。
将每个 GPO 链接到适当的站点。
然后,WSUS 客户端将根据子网到站点的关联将自己“定位”到本地 WSUS 站点。
对于您的 VPN 客户端,假设它们在需要时会通过 VPN 进入每个位置,那么无论它们通过 VPN 进入哪个位置,它们都会将自己定位到本地 WSUS 服务器。
无需在 GPO 中进行安全过滤,也无需将其链接到除每个站点之外的任何其他内容。您不需要强制执行 GPO。