Re: [請益] 關於WSUS設定

看板MIS (IT資訊人員)作者gendarme1 (海天一色)時間8年前 (2016/01/19 20:04)推噓1(1推 0噓 0→)

留言1則, 1人參與討論串2/2 (看更多)

※ 引述《b0078218 (HomJin)》之銘言： : 想請問各位，WSUS如果希望他接收到更新後一個禮拜在讓client端更新，是不是不該設定 : 自動核准的那個部分？因為我是接手上一任的，我發現他的規則是安全性更新及重大更新 : 期限為7天後，但是我查client更新紀錄，一直以來都是發布後隔天就裝了，我是否可理 : 解為那條規則就只是個期限，如果期限前沒更新，就會當天強制更新？如果我希望client : 端能在更新發布後一個月在上，是否該從GPO著手，而不是WSUS? : PS.問題很菜我知道... Windows機碼值預設是22小時與會執行一次wuauclt偵測，可以在GPO調整這個值放大。自動核准就是自微軟來源同步後就自動散佈，只要有client來連WSUS就會自動給，不重要、不須重開機生效的hotfix可以設自動核准，這種在官網沒有公告可看；安全性更新、Service Pack這種多半會要求重開機生效的update最好是手動核准，安全性更新大約在美西時間每個月的第二個周二出台，官網都會公告，　如果你的client全都是透過連WSUS來更新，可以手動核准散佈後就關掉WSUS主機，或讓WSUS主機離線讓client都連不到，等一個月後再讓WSUS開機或上線，這樣就能達成你想讓更新發布後一個月再上的願望....XD。設期限deadline是強迫client最遲只要超過這個期限就會自動安裝更新重開機生效，這個期限日期會透過WSUS散下去讓Windows Update服務接收並寫到機碼裏，設定這個期限7天是強迫逾期更新生效，不是7天後才開始更新。只要你的client是設定連WSUS更新，client的Windows Update服務也都正常運作， WSUS主機也是正常上線運作，那預設每22小時client就會主動去向WSUS問和討更新，所以你的問題解法其一是靠GPO讓client機碼原先預設22小時這個值放大到一個月，其二就是讓你的client一個月內沒辦法連上WSUS主機。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.215.65.124 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1453205063.A.B31.html