我已经在Windows Server 2008中设置了WSUS,并且只是在我的机器上报告了它。 现在我已经准备好在整个公司范围内进行大规模的扩展了,我试图找出实际添加和分组客户端计算机的最佳方法。 它设置为使用组策略添加客户端。 我创build了一个新的组策略对象来严格定义WSUS设置。
我的问题是,你可以将这个应用到基于用户AD对象的计算机还是必须由计算机AD对象? 我问的原因是因为在AD我们有100个用户按部门分组,但是所有的计算机只是在Domain \ Computers中没有组织。 我面临的任务是我们不希望我们的所有计算机连接到WSUS(例如程序员)。 那么在这种情况下,我可以使用我们已经创build的由“用户”成员组成的组,还是需要为每个部门创build一个新组,并将其各自的计算机添加到组中? (即“财务用户”组和“财务计算机”组)。
你将需要组织你的电脑。 没有办法获得用户的身份来决定WSUS策略; 当别人login时会发生什么? 或者当没有人login?
环回处理允许计算机链接的GPO应用于用户,但不能反过来工作。
设置域范围策略,将所有计算机locking到WSUS服务器。 使用客户端定位,并使全局策略将计算机定位到不会定期获得修补程序的组中。
然后,将更多具体的策略客户端 – 目标分组,您将定期批准补丁。 程序员可能不希望你更新他们的软件,但这并不意味着你不应该让他们在库存中看看他们有多远。 “看不到邪恶”的做法是不明智的。
你应该把你的计算机组织成公元组,这就是为什么。 我会开始采取一个实物清单,并像这样映射到AD。 然后将GPO(基于计算机,而不是基于用户)应用于这些OU。