目前,我们在 WSUS 服务器 (2012R2) 中设置了 2 组计算机。一组是用于测试的早期发布组,另一组是包含所有其他工作站的生产组。
我们为第一组配置了自动更新,但没有为第二组配置。这意味着我们目前必须手动批准对生产组的更新。我希望能够自动将更新部署到第二组,但不幸的是,这意味着我们无法在发布之前审查更新。但是,如果我们能够为生产组设置自动更新,以便我们在发布后的前一两周停止安装更新,那么我们就有时间在将更新发布到生产组之前对其进行适当的审查。
基本上,我想知道是否有任何方法可以在 WSUS 中设置延迟计划,其中更新将在可用当天应用于早期发布组,然后两周后将自动批准用于生产组,但不会在此之前。
如果没有办法在 WSUS 中本机设置此功能,您是否知道有什么程序可以帮助我们做到这一点?
答案1
要将更新应用于测试组,然后应用于其他所有人(这基本上就是您要尝试执行的操作),我在组策略中为测试计算机组设置了安装时间(例如,下个周末),然后将更新的截止日期设定为测试日期后的一周。还有一个组策略选项(我承认我没有使用过)可以删除对 Windows 更新功能的访问权限。
在组策略中:在计算机配置下->策略->管理模板->Windows 组件->Windows 更新(您可能已经找到了,因为您首先使用 WSUS)。
在 WSUS 控制台中,在选项 -> 自动批准下。
如果您想在同一天将它们应用于测试组,则可以自动将新的更新截止日期设定为 14 天后。
“删除使用所有 Windows 更新功能的访问权限”选项也位于“计算机配置”->“策略”->“管理模板”->“Windows 组件”->“Windows 更新”下
不过,我不认为这会阻止某人输入wuauclt /detectnow命令行。 本政策的相关文件说:
通过启用“计算机配置\管理模板\Windows 组件\Windows 更新\删除使用所有 Windows 更新功能的权限”下的组策略设置,管理员可以为用户禁用“检查更新”选项。任何后台更新扫描、下载和安装将继续按配置进行。
您可能需要测试一下,看看命令行是否会导致弹出通知。如果是,则有(或曾经)一个注册表项,用于抑制那些应可编写脚本的通知,其值为 0。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutoTrayNotify