我们正在考虑在工作中植入WSUS。 最大的问题是使用组。 如果一台机器是两个不同组的成员,并且一个组被批准更新而另一个不被批准,那么该机器将被批准用于更新吗? 微软的大部分产品都使用“最严格”的理念,但在WSUS中我找不到这方面的证据。
WSUS计算机组与AD组不相同。 在WSUS中,计算机一次只能属于一个组。 所以组:电脑是1:M(一对多)
这不同于AD,其中Group:Computer是M:M(多对多)。 您可以将多台计算机组合成一个组,并且任何一台计算机可以同时属于多个组。
注意事项:
尽pipe如此,WSUS团体仍然处于血腥的状态。 如果您批准更新“在树上”,它通常会inheritance到子组,并最终被批准用于下面的所有计算机。 但是,如果您愿意,可以在每次更新的基础上对WSUS进行控制。
可以configuration以下系统:AD组成员身份导致 WSUS组策略应用程序导致计算机被置于特定的目标组中。 只有一个WSUS目标组将最终被应用,这是由通常的组策略inheritance顺序决定的。