使用组策略来管理 WSUS 自动更新客户端下载、安装和重新启动行为

可以配置 Windows Server Update Services (WSUS)

客户端来提供最符合您的环境和业务需求的更新安装和重新启动行为。可以使用组策略或本地组策略来修改 WSUS

客户端上的“自动更新”配置，以确定您的 WSUS

管理的客户端在从 WSUS 更新时会经历何种通知、下载、安装和重新启动行为。尽管已有控制其他配置的 WSUS

策略设置，本文主要讨论那些用于定义更新通知、下载、安装和安装后重启行为的配置选项。

自动更新 (AU) 是 WSUS 客户端的组件，用于检查、下拉以及触发来自 WSUS 或 Microsoft Update

(MU) 的、已批准的更新的安装和重新启动。在讨论 AU

配置选项之前，应阐明几个要点。第一点是分清下载与安装之间的区别，这一点非常重要。在 WSUS

管理员批准对一个或一组客户端的安装的更新之后，用户必须从其映射源(本地 WSUS 或

MU)下载更新内容。在下载之前，客户端必须先要签入 WSUS

服务器以确定已获批准的更新内容，并报告其当前的更新状态。默认情况下，客户端可每 22 小时签入 WSUS

服务器一次，也可将签入频率配置为每小时一次。

如果在客户端签入时安装的更新已得到批准，则默认情况下客户端将被配置为开始在后台下载该更新内容。可以将 AU

客户端配置为在其开始下载之前向用户发出通知，但大多数情况下设置为在后台下载更新而不通知用户，因为这样不会对用户产生任何影响。在后台下载更新时，仅使用尚未被客户端占用的可用带宽。例如，如果用户正在进行前台下载、浏览或发送电子邮件，则在后台下载更新将不会影响上述任何操作。在更新内容已下载到客户端后，根据

AU 选项的配置方式，安装会在相应管理用户已登录的情况下作为独立而截然不同的操作被执行。默认情况下，AU

选项被设置为自动下载更新，然后在下载完毕且准备好进行安装时发出通知。下载只是将一些内容从映射源移至客户端，而安装才是真正将这些内容安装到系统中的操作。本文中讨论的

AU 选项和策略设置使 WSUS 管理员能够自定义下载通知、安装、重新启动通知以及他们的 WSUS 管理客户端体验。

第二个要点是，即使下载与安装是两项截然不同的活动，也应将安装与重新启动视为一个操作，而且它们是相同的。这两项操作在更新过程中密不可分，只有在系统重新启动后才算是真正地完成安装。要求系统重新启动的安全更新在系统重新启动之后，才会真正安装完毕并能保护系统免遭漏洞的攻击。通常，只有在文件未被使用或未被锁定的情况下，才可以对系统或应用程序文件进行更新。此外，挂起的重新启动状态将会导致既非更新后也非更新前的状态。换句话说，务必要注意需要重新启动的更新，只有在系统重新启动之后，更新的安装才会真正完成。进一步说，系统在处于挂起的重新启动状态时仍然易受攻击或者仍未安装任何补丁，而且在重新启动前客户端将无法再检测到对未来的更新内容的需求。

第三个亦即最后一个要点是安装活动，无论是更新、驱动程序或完整的软件应用程序，大多数环境下都会要求拥有对该系统的本地管理权限。由于“自动更新”可控制更新内容的安装，所以非本地管理员的安装与重新启动体验与本地管理员截然不同，前者既不透明又受控制，后者则更为透明、更加灵活。在应用这些策略时，务必注意对这两种用户类型的影响和体验。

在 WSUS 环境下配置 AU 的方法取决于您拥有的是 Active Directory 还是非 Active

Directory 环境。在非 Active directory

环境下，您可以使“用本地组策略”或直接编辑注册表。而在

Active Directory

环境下，则应使用“组策略”。需要特别注意的是，管理员设定的组策略设置(无论是在本地、在注册表中，还是使用“组策略”设置的)，将始终覆盖客户端上任何由计算机设定或由用户定义的选项。

本文主要说明 WSUS AU 客户端的下载、安装和重新启动行为，并假定客户端已映射到 WSUS

服务器。无论是使用“组策略”还是“本地组策略”，都必须在系统上加载

WSUS 管理模板文件以用于管理“组策略”。该模板文件命名为

Wuau.adm，默认情况下该文件安装在 Windows XP Service Pack 2 客户端上。另外，任何客户机都与 WSUS

兼容(这意味着进行自更新以拥有最新的客户端版本)，而且还要拥有 %windir%\Inf 目录下最新的 Wuau.adm

文件。

要通过“本地组策略”修改 AU

配置，请按照以下这些简单步骤来添加本地“组策略对象编辑器”：

1.

在任务栏上，单击“开始”，单击“运行”，键入

MMC，然后单击“确定”。

2.

在控制台 1

的“文件菜单”上，单击“添加/删除插件”，然后单击“添加”。

3.

在“添加独立插件”对话框中，单击“组策略对象编辑器”，然后单击“添加”。

图 1. 添加独立插件对话框

4.

在“组策略向导”中，接受“本地计算机”，然后单击“完成”。

-或者-

从开始 => 运行，键入

gpedit.msc，在“用户配置”下的“组策略”中，右键单击“管理模板”，然后单击“添加/删除模板”，接着单击“策略模板”对话框对中的“wuau”、“添加”和“wuau.adm”，最后单击“打开”。

5.

要查看“组策略对象编辑器”中的全部 AU

配置策略选项，请依次展开“计算机配置”、“管理模板”、“Windows

组件”，然后单击“Windows

Update”。查看图 2 中的控制台窗格以及有关每个突出显示的关联策略的说明。

图 2. 用于本地组策略的组策略对象编辑器

您可以看到，WSUS

的“组策略”选项还包含配置客户端应指向哪些 WSUS

服务器的策略(指定 intranet Microsoft Update 服务位置)，允许客户端自动连接到 WSUS

服务器上已预先存在的目标组(这样一来，对该目标组的批准也适用于启用时的指定客户端)，并可使用户能够配置客户端签入 WSUS

服务器的频率(“自动更新”检测频率)。

配置 AU 下载和安装整个行为

“配置自动更新”是驱动 AU

的基本下载和安装行为的整体策略。从此策略，可以使用其他策略来进一步细化行为，但该策略是基础策略，配置选项可以根据它来确定 AU

的下载和安装方式。参见图 3。

图 3：整体自动更新配置选项

此处的选项为：

2 - 发出下载通知及发出安装通知

此选项允许对 WSUS

客户端上的管理用户进行最大程度的控制，以便其能够决定何时开始下载和安装更新内容。此配置选项在以下环境下非常有用：当维护窗口不同以及对客户端(服务器或桌面)的关键业务要求难以预测时，或者符合一致性要求对传送、安装或删除的软件强制实行最优控制时。此选项还可以使客户端的管理用户能够选择已批准的更新的全部内容或其子集，而这些内容或子集将被下载和/或安装到客户端系统上。此选项将会导致通知区域中任务栏的最右侧出现一个图标，而该图标无论是在准备下载更新内容时，还是在下载已完成时，都会显示。单击该图标，管理用户不仅能够对选择所要下载的已批准的更新内容进行控制，而且还能够对选择所要安装的已批准的更新内容进行控制。

3 - 自动下载并发出安装通知 - 默认选项

此 AU

选项极其有用，可确保更新安装一次执行完毕，在工作需要、维护窗口和计划的关机或每日结束时执行的关机等方面为本地管理最终用户提供了最大的方便。此选项允许进行后台自动下载，并使客户端管理最终用户能够选择所要安装的已下载更新内容，以及安装这些内容的时间。自动下载完成之后，通知区域会出现一个图标。用户单击该图标后，便可看到已下载了哪些更新内容，然后便可选择其中的全部或部分内容来进行安装。

4 - 自动下载并制定安装计划

在已知营业时间和维护窗口均相当稳定且可预见的环境下，此策略选项的效果将非常好。对于具有可预见的使用计划的环境中的系统而言，在后台下载以及设置在核心业务之后的特定时间进行的计划安装，比较适用于具有处于打开或节能模式的静态系统的环境。如果启用该策略，则计划安装的默认时间为每日清晨

3:00

执行一次。如果更新要求重新启动才能完成安装，则客户端将会自动重新启动。如果管理用户恰好在此时登录，则其将会看到重新启动通知并可以选择延迟重新启动时间。非管理用户也会看到该通知(这样，他们便能够保存其工作)。他们无法延迟重新启动，但可以启动重新启动。

需要特别注意的是，该策略可与其他五个策略结合使用，从而在按照设定的计划安装更新内容时进一步指定客户端的重新启动行为。这些附加策略是：

?

a. 不为计划的自动更新安装执行重新启动

?

b. 为计划安装延迟重新启动

?

c. 再次提示为计划安装执行重新启动

?

d. 重新计划自动更新计划的安装

?

e. 允许非管理员接收更新通知

下列图表解释了在启用这些策略和配置自动更新设置的第四个选项之后，管理用户和非管理用户的行为、选项以及由此而获得的体验。

5. 允许本地管理员选择设置

使用该最后的 AU

配置选项，本地管理用户可以使用“控制面板”中的“自动更新”为

AU

选择配置选项。例如，他们可以选择自己的计划安装时间。本地管理员不得禁用“自动更新”配置，他们只能使用客户端“控制面板”中的

AU 来指定其自己的通知、安装和重新启动行为。此策略不适用于非管理用户。

影响检测、下载、安装或重新启动行为的其他 AU 更新策略

允许自动更新即时安装

只有在应用了 AU 配置选项 3 或 4

且此策略已启用时，此策略才适用。该策略仅允许即时安装次要更新内容。并且指定“自动更新”设置是否自动安装某些更新，既不中断

Windows 服务也不重新启动 Windows。如果启用该策略，则 AU

在这些更新下载完毕并作好安装准备之后即会进行安装。并且还会覆盖这些更新类型的安装通知或计划安装配置。如果没有配置该策略且 AU

配置选项设置为 4，则次要更新仍会立即安装。但是，如果您在 AU 选项设置为 4

的情况下启用该策略，然后又将其禁用，则次要更新将不会再立即安装。

不要只将“关闭

Windows”对话框中的默认选项调整为“安装更新并关机”

这一策略设置允许管理员对是否可将“安装更新并关机”选项设置为“关闭

Windows”对话框中的默认选项进行控制。

如果启用该策略设置，则用户的最后关机选择(休眠、重新启动等)是“关闭

Windows”对话框中的默认选项，而不管“您希望计算机执行何种操作?”列表中是否存在“安装更新并关机”选项。

如果禁用或不配置该策略设置，则在用户单击“开始”菜单上的“关机”后更新内容可以进行安装时，“安装更新并关机”选项将成为“关闭

Windows”对话框中的默认选项。

请注意，如果“计算机配置”\“管理模板”\“Windows

组件”\“Windows

Update”\“不显示‘关闭

Windows’对话框中的‘安装更新并关机’”策略设置已启用，则该策略设置将不会产生任何影响。

如果非管理用户拥有关机权限，则其会拥有与管理用户相同的体验。

不在“关闭

Windows”对话框中显示“安装更新并关机”

启用该策略设置后，管理员便可对是否在“关闭

Windows”对话框中显示“安装更新并关机”选项进行控制。

如果启用该策略设置，则即使在用户单击“开始”菜单上的“关机”命令后更新内容可以进行安装，“安装更新并关机”选项也不会显示为“关闭

Windows”对话框中的一个选择项。

如果禁用或不配置该策略设置，则在用户单击“开始”菜单上的“关机”后更新内容可用时，“安装更新并关机”选项将在“关闭

Windows”对话框中可用。管理用户和非管理用户将会拥有相同的体验。

请在以后的文章中查阅有关 WSUS 的提示与技巧。