比黑客更快修補安全漏洞：工作群組電腦的更新管理

在企業網路之中通常會有一些 Windows Client 或 Windows Server 是不會被納入 Active Directory 的管轄之中，其原因通常都是因為這一些電腦是屬於 IT 部門的特殊用途使用，或是因為其它安全管理上的政策因素，讓它們獨立在指定的工作群組分類之中，在這樣的情境之下如果想要讓這一些未加入網域的 Windows 電腦，一樣可以透過網域中的 WSUS 主機來管理更新安裝，是否也能辦得到呢？

答案是可以的，因為只要以個別本機管理員的身分，在登入 Windows 電腦之後，以 MMC 命令開啟內建的管理主控台介面，然後如圖 40 所示加入[本機電腦原則]的管理後即可進行設定。當然您也可以直接下達 gpedit.msc 的命令來直接開啟它。

圖 40 MMC 主控台設定

如圖 41 所示在本機群組原則編輯器頁面之中，一樣可以展開至[電腦設定]\[系統管理範本]\[Windows元件] 來管理有關於[Windows Update]的各項設定，包括[設定自動更新]原則等等，而這些設定的修改並不需要執行 gpupdate /force 命令，便會立即生效。

圖 41 本機群組原則編輯器

稍待幾分鐘之後您應該就可以在 WSUS 的管理介面中，如圖 42 所示看到此工作群組的電腦出現在指定的電腦群組，或是[尚未指派的電腦]的頁面之中。如果您希望該電腦可以快點出現在 WSUS 管理介面之中，可以嘗試在此電腦的[命令提示列]之中下達 wuauclt /detectnow 命令。

圖 42 偵測到工作群組電腦

以一部受管理的 Windows 7 用戶端來說，您除了可以在[控制台]\[Windows Update]中，看到目前的更新變更設定已反白之外，也會發現在如圖 43 所示的[行動作業中心]介面之中，一樣無法變更其中的[Windows Update]設定。

圖 43 Windows 7 行動作業中心

往後一旦有新的更新程式被派送到此 Windows 7 電腦時，如果在原則設定中有啟用通知功能，便可以在桌面右下角的工作通知列之中，如圖 44 所示看到關於來自 Windows Update 的更新通知。

圖 44 更新通知

待續..