繼續我們的教學。在上一篇我們完成群組原則的設定之後,若想要讓特定的 Windows 用戶端立即生效,只要在該用戶端電腦中以系統管理員身分開啟[命令提示字元],然後下達 gpupdate /force 命令參數即可。
圖 28 用戶端群組原則更新
回到 WSUS 管理介面,基本上只要我們預先有配置好目標群組的原則設定,相關的 Windows 用戶端在原則生效之後,便會自動歸類到指定的電腦群組之中,而對於沒有被套用目標群組原則的電腦,則可以像如圖 29 所示一樣,在[尚未指派的電腦]節點頁面之中,單選或多選指定的電腦之後,按下滑鼠右鍵點選[變更成員資格]來修改即可。
圖 29 更新電腦管理
針對所有已被套用 Windows Update 群組原則的電腦,無論是用戶端或是伺服器在它們本機的 Windows Update 更新設定中,將會像如圖 30 所示一樣顯示成反白讓使用者無法進行修改。
圖 30 用戶端 Windows Update 設定
而在 WSUS 管理介面中所有已被納入控管的 Windows 電腦,您都可以隨時針對它們,透過滑鼠右鍵或是[動作]窗格中的[狀態報告]功能,來檢視該電腦的完整更新資訊報告。但是在您第一次執行時,可能會出現如圖 31 所示的[功能無法使用]之錯誤訊息。這時候只要點選其中的超連結,即可立刻到 Microsoft 官網上進行下載與安裝報表檢視器工具。
圖 31 可能的錯誤訊息
完成報表檢視器工具的安裝之後,您就可以對於任何一個受管理的電腦開啟如圖 32 所示的狀態報告頁面。在此首先可以檢視到此電腦系統的一般資訊,包括作業系統版本、已安裝的 Service Pack 版本、語言、IP 位址以及上次執行狀態報告的日期。接著則是可以看到目前有多少無法進行安裝的更新、尚未安裝的更新數量、已安裝或不適用的更新數量。
圖 32 電腦狀態報告
如圖 33 所示進一步則可以檢視到所有已安裝、尚未安裝或是不適用的更新項目清單。若想要查看任何一支更新程式的詳細資訊,只要點選相對的超連結,即可到 Microsoft 網站上看到該更新的完整描述資訊。
圖 33 更新詳細狀態報告
對於在 WSUS 管理介面中所有更新項目的部署狀態,都可以像如圖 34 所示一樣在[更新]節點下的分類之中進行查看,這包含了所有的更新、重大更新、安全性更新以及 WSUS 更新。然後這一些更新的結果資訊,由於都是透過受管控Windows 的用戶端或伺服器所自動回報,因此不見得會是最即時的狀態資料。在此建議您可以初期的測試階段,對於測試中的 Windows 電腦,可以隨時開啟命令提示列工具,來執行 wuauclt /reportnow 命令參數,以取得最新的更新狀態回報。
圖 34 更新管理
在系統預設的狀態下所有的更新項目,是不會主動下載與被派送到受管理的 Windows 電腦之中,而是必須經由手動核准之後才會開始進行。您只要點選在[動作]窗格中的[核准]連結,即可開啟如圖 35 所示的[核准更新]設定頁面,在此您可以只針對所要核准的電腦群組進行核准。點選[確定]。
圖 35 核准更新
緊接著將會出現如圖 36 所示的核准進度頁面,如果全部更新皆顯示為[成功],即表示這一些更新項目將會自動被需要的受管理電腦所下載。點選[關閉]。
圖 36 核准進度
來到任何一部受管理並已被核准更新的電腦中,若是所下載的更新尚未自動在此作業系統完成安裝,將可以像如圖 37 所示一樣在[Windows Update]中看到等待更新安裝的數量,包括了重要更新以及選用更新。
圖 37 用戶端等待更新
當受 WSUS 更新伺服器所管理的電腦,逐漸一一完成更新下載與安裝之後,管理員便可以在 WSUS 管理介面中,來查看個別電腦的更新情形。如圖 38 所示最簡單的做法就是,將滑鼠游標移到目前所選取的電腦上方,它便會顯示尚未更新的數量、已下載但尚未安裝的數量、已經完成更新安裝的數量、不適用的更新數量。
圖 38 檢查特定電腦更新狀態
如圖 39 所示進一步則可以從電腦狀態的報告頁面之中,查看到每一支已安裝、已下載、尚未安裝以及不適用的更新程式清單。若覺得顯示的更新清單過於複雜,還可以透過[選擇更新狀態]的修改來設定篩選,例如您可能會希望僅查看[已安裝]的更新程式清單。
圖 39 更新明細資料
待續..
比黑客更快修補安全漏洞:網域電腦的更新管理(2)
https://www.facebook.com/hkitblog