※ 引述《b0078218 (HomJin)》之铭言:
: 想请问各位,WSUS如果希望他接收到更新后一个礼拜在让client端更新,是不是不该设定
: 自动核准的那个部分?因为我是接手上一任的,我发现他的规则是安全性更新及重大更新
: 期限为7天后,但是我查client更新纪录,一直以来都是发布后隔天就装了,我是否可理
: 解为那条规则就只是个期限,如果期限前没更新,就会当天强制更新?如果我希望client
: 端能在更新发布后一个月在上,是否该从GPO着手,而不是WSUS?
: PS.问题很菜我知道...
Windows机码值默认是22小时与会执行一次wuauclt侦测,可以在GPO调整这个值放大。
自动核准就是自微软来源同步后就自动散布,只要有client来连WSUS就会自动给,
不重要、不须重开机生效的hotfix可以设自动核准,这种在官网没有公告可看;
安全性更新、Service Pack这种多半会要求重开机生效的update最好是手动核准,
安全性更新大约在美西时间每个月的第二个周二出台,官网都会公告,
如果你的client全都是透过连WSUS来更新,可以手动核准散布后就关掉WSUS主机,
或让WSUS主机离线让client都连不到,等一个月后再让WSUS开机或上线,
这样就能达成你想让更新发布后一个月再上的愿望....XD。
设期限deadline是强迫client最迟只要超过这个期限就会自动安装更新重开机生效,
这个期限日期会透过WSUS散下去让Windows Update服务接收并写到机码里,
设定这个期限7天是强迫逾期更新生效,不是7天后才开始更新。
只要你的client是设定连WSUS更新,client的Windows Update服务也都正常运作,
WSUS主机也是正常上线运作,那默认每22小时client就会主动去向WSUS问和讨更新,
所以你的问题解法其一是靠GPO让client机码原先默认22小时这个值放大到一个月,
其二就是让你的client一个月内没办法连上WSUS主机。