在 Active Directory 环境中,可以使用组策略来定义计算机和用户如何与 Windows 更新交互,以从 Windows Server Update Services (WSUS) 获取自动更新。 本文将这些计算机和用户称为 WSUS 客户端。
本文包含两个主要部分:
WSUS 客户端更新的组策略设置 提供有关 Windows 更新和组策略维护计划程序设置(控制 WSUS 客户端如何与 Windows 更新交互以获取自动更新)的规范性指导和行为详细信息。
补充信息包括以下小节:
访问组策略中的 Windows 更新设置提供有关使用组策略管理编辑器 (GPME) 的常规指南。 它还提供了有关在更新服务的组策略中访问策略扩展和维护计划程序设置的信息。
术语和定义定义与 WSUS 和更新服务相关的术语。
WSUS 客户端更新的组策略设置
本部分提供有关以下三个组策略扩展的信息。 在这些扩展中,可以找到一些可用来配置 WSUS 客户端如何与 Windows 更新交互以接收自动更新的设置。
注意
本文假设你用过并熟悉组策略。 如果不熟悉组策略,建议在尝试为 WSUS 配置策略设置之前,先查看本文的 补充信息部分中的信息 。
WSUS 服务器角色与 Windows Server 集成。 默认情况下,WSUS 客户端的组策略设置包含在组策略中。
计算机配置 > Windows 更新策略设置
本部分提供有关以下基于计算机的策略设置的详细信息:
- 允许自动更新立即安装
- 允许非管理员接收更新通知
- 允许使用来自 Intranet Microsoft 更新服务位置的签名更新
- 始终在计划时间自动重启
- 自动更新检测频率
- 配置自动更新
- 延迟重启以完成计划安装
- 不要在“关闭 Windows”对话框中将默认选项调整为“安装更新和关闭”
- 不要连接任何 Windows 更新 Internet 位置
- 不要在“关闭 Windows”对话框中显示“安装更新和关闭”选项
- 启用客户端定位
- 启用 Windows 更新电源管理以自动唤醒计算机来安装计划的更新
- 对于有已登录用户的计算机,计划的自动更新安装不执行自动重启
- 对计划的安装再次提示重启
- 重新计划自动更新计划的安装
- 指定 Intranet Microsoft 更新服务位置
- 通过自动更新启用建议的更新
- 启用软件通知
在 GPME 中,基于计算机的配置的 Windows 更新策略位于路径 <策略名称>>计算机配置>策略>管理模板>Windows 组件>Windows 更新中。
注意
默认不会配置这些设置。
允许自动更新立即安装
可以使用此设置指定自动更新是自动安装不会中断 Windows 服务或重启 Windows 的更新。
注意
如果“配置自动更新”策略设置为“已禁用”,则此策略不起作用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 不会立即安装更新。 本地管理员可以使用本地组策略编辑器来更改此设置。 |
| 已启用 | 下载并准备好后,自动更新会立即安装更新。 |
| 已禁用 | 不会立即安装更新。 |
选项:此设置没有选项。
允许非管理员接收更新通知
可以使用此设置指定非管理用户是否根据 “配置自动更新 ”策略设置接收更新通知。
注意
如果“配置自动更新”策略设置已禁用或未配置,则此策略设置不起作用。
重要
默认情况下,此策略设置处于启用状态。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 用户始终看到 用户帐户控制 同意提示,并要求提升的权限来管理更新。 本地管理员可以使用本地组策略编辑器来更改此设置。 在 Windows Vista 中,用户还会在隐藏、还原和取消更新时看到 用户帐户控制 同意提示,并且需要提升的权限来隐藏、还原或取消更新。 |
| 已启用 | Windows 更新和 Microsoft 更新在确定哪些登录用户收到更新通知时,包括非管理员用户。 非管理用户能够安装他们接收通知的所有可选、推荐和重要更新内容。 用户看不到 用户帐户控制 同意提示。 除了包含用户界面更改、Microsoft软件许可条款或 Windows 更新设置的更新之外,用户不需要提升的权限来安装这些更新。 在 Windows 8 及更高版本和 Windows RT 中,此策略设置不起作用。 |
| 已禁用 | 只有已登录管理员才能收到更新通知。 |
选项:此设置没有选项。
允许使用来自 Intranet Microsoft 更新服务位置的签名更新
可以使用此设置指定自动更新是否接受在内部 Microsoft 更新服务位置发现更新时由除 Microsoft 以外的实体签名的更新。
注意
来自 Intranet Microsoft 更新服务以外的服务的更新必须始终由 Microsoft 签名。 此策略设置不会影响这些更新。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 来自 Intranet Microsoft 更新服务位置的更新必须由 Microsoft 签名。 |
| 已启用 | 自动更新会接受通过内部网 Microsoft 更新服务位置接收的更新,前提是这些更新由在本地计算机受信任发布者证书存储中找到的证书进行签名。 |
| 已禁用 | 来自 Intranet Microsoft 更新服务位置的更新必须由 Microsoft 签名。 |
选项:此设置没有选项。
始终在计划的时间自动重启
可以使用此设置指定重启计时器是否应始终在 Windows Update 安装重要更新后立即启动,而不是先在登录界面上通知用户,给出至少两天的缓冲时间。
注意
如果启用了“对于有已登录用户的计算机,计划的自动更新安装不执行自动重启”策略设置,则此策略不起作用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | Windows 更新不会更改计算机的重启行为。 |
| 已启用 | 重启计时器总是在 Windows 更新安装重要更新后立即开始,而不是先在登录屏幕上提醒用户至少两天。 可将重启计时器配置为使用 15 到 180 分钟的任意值开始。 当计时器运行结束时,即使计算机中包含已登录的用户,重启也仍会继续。 |
| 已禁用 | Windows 更新不会更改计算机的重启行为。 |
选项:如果启用此设置,可以指定在安装更新之后、发生计算机强制重启之前所要经过的时间。
自动更新检测频率
您可以使用此设置指定 Windows 用于确定在检查可用更新前需等待多少小时。 确切的等待时间是在此频率中指定的小时数的 80% 到 100% 之间。 例如,如果此策略用于指定 20 小时的检测频率,则此策略应用的所有客户端在检查更新之前等待 16 到 20 小时。
注意
- 必须启用“指定 Intranet Microsoft 更新服务位置”设置才能使此策略发挥作用。
- 如果“配置自动更新”策略设置已禁用,则此策略不起作用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | Windows 以默认间隔 22 小时检查可用更新。 |
| 已启用 | Windows 按指定的时间间隔检查可用更新。 |
| 已禁用 | Windows 以默认间隔 22 小时检查可用更新。 |
选项:如果启用此设置,可以指定 Windows 更新在检查更新之前等待的时间间隔(以小时为单位)。
配置自动更新
可以使用此设置指定是否在此计算机上启用自动更新。
可以在 计算机配置\管理模板\Windows 组件\Windows 更新\管理最终用户体验\配置自动更新下配置自动更新。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 组策略级别未指定自动更新的使用。 管理员仍可以通过“设置”应用配置自动更新,“设置”>“更新和安全性”>“Windows 更新”>“高级选项”。 |
| 已启用 | Windows 识别计算机处于联机状态,并使用其 Internet 连接搜索 Windows 更新以获取可用更新。 若要使用此设置,必须选择此表后列出的五个选项之一。 允许本地管理员使用 Windows 更新控制面板选择所选的配置选项。 但是,不允许本地管理员将自动更新配置设置为 禁用。 |
| 已禁用 | 用户必须通过转到“设置更新和安全>Windows 更新”>,从公共 Windows 更新服务手动下载和安装任何可用的客户端更新。 |
选项: 如果启用此设置,则必须选择以下选项之一:
| 选项 | 行为 |
|---|---|
| 2 - 通知下载和自动安装 | 当 Windows 更新查找适用于计算机的更新时,系统会通知用户更新已准备就绪,可供下载。 然后,用户可以运行 Windows 更新来下载和安装任何可用更新。 |
| 3 - 自动下载和通知安装。 | 此选项是默认设置。 Windows 更新查找适用的更新,并在后台下载更新。 在此过程中,用户不会收到通知或受到中断。 下载完成后,系统会通知用户有可安装的更新。 然后,用户可以运行 Windows 更新来安装已下载的更新。 |
| 4 - 自动下载并计划安装 | 可以使用此组策略选项指定安装计划。 如果未指定计划,所有安装的默认计划是每天的凌晨 3:00。 如果任何更新需要重启才能完成安装,则 Windows 将自动重启计算机。 如果 Windows 准备好重启时某个用户已登录到计算机,则系统会通知用户,并提供延迟重启的选项。 从 Windows 8 开始,可将更新设置为在自动维护期间安装,而不使与绑定到特定 Windows 更新计划。 自动维护将在计算机未使用时安装更新,并避免在计算机使用电池运行时安装更新。 如果自动维护在 2 天内都无法安装更新,Windows 更新会立即安装更新。 然后,系统会通知用户等待重启。 仅当没有意外数据丢失的可能性时,才会发生重启。 |
| 5 - 允许本地管理员选择设置 | 允许本地管理员使用自动更新控制面板选择配置选项。 例如,本地管理员可以选择计划的安装时间。 不允许本地管理员将自动更新的配置设置为 禁用。 |
| 7 - 自动下载、通知安装、通知重启 | 此选项仅在 Windows Server 2016 及更高版本中可用。 本地管理员可以使用 Windows 更新继续安装或手动重启。 Windows 将适用的更新下载到设备,并通知用户更新已准备好安装。 安装更新后,系统会通知用户重启设备。 |
注意
在 Windows Server 上,默认情况下,“ 配置自动更新 策略设置”选项在注册表中配置为 3 。 此值不会反映在 GPO 编辑器中。 如果管理员将选项配置为其他设置,则新设置生效。 将 “配置自动更新 策略设置”设置为 “未配置 ”会导致自动下载和安装更新的行为。
对计划的安装延迟重启
可以使用此设置指定自动更新在计划重启前要等待的时间长度。
注意
仅当自动更新配置为执行更新的计划安装时,此策略才适用。 如果“配置自动更新”策略设置已禁用,则此策略不起作用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 安装更新后,经过默认的 15 分钟等待时间,再进行任何计划的重启。 |
| 已启用 | 安装完成后,在指定的分钟数过期后,将发生计划的重启。 |
| 已禁用 | 安装更新后,默认等待时间为 15 分钟,然后计划的重启才会进行。 |
选项:如果启用此设置,可以指定在继续按计划重启之前自动更新所要等待的时间(以分钟为单位)。
不要调整“关闭 Windows”对话框中的默认选项“安装更新并关机”
可以使用此设置指定是否允许“ 安装更新和关闭 ”选项作为“ 关闭 Windows ”对话框中的默认选项。
注意
如果<策略名称>>计算机配置>策略>管理模板>Windows 组件>Windows 更新>未在“关闭 Windows”对话框中显示“安装更新和关闭”选项,则此策略设置不起作用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 如果有更新可供安装,用户选择“关闭”来关闭计算机时,安装更新和关闭会成为“关闭 Windows”对话框中的默认选项。 |
| 已启用 | 用户上次关闭选项是 “关闭 Windows ”对话框中的默认选项。 关闭选项的示例包括 休眠 和 重启。 无论“ 安装更新和关闭 ”选项是否在该对话框中的“ 你希望计算机做什么”下可用,都会发生此行为。 |
| 已禁用 | 在“关闭 Windows”对话框中,如果有更新可供安装,且用户选择“关闭”选项来关闭计算机,则安装更新和关闭是默认选项。 |
选项:此设置没有选项。
不要连接任何 Windows 更新 Internet 位置
可以使用此设置指定 Windows 不应再连接到公共更新服务。 即使 Windows 更新配置为从 Intranet 更新服务接收更新,它也会定期从公共 Windows 更新服务中检索信息。 这些信息将使未来与 Windows 更新和其他服务(如 Microsoft 更新或 Microsoft Store)的连接成为可能。
注意
仅当计算机配置为使用“指定 Intranet Microsoft 更新服务位置”策略设置连接到 Intranet 更新服务时,此策略才适用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 计算机可以从公共更新服务(如 Windows 更新和Microsoft应用商店)检索信息。 |
| 已启用 | Windows 不再连接到公共更新服务,例如 Windows 更新或Microsoft应用商店。 此设置会使 Microsoft Store 应用的大部分功能停止工作。 使用“设置”应用或控制面板搜索更新的用户只能从 Intranet 更新服务查看更新。 他们没有显示 联机检查 Windows 更新 选项。 使用 Windows 更新代理 API 的程序无法从 Intranet 更新服务以外的任何服务中搜索更新。 |
| 已禁用 | 计算机可以从公共更新服务检索信息。 |
选项:此设置没有选项。
不要在“关闭 Windows”对话框中显示“安装更新并关机”选项
可以使用此设置指定是否在“关闭 Windows”对话框中显示“安装更新和关闭”选项。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 如果在用户选择关闭选项以关闭计算机时有可用更新,则在关闭 Windows对话框中会提供安装更新并关闭选项。 本地管理员可以使用本地策略来更改此设置。 |
| 已启用 | 安装更新并关闭 即使有可用更新安装,在“关闭 Windows”对话框中也不会显示为一个选项,当用户选择“关闭”选项以关闭计算机时。 |
| 已禁用 | 如果在用户选择“关闭”选项来关闭计算机时有更新可供安装,那么“关闭Windows”对话框中的“安装更新和关闭”选项将是默认选项。 |
选项:此设置没有选项。
启用客户端定位
可以使用此设置指定在 WSUS 控制台中配置的目标组名称,这些组接收来自 WSUS 的更新。
注意
仅当此计算机配置为支持 WSUS 中指定的目标组名称时,此策略才适用。 如果目标组名称在 WSUS 中不存在,则在创建该名称之前会将其忽略。 如果“指定 Intranet Microsoft 更新服务位置”策略设置已禁用或未配置,此策略将不起作用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 不会向 WSUS 发送目标组信息。 本地管理员可以使用本地策略来更改此设置。 |
| 已启用 | 指定的目标组信息将发送到 WSUS,该信息使用它来确定应将哪些更新部署到此计算机。 如果 WSUS 支持多个目标组,则可以使用此策略指定多个组名称(用分号分隔),如果在 WSUS 中的计算机组列表中添加目标组名称。 否则,必须指定单个组。 |
| 已禁用 | 不会向 WSUS 发送目标组信息。 |
选项:使用此空间可以指定一个或多个目标组名称。
启用 Windows 更新电源管理以自动唤醒计算机以安装计划更新
可以使用此设置指定 Windows 更新是使用 Windows 电源管理还是电源选项功能在计划安装更新时自动从休眠状态唤醒计算机。
仅当 Windows 更新配置为自动安装更新时,计算机才会自动唤醒。 如果计算机在计划安装时间发生且应用更新时处于休眠状态,则 Windows 更新使用 Windows 电源管理或电源选项功能自动唤醒计算机以安装更新。 Windows 更新还会唤醒计算机,并在安装截止时间发生时安装更新。
除非要安装更新,否则计算机不会唤醒。 如果计算机处于电池供电状态,则当 Windows 更新唤醒它时,它不会安装更新。 计算机会在两分钟内自动恢复休眠状态。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | Windows 更新不会从休眠状态唤醒计算机以安装更新。 本地管理员可以使用本地策略来更改此设置。 |
| 已启用 | Windows 更新从休眠状态唤醒计算机,以便在之前列出的条件下安装更新。 |
| 已禁用 | Windows 更新不会从休眠状态唤醒计算机以安装更新。 |
选项:此设置没有选项。
对于有已登录用户的计算机,计划的自动更新安装不执行自动重启
可以使用此设置指定完成计划的安装,自动更新会等待任何登录的用户重启计算机,而不是导致计算机自动重启。
注意
仅当自动更新配置为执行更新的计划安装时,此策略才适用。 如果“配置自动更新”策略设置已禁用,则此策略不起作用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 自动更新通知用户计算机在五分钟内自动重启以完成安装。 |
| 已启用 | 如果用户登录到计算机,自动更新不会在计划安装期间自动重启计算机。 相反,如果更新在重启计算机之前无法生效,则自动更新会通知用户重新启动计算机。 |
| 已禁用 | 自动更新通知用户计算机在五分钟内自动重启以完成安装。 |
选项:此设置没有选项。
对计划的安装再次提示重启
可以使用此设置指定自动更新在再次提示计划重启前需要等待的时间。
重要
仅当自动更新配置为执行更新的计划安装时,此策略才适用。 如果“配置自动更新”策略设置已禁用,则此策略不起作用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 重启提示消息消失 10 分钟后,将计划重新启动。 本地管理员可以使用本地策略来更改此设置。 |
| 已启用 | 在重启提示被推迟后,计划的重启将在指定的分钟数过后进行。 |
| 已禁用 | 重启提示消息消失 10 分钟后,将计划重新启动。 |
选项:启用此设置后,可以指定再次提示用户将发生计划的重启之前所要经过的时间(以分钟为单位)。
重新计划自动更新计划的安装
可以使用此设置指定自动更新在计算机启动后等待的时间,然后再继续执行以前错过的计划安装。
注意
仅当自动更新配置为执行更新的计划安装时,此策略才适用。 如果“配置自动更新”策略设置已禁用,则此策略不起作用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 下一次启动计算机后一分钟,将会发生错过的计划安装。 |
| 已启用 | 下一次启动计算机后,指定的时间分钟数过后将发生一次错过的计划安装。 |
| 已禁用 | 在下一次计划安装中将发生错过的计划安装。 |
选项: 启用此策略设置后,可以指定在下次启动计算机后等待的分钟数,计划的安装操作未执行才会发生。
指定 Intranet Microsoft 更新服务位置
可以使用此设置指定一个用于托管来自Microsoft更新的更新的内部网服务器。 指定服务器时,可以使用 WSUS 自动更新网络上的计算机。
可以使用此设置在网络上指定充当内部更新服务的 WSUS 服务器。 WSUS 客户端将在此服务中搜索适用的更新,而不是使用 Internet 上的公共 Windows 更新和 Microsoft 更新服务。 启用此设置意味着组织中的用户不必穿过防火墙就可以获取更新。 还可让你先测试更新,再部署更新。
若要使用此设置,必须设置两个服务器名称值:客户端从中检测和下载更新的服务器,以及更新后的工作站要将统计信息上传到的服务器。 如果在同一台服务器上配置这两个服务,则值不需要是不同的。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 客户端直接连接到 Windows 更新网站。 |
| 已启用 | 客户端连接到指定的 WSUS 服务器(而不是 Windows 更新)以搜索和下载更新。 如果策略或用户首选项未禁用自动更新,自动更新将从指定的 WSUS 服务器(而不是 Windows 更新)搜索、下载和安装更新。 用户在“Windows 更新设置”页面,或旧版 Windows 上的“Windows 更新控制面板”页面上通常会看到来自指定 WSUS 服务器的更新,而不是来自 Windows 更新。。 用户还会看到 “联机检查 Windows 更新”选项中的更新 ,该选项提供了一种在 Internet 上使用公共更新服务的方法。 可以使用 “不连接到任何 Windows 更新 Internet 位置 ”策略设置来删除此选项。 使用 Windows 更新代理 API 搜索、下载和安装更新的应用程序通常针对指定的 WSUS 服务器运行。 应用程序可以专门请求使用 Internet 上的公共更新服务。 可以使用 “不连接到任何 Windows 更新 Internet 位置 ”策略设置来删除此选项。 |
| 已禁用 | 客户端直接连接到 Windows 更新网站。 |
选项:如果启用此策略设置,则必须指定 WSUS 客户端在检测更新时要使用的 Intranet 更新服务,以及更新后的 WSUS 客户端要将统计信息上传到的 Internet 统计服务器。 下表提供了示例值:
| 设置选项 | 示例值 |
|---|---|
| 设置用于检测更新的 Intranet 更新服务 | https://wsus01:8531 |
| 设置 Intranet 统计服务器 | https://IntranetUpd01 |
通过自动更新启用建议的更新
可以使用此设置来指定自动更新是否从 WSUS 提供重要和推荐更新。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 如果自动更新已经被配置为这样做,它将继续提供重要更新。 |
| 已启用 | 自动更新会从 WSUS 安装推荐更新和重要更新。 |
| 已禁用 | 如果已经将自动更新配置为这样做,自动更新将继续传递重要更新。 |
选项:此设置没有选项。
启用软件通知
可以使用此设置指定用户是否从 Microsoft 更新服务查看有关精选软件的详细增强通知消息。 增强型通知消息会传递价值,并推广可选软件的安装和使用。 此策略设置适合在松散管理的环境中使用,用户可以在这种环境中访问 Microsoft 更新服务。
如果未使用 Microsoft 更新服务,则“软件通知”策略设置不起作用。
如果“配置自动更新”策略设置已禁用或未配置,则“软件通知”策略设置不起作用。
注意
默认会禁用此策略设置。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 用户没有收到关于可选应用程序的通知。 本地管理员可以使用控制面板或本地策略来更改此设置。 |
| 已启用 | 当有特色软件可用时,用户计算机上会显示一条通知消息。 用户可以选择该通知来打开 Windows 更新,并获取有关该软件的详细信息或安装该软件。 用户还可以视需要选择“关闭此消息”,或“稍后显示”以推迟通知的显示。 |
| 已禁用 | 用户不会为可选应用程序或更新提供详细的通知消息。 |
选项:此设置没有选项。
计算机配置 > 维护计划程序策略设置
在 “配置自动更新 ”设置中,如果选择 “4 - 自动下载并计划安装 ”选项,则可以在组策略管理控制台(GPMC)中指定维护计划程序设置。 如果未在“配置自动更新”设置中选择选项 4,则无需为自动更新配置这些设置。
“维护计划程序”设置的路径为“计算机配置”“策略”>“管理模板”“Windows 组件”>“维护计划程序”>>。 组策略的“维护计划程序”扩展包含以下设置:
自动维护激活边界
可以使用此设置来配置自动维护激活边界。
激活边界是自动维护启动的每日计划时间。
注意
此设置与“配置自动更新”中的选项 4 相关。 如果未在 “配置自动更新”中选择选项 4,则无需配置此设置。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | “ 自动维护 ”页上的“控制面板”中客户端计算机上指定的每日计划时间适用。 |
| 已启用 | 在客户端计算机上,通过在“控制面板”的自动维护 页(或在某些客户端版本中的维护 页)上配置的任何默认或修改的设置将被覆盖。 |
| 已禁用 | 在“控制面板”中的“自动维护”页面上指定的每日计划时间适用。 |
自动维护随机延迟
可以使用此设置来配置激活自动维护时的随机延迟。
维护随机延迟是从其激活边界开始应用于自动维护的延迟的最大长度。 此设置可用于随机维护可能是一项性能要求的虚拟机。
注意
此设置与“配置自动更新”中的选项 4 相关。 如果未在“配置自动更新”中选择选项 4,则无需配置此设置。
如果启用此策略,“定期维护随机延迟”将默认设置为“PT4H”。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 将四小时的随机延迟应用于自动维护。 |
| 已启用 | 自动维护会出现最多持续到指定时间的随机延迟。 |
| 已禁用 | 不会对自动维护应用随机延迟。 |
自动唤醒策略
可以使用此设置配置自动维护的唤醒策略。
唤醒策略指定自动维护是否向操作计算机发出唤醒请求,以便进行日常计划维护。
注意
如果显式禁用了运行中计算机的电源唤醒策略,则此设置不起作用。 此设置与“配置自动更新”中的选项 4 相关。 如果未在“配置自动更新”中选择选项 4,则无需配置此设置。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 唤醒设置适用于在“ 自动维护 ”页上的“控制面板”中指定的唤醒设置。 |
| 已启用 | 自动维护会尝试设置操作系统唤醒策略,并在必要时为每日计划时间发出唤醒请求。 |
| 已禁用 | 唤醒设置适用于在“控制面板”的“自动维护”页中指定的设置。 |
用户配置 > Windows 更新策略设置
本部分提供有关以下基于用户的策略设置的详细信息:
在 GPME 中,自动计算机更新的用户设置位于路径<策略名称>>用户配置>策略>管理模板>Windows 组件>Windows 更新中。 这些设置的列出顺序与选择 Windows 更新策略的“设置”选项卡来按字母顺序对设置进行排序时,它们在组策略的“计算机配置”和“用户配置”扩展中的显示顺序相同。
注意
默认情况下,除非另有说明,否则不会配置这些设置。
可以使用以下步骤来启用、禁用或移动其中的每项设置。
不要在“关闭 Windows”对话框中显示“安装更新并关机”选项
可以使用此设置指定是否在“关闭 Windows”对话框中显示“安装更新和关闭”选项。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 如果用户在选择“关闭”选项以关闭计算机时有更新可用,“关闭 Windows”对话框中会显示“安装更新和关闭”选项。 |
| 已启用 | 安装更新并关闭 即使有可用更新安装,在“关闭 Windows”对话框中也不会显示为一个选项,当用户选择“关闭”选项以关闭计算机时。 |
| 已禁用 | 如果有更新可用,当用户选择关闭选项以关闭计算机时,“关闭 Windows”对话框中会显示“安装更新和关闭”选项。 |
选项:此设置没有选项。
不要调整“关闭 Windows”对话框中的默认选项“安装更新并关机”
可以使用此设置指定是否允许“ 安装更新和关闭 ”选项作为“ 关闭 Windows ”对话框中的默认选项。
注意
如果启用了 <策略名称>>用户配置>策略>管理模板>Windows 组件>Windows 更新>关闭 Windows 对话框中不显示“安装更新”和“关闭”选项 ,则此策略设置不起作用。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 如果有可供安装的更新,当用户选择“关闭”选项关闭计算机时,“关闭 Windows”对话框中的“安装更新和关机”选项将成为默认选项。 |
| 已启用 | 用户上次关闭选项是 “关闭 Windows ”对话框中的默认选项。 关闭选项的示例包括 休眠 和 重启。 无论“ 安装更新和关闭 ”选项是否在该对话框中的“ 你希望计算机做什么”下可用,都会发生此行为。 |
| 已禁用 | 如果在用户选择“关闭”选项来关闭计算机时有更新可供安装,那么“关闭Windows”对话框中的“安装更新和关闭”选项将是默认选项。 |
选项:此设置没有选项。
删除使用所有 Windows 更新功能的访问权限
可以使用此设置删除对 Windows 更新的 WSUS 客户端访问权限。
注意
Windows 10 及更高版本以及 Windows Server 2016 及更高版本不支持此设置。
| 策略设置状态 | 行为 |
|---|---|
| 未配置 | 用户可以连接到 Windows 更新网站。 |
| 已启用 | 删除了所有 Windows 更新功能。 访问 Windows 更新网站被阻止。 Windows 自动更新也会禁用。 用户不会收到有关关键更新的通知,也不会从 Windows 更新接收关键更新。 可以配置此表后列出的通知选项之一。 此设置还会阻止设备管理器自动安装 Windows 更新网站中的驱动程序更新。 |
| 已禁用 | 用户可以连接到 Windows 更新网站。 |
选项: 如果启用此设置,可以选择以下选项之一:
| 选项 | 行为 |
|---|---|
| 0 - 不显示任何通知 | 删除所有对 Windows 更新功能的访问权限,并且不会显示任何通知。 |
| 1 - 显示需要重启通知 | 将显示有关完成安装所需的重启的通知。 |
补充信息
本部分提供有关在组策略中使用、打开和保存 WSUS 设置的详细信息。 本部分还提供了本文中使用的术语的定义。 有一个表格汇总了 WSUS 各版本之间的差异,可供熟悉旧版 WSUS(WSUS 3.2 和更低版本)的管理员参考。
访问组策略中的 Windows 更新设置
以下过程描述了如何使用组策略对象 (GPO) 和其他组策略设置。
注意
要执行这些过程,你必须是“域管理员”组或等效组的成员。
若要创建组策略对象,请执行以下操作
在域控制器上,转到“服务器管理器”“工具”>“组策略管理”>。 GPMC 随即打开。
在侧窗格中,展开林。 例如,双击“ 林:example.com”。
在侧窗格中,双击“ 域”,然后双击要为其管理组策略对象的域。 例如,双击“example.com”。
执行以下任一步骤:
若要打开现有域级 GPO 进行编辑,请执行以下操作:
- 双击包含要管理的组策略对象的域。
- 右键单击要管理的域策略,然后选择“ 编辑”。 GPME 随即打开。
若要创建新的组策略对象并打开进行编辑,请执行以下操作:
- 右键单击要为其创建新组策略对象的域,然后选择 在此域中创建 GPO,然后将其链接到此处。
- 在 “新建 GPO ”对话框中的“ 名称”下,输入新组策略对象的名称,然后选择“ 确定”。
- 右键单击新的组策略对象,然后选择“ 编辑”。 GPME 随即打开。
打开组策略的 Windows 更新或维护计划程序扩展
在 GPME 中,执行以下步骤之一:
展开计算机配置>策略>管理模板>Windows 组件>Windows 更新。
展开用户配置>策略>管理模板>Windows 组件>Windows 更新。
扩展计算机配置 “策略”>“管理模板”“Windows 组件”>“维护计划程序”。>>
有关组策略的详细信息,请参阅组策略概述。
配置组策略设置
打开所需的组策略扩展后,可以使用以下步骤在设置之间启用、禁用或移动:
双击要查看或修改的设置。
执行以下任一步骤:
- 若要保留设置的默认未指定状态,请选择“ 未配置”。
- 若要启用设置,请选择“ 已启用”。
- 若要禁用设置,请选择“ 已禁用”。
在“选项”中,如果列出了任何选项,请根据需要保留默认值或进行修改。
执行以下任一步骤:
- 若要保存更改并继续下一个设置,请选择 “应用”,然后选择“ 下一步设置”。
- 若要保存更改并关闭对话框,请选择“ 确定”。
- 若要放弃所有未保存的更改并关闭对话框,请选择“ 取消”。
术语和定义
本文使用以下术语:
| 术语 | 定义 |
|---|---|
| 自动更新或自动更新 | Windows 更新代理自动计划和下载更新。 自动更新是内置于 Windows 和 Windows Server 操作系统中的客户端计算机组件,用于从 Microsoft 更新或 Windows 更新获取更新。 |
| 自治服务器 | 管理员可用于管理 WSUS 组件的下游 WSUS 服务器。 |
| 下游服务器 | 从另一台 WSUS 服务器(而不是从 Microsoft 更新或 Windows 更新)获取更新的 WSUS 服务器。 |
| 组策略扩展或组策略的扩展 | 组策略中控制用户与计算机(要向其应用策略)如何配置和使用各种 Windows 服务与功能的设置集合。 管理员可以在自动更新客户端的客户端配置中结合使用 WSUS 与组策略,以帮助确保用户无法禁用或绕过企业的更新策略。 WSUS 不要求使用 Active Directory 或组策略。 还可以使用本地组策略或通过修改 Windows 注册表来应用客户端配置。 |
| 内部更新服务 | 使用一个或多个 WSUS 服务器来分发更新的网络基础结构的随意参考术语。 |
| 副本服务器 | 一台下游 WSUS 服务器,该服务器将“审批”和“设置”镜像到它所连接到的上游服务器。 无法在副本服务器上管理 WSUS。 |
| Microsoft更新 | 一个 Microsoft Internet 站点,用于存储和分发 Windows 计算机、设备驱动程序、Windows 操作系统和其他 Microsoft 软件产品的更新。 |
| 软件更新服务 (SUS) | WSUS 的前身产品。 |
| 更新 | 任何软件修订、热修补程序、服务包、功能包和设备驱动程序的集合,可以安装在计算机上以扩展功能,提高性能和安全性。 |
| 更新文件 | 在计算机上安装更新时所需的文件。 |
| 更新信息或更新元数据 | 有关更新的信息,而不是更新包中的二进制文件。 例如,元数据提供有关更新属性的信息,以便你可以了解更新的用途。 元数据还包括 Microsoft 软件许可条款。 下载的更新元数据包通常比更新文件包小得多。 |
| 更新源 | WSUS 服务器为获取更新文件而同步到的位置。 此位置可以是 Microsoft 更新或上游 WSUS 服务器。 |
| 上游服务器 | 向另一个下游 WSUS 服务器提供更新文件的 WSUS 服务器。 |
| Windows Server Update Services (WSUS) | 在企业网络中的一台或多台 Windows Server 计算机上运行的服务器角色程序。 WSUS 基础结构提供了一种管理网络上要安装的计算机的更新的方法。 可以使用 WSUS 在发布之前批准或拒绝更新、强制按特定日期安装更新,并获取有关网络中的每台计算机需要哪些更新的详细报告。 可将 WSUS 配置为自动批准特定的更新种类,包括关键更新、安全更新、服务包、和驱动程序。 还可以使用 WSUS 批准仅检测更新,以便查看哪些计算机需要特定更新,而无需安装更新。 在 WSUS 实施方案中,网络中必须至少有一台 WSUS 服务器能够连接到 Microsoft 更新以获取可用的更新。 管理员可以根据网络安全性和配置,来确定还有其他多少台服务器可直接连接到 Microsoft 更新。 可以将 WSUS 服务器配置为通过 Internet 从 Microsoft 更新、Windows 更新或 Microsoft Store 获取更新。 |
| Windows 更新 | 一个 Microsoft Internet 站点,用于存储和分发 Windows 计算机、设备驱动程序和 Windows 操作系统的更新。 “Windows 更新”也是在 Windows 计算机上运行并检测、下载和安装更新的服务的名称。 根据计算机和策略配置,Windows 更新代理可从以下位置下载更新: - Microsoft更新。 - Windows 更新。 - Microsoft应用商店。 - Internet(网络)更新服务(WSUS)。 不在基于 WSUS 的环境中进行管理的计算机通常使用 Windows 更新,通过 Internet 直接连接到 Windows 更新、Microsoft 更新或 Microsoft Store,以获取更新。 |
| WSUS 客户端 | 从 WSUS Intranet 更新服务接收更新的计算机。 如果组策略设置控制用户与自动更新的交互,则 WSUS 客户端是 WSUS 环境中的计算机的用户。 |