初步完成了 WSUS 伺服器的建置以及同步 Microsoft Update 之後,接下來最重要的就是集中控管 Active Directory 中的所有 Windows 電腦之更新,然後再來處理網域以外的電腦更新問題。然而在我們準備管理所有 Windows 電腦的更新之前,首先應當養成隨時注意 WSUS 伺服器的頁面資訊。如圖 18 所示,在此您可以從[待辦事項]區域中,知道各種更新等待核准的數量。接著可以在[概觀] 區域中得知需要更新的電腦數量、同步處理狀態、電腦需要的更新數量、核准的統計資訊以及此 WSUS 主機的連線與版本資訊。
圖 18 WSUS 管理工具
接下來是 WSUS 服務中電腦群組的管理。電腦群組的建立是 WSUS 佈署時重要的環節之一,因為透過目標群組的建立可以在進行更新之前,預先分配好各群組中的電腦有哪一些,而在預設的目標群組中,已經存在的有[所有電腦(All Computers)]以及[尚未指派的電腦(Unassigned Computers)],而這一些電腦分配的時機,預設則是由用戶端初始化連線到 WSUS 主機時決定。
除了系統內建的兩個電腦群組之外,管理者也可以自行安排新的電腦群組來加入,而建立電腦群組的優點之一,就是可以讓管理者在正式進行全面部署到所有電腦的目標群組之前,先完成測試性的部署更新安裝,至於自訂電腦群組建立的數量則是沒有限制。
您必須決定如何將目前網路中的電腦來一一加入指定的目標群組之中,在此您可以選擇的方式有兩種分別為由伺服端挑選(server-side targeting)以及由用戶端挑選(client-side targeting),前者只需要透過 WSUS 的管理介面來手動將指定的電腦加入到指定的電腦群組中即可。而後者則必須透過群組原則的設定或手動修改用戶端登陸檔(Registry)的方式,來讓用戶端自動加入到指定的電腦群組。如圖 19 所示便是由伺服端挑選的加入方式,您可以在[所有電腦]節點上,按下滑鼠右鍵並點選[新增電腦群組],或是從[動作]窗格之中來執行此功能。
圖 19 管理電腦群組
如圖 20 所示便是新增電腦群組的設定頁面,只要輸入新電腦群組名稱即可。至於命名方式不妨可以設定和 Active Directory 的組織容器名稱對應,有些 IT 單位習慣使用部門課室名稱以及地點來分類,有些則習慣根據作業系統的類型來分類。
圖 20 新增電腦群組
完成了所有電腦群組的建立之後,接下來就可以開始來建立群組原則,以便讓 Active Directory 中所有的電腦或是特定組織單位的電腦,可以遵循 IT 單位所制定的原則,自動完成 Windows 以及 Microsoft 相關產品的更新作業。請從[伺服器管理員]介面的[工具]下拉選單中,開啟[群組原則管理]工具。如圖 21 所示請針對所要套用 WSUS 更新管理原則的組織單位,按下滑鼠右鍵點選[在這個網域中建立 GPO 並連結到]。
請注意!若是您打算將 WSUS 更新管理原則套用到整個網域中的所有電腦,則可以直接編輯預設的[Default Domain Policy]原則物件。
圖 21 群組原則管理
在如圖 22 所示的[新增 GPO]頁面中,請輸入一個新原則的名稱,建議可以直接輸入一個有意義的中文名稱。點選[確定]。
圖 22 新增 GPO
完成群組原則物件(GPO)的建立之後,緊接著請如圖 23 所示在該物件上方,按下滑鼠右鍵點選[編輯]繼續。
圖 23 組織容器 GPO 管理
待續..
比黑客更快修補安全漏洞:網域電腦的更新管理
https://www.facebook.com/hkitblog