此 Windows 更新是如何安裝的？

我有一堆通過 WSUS 更新的加入 AD 的 Windows 伺服器。您可以在此處查看特定的 WSUS GPO：http: //imgur.com/a/LHjll

6 月安裝的更新 (KB3159398) 導致問題，因此此特定更新在 WSUS 中被拒絕。到現在為止還挺好。

從那以後，我看到這個更新被安裝在多台伺服器上，即使這個特定的更新在 WSUS 中仍然被阻止。根據更新服務 Change.log，更新被阻止，此後一直沒有安裝。

該更新是由 SYSTEM 使用者安裝的，因此安裝該更新的不是管理員。

根據伺服器的 WindowsUpdate.log，伺服器在這一天沒有向 WSUS 伺服器註冊，更新是線上下載的，而不是通過 WSUS：

代理 * WSUS 伺服器：NULL

代理 * WSUS 狀態伺服器：NULL

代理 * 目標組：（未分配的電腦）

代理 * 禁用 Windows 更新訪問：否

如何進一步調試以阻止再次安裝此更新？

經過不同評論的幾次提示和指點，我縮小了問題範圍並找到了解決方案。我已經用相關資訊更新了這個問題。

WindowsUpdate.log 顯示伺服器未正確向 WSUS 註冊，然後圍繞 WSUS 伺服器執行 Windows 更新。

解決方案是阻止 Windows 更新，因此伺服器永遠不會圍繞 WSUS 進行更新。這是通過組策略完成的：

使用者配置 > 管理模板 > Windows 組件 > Windows 更新 > 刪除使用所有 Windows 更新功能的訪問權限

引用自：https://serverfault.com/questions/803916