※ 引述《b0078218 (HomJin)》之銘言:
: 想請問各位,WSUS如果希望他接收到更新後一個禮拜在讓client端更新,是不是不該設定
: 自動核准的那個部分?因為我是接手上一任的,我發現他的規則是安全性更新及重大更新
: 期限為7天後,但是我查client更新紀錄,一直以來都是發布後隔天就裝了,我是否可理
: 解為那條規則就只是個期限,如果期限前沒更新,就會當天強制更新?如果我希望client
: 端能在更新發布後一個月在上,是否該從GPO著手,而不是WSUS?
: PS.問題很菜我知道...
Windows機碼值預設是22小時與會執行一次wuauclt偵測,可以在GPO調整這個值放大。
自動核准就是自微軟來源同步後就自動散佈,只要有client來連WSUS就會自動給,
不重要、不須重開機生效的hotfix可以設自動核准,這種在官網沒有公告可看;
安全性更新、Service Pack這種多半會要求重開機生效的update最好是手動核准,
安全性更新大約在美西時間每個月的第二個周二出台,官網都會公告,
如果你的client全都是透過連WSUS來更新,可以手動核准散佈後就關掉WSUS主機,
或讓WSUS主機離線讓client都連不到,等一個月後再讓WSUS開機或上線,
這樣就能達成你想讓更新發布後一個月再上的願望....XD。
設期限deadline是強迫client最遲只要超過這個期限就會自動安裝更新重開機生效,
這個期限日期會透過WSUS散下去讓Windows Update服務接收並寫到機碼裏,
設定這個期限7天是強迫逾期更新生效,不是7天後才開始更新。
只要你的client是設定連WSUS更新,client的Windows Update服務也都正常運作,
WSUS主機也是正常上線運作,那預設每22小時client就會主動去向WSUS問和討更新,
所以你的問題解法其一是靠GPO讓client機碼原先預設22小時這個值放大到一個月,
其二就是讓你的client一個月內沒辦法連上WSUS主機。