数据中心部署WSUS实例(三)域策略配置
连接之前,WSUS上的配置已经完成。后面将在域DC上配置域策略及WMI筛选器。总体思路为:根据目标分组终端计算机名配置WMI筛选器---根据分组创建update策略---根据不同分组绑定WMI筛选器---配置update策略。
首先运行 "gpmc.msc"打开组策略管理,定位到WMI筛选器 右键新建 WMI筛选器
在弹出的 新建WMI筛选器 对话框中输入筛选器名称如 group-a,并点击添加 按钮
在弹出的 WMI查询 对话框中,因采用计算机名做过滤条件,所以命名空间为默认的 root\CIMv2使用select查询语句将group-a分组的终端计算机名输入至语句后面的引号内。代码如下:
SELECT * FROM Win32_ComputerSystemwhere name = "pc01" OR name = "pc02" OR name ="pc03"
确定后,将返回 新建WMI筛选器 界面,点击 保存 即可
根据二个分组再创建一条WMI筛选器,完成后会在WMI筛选器右侧出现。目前尚未绑定链接任何组策略
WMI筛选器创建完成后,在组策略视图需要下发策略的OU下创建策略,如Server这个OU下
输入一个组策略名字,为方便区分输入如 group-A
选中刚创建的策略,在右侧 WMI筛选中,点选下拉箭头并选中刚创建的WMI筛选器
根据以上方法创建另一分组策略并链接绑定另一组WMI筛选器,最终在WMI筛选器视图下可以看到筛选器已分别链接绑定到相关分组策略
分组策略与WMI筛选器链接绑定后,即可对策略规则进行配置了。右键刚创建的组策略,点选 编辑
在弹出的 组策略管理编辑器 对话框中定位到:计算机配置---策略---管理模板---Windows组件---Windows更新 在右侧弹出的规则列表中,有5项是需要进行配置的。
自上往下:
1.配置终端补丁的计划任务时间及补丁方式。因最终对终端Server服务器进行手动点击安装操作,因此选择 2( 仅连接WSUS 不下载,不安装) 。
2. 配置补丁更新服务器地址,此处填写本地 WSUS 地址//x.x.x.x:8530 (WSUS平台操作系统如果是Windows2008则无需8530端口)
3. 终端更新频率,即连接WSUS频率。可设置 1 小时
4. 此策略 主要配置终端 update 。 服务自身补丁安装,及无需重启的补丁。 ( 实际情况所安装补丁均为
关键及安全补丁,均需重启操作。所以此策略配置后终端 仅安装 update 自身更新补丁)
5. 此策略为配置终端服务器在 WSUS 上进行分组分类。因有二个不同终端分组,因此需将终端进行分组分类。如:group-A 注意:在另一个group-B策略规则中将此条改为 group-B(此处的名称必须与WSUS上计算机机分组名称一致)
至此,域DC上的配置已经完成。在实际应用中,策略下发后在WMI筛选器内的分组终端计算机取得策略连接到WSUS端后会自动出现在WSUS端的不同计算机分组中。终端也会提示有新更新可用,但不会下载亦不会安装。因有WMI筛选器的存在,不在筛选器内的终端不能获得策略连接WSUS。即使因输入失误导致其他非update终端获得策略,WSUS上部署的防火墙亦会拒绝此终端连接。除非DC策略与WSUS防火墙均配置出错。
-
日历
-
分类
-
个人资料
-
链接
-
最新评论
-
存档
-
搜索
发表评论: