Windows-Server-2008-R2

為 WSUS 更新配置基於位置的 GPO,但僅適用於某些客戶端

  • January 23, 2012

我想配置 WSUS,以便員工到達他們使用 WSUS 下載內容的主要位置,當他們在其他位置(不同位置/家等)時,他們使用 Windows 更新。

這個問題中建議使用subnets/locations來做到這一點。這是一個很好的解決方案,但是我們決定只有大約 10-15 台電腦會得到automatic installation of updates,其餘的會得到update/download唯一的資訊。

所以我們的情況是,我們應該將 GPO 用於 Location 和 GPO 用於基於 OU 的組合(自動人將獲得他們自己的 OU)。

有沒有辦法配置 Windows 客戶端,以便 WSUS 從 2 個 GPO 獲取資訊?還有Home我們不知道的/客戶位置subnets呢?我們能否以某種方式配置 GPO,以便電腦在未知subnets/locations時使用 Microsoft 的 Windows 更新打開另一個 GPO,但保持我們“選擇”自動下載與僅下載(取決於員工)。

我們選擇為後台員工安裝所有內容,為程序員(占公司的 90%)僅下載。

您需要多個 GPOS。

  1. 創建 1 個 GPO 以使用 WSUS 伺服器下載。將此應用到站點。
  2. 創建一個包含要自動更新的電腦的組
  3. 創建一個將 WSUS 設置為自動安裝的 GPO。將安全過濾應用於僅允許組 2 中的組應用策略的 GPO。將此(作為步驟 1 中 GPO 的第二優先級)應用到站點。

就連接到 WU 而言,您需要有一個公司策略,讓遠端使用者每隔一段時間就會使用 VPN,以方便更新。在您的 DMZ 中創建一個沒有內容的副本伺服器,以便系統從 microsoft 更新伺服器獲取內容(因此您無需連接到 VPN 即可獲取更新

引用自:https://serverfault.com/questions/351829