现在我们在 WSUS 服务器 (2012R2) 中设置了 2 组计算机。一个是用于测试的早期发布组,另一个是包含所有其他工作站的生产组。
我们为第一组配置了自动更新,但没有为第二组配置。这意味着我们目前必须手动批准对生产组的更新。我希望能够自动将更新部署到第 2 组,但不幸的是,这意味着我们将无法在发布前审查更新。但是,如果我们能够为生产组设置自动更新,使我们能够在发布的第一周或两周内停止安装更新,那么我们就有时间在发布之前正确审查更新他们进入生产组。
基本上,我想知道是否有任何方法可以在 WSUS 中设置延迟时间表,其中更新将在可用之日应用于早期发布组,然后 2 周后将自动批准用于生产组,但不是在那之前。
如果无法在 WSUS 本机中进行设置,您是否知道任何可以帮助我们执行此操作的程序?
要将更新应用于测试组,然后其他所有人,这基本上是您想要做的,我在组策略中为测试组计算机设置了安装时间(例如下周末),然后截止日期考试日期后一周更新。还有一个组策略选项(我承认我没有使用过)可以删除对 Windows 更新功能的访问。
在组策略中:在计算机配置 -> 策略 -> 管理模板 -> Windows 组件 -> Windows 更新下(您可能已经找到了,因为您首先使用的是 WSUS)。
在 WSUS 控制台中,在选项 -> 自动批准下。
如果您想在同一天将它们应用到测试组,您可以自动将新更新的截止日期推迟 14 天。
“删除访问以使用所有 Windows 更新功能”选项也在计算机配置 -> 策略 -> 管理模板 -> Windows 组件 -> Windows 更新下
不过,我不认为这会阻止某人进入
wuauclt /detectnow命令行。 该政策的文档说:您可能需要对其进行测试以查看命令行是否会导致弹出通知。如果是这样,则存在(或曾经存在)一个注册表项,该注册表项将那些应该可编写脚本的通知抑制为 0 值。