為 WSUS 更新配置基於位置的 GPO，但僅適用於某些客戶端

我想配置 WSUS，以便員工到達他們使用 WSUS 下載內容的主要位置，當他們在其他位置（不同位置/家等）時，他們使用 Windows 更新。

在這個問題中建議使用subnets/locations來做到這一點。這是一個很好的解決方案，但是我們決定只有大約 10-15 台電腦會得到automatic installation of updates，其餘的會得到update/download唯一的資訊。

所以我們的情況是，我們應該將 GPO 用於 Location 和 GPO 用於基於 OU 的組合（自動人將獲得他們自己的 OU）。

有沒有辦法配置 Windows 客戶端，以便 WSUS 從 2 個 GPO 獲取資訊？還有Home我們不知道的/客戶位置subnets呢？我們能否以某種方式配置 GPO，以便電腦在未知subnets/locations時使用 Microsoft 的 Windows 更新打開另一個 GPO，但保持我們“選擇”自動下載與僅下載（取決於員工）。

我們選擇為後台員工安裝所有內容，為程序員（占公司的 90%）僅下載。

您需要多個 GPOS。

1. 創建 1 個 GPO 以使用 WSUS 伺服器下載。將此應用到站點。
2. 創建一個包含要自動更新的電腦的組
3. 創建一個將 WSUS 設置為自動安裝的 GPO。將安全過濾應用於僅允許組 2 中的組應用策略的 GPO。將此（作為步驟 1 中 GPO 的第二優先級）應用到站點。

就連接到 WU 而言，您需要有一個公司策略，讓遠端使用者每隔一段時間就會使用 VPN，以方便更新。在您的 DMZ 中創建一個沒有內容的副本伺服器，以便系統從 microsoft 更新伺服器獲取內容（因此您無需連接到 VPN 即可獲取更新

引用自：https://serverfault.com/questions/351829