使用 Windows Server Update Services 部署 Windows 客户端更新

适用范围

查找使用者信息？ 请参阅 Windows 更新：常见问题

WSUS 是在 Windows Server 操作系统中提供的 Windows Server 角色。 它为 Windows 更新在组织中提供了一个中心。 WSUS 支持公司不仅可以延迟更新，还可以选择性地批准更新、选择传递更新时间，并且可以确定接收更新的个别设备或设备组。 WSUS 提供对 Windows 更新 for Business 的额外控制，但不提供 Microsoft Configuration Manager提供的所有计划选项和部署灵活性。

选择 WSUS 作为 Windows 更新的源时，可以使用组策略将 Windows 客户端设备指向 WSUS 服务器以获取更新。 更新在此处将定期下载到 WSUS 服务器，并且通过 WSUS 管理控制台或组策略进行管理、批准和部署，这简化了企业更新管理事宜。 如果当前使用 WSUS 管理环境中的 Windows 更新，则可以在Windows 11继续执行此操作。

若要能够使用 WSUS 管理和部署 Windows 功能更新，必须使用受支持的 WSUS 版本：

重要提示

从 2017 年 7 月开始， KB 3095113 和 KB 3159706 都包含在 安全质量月度汇总 中。 这意味着你可能看不到 KB 3095113 和 KB 3159706作为已安装的更新，因为它们可能已安装汇总。 但是，如果需要其中任一更新，我们建议安装 2017 年 10 月之后发布的安全质量月度汇总，因为它们包含额外的 WSUS 更新，以降低 WSUS 的 clientwebservice 上的内存利用率。 如果在安全质量月度汇总之前同步了其中任一更新，可能会遇到问题。 若要从中恢复，请参阅 如何在 WSUS 中删除升级。

为了使用 WSUS 管理所有 Windows 更新，一些组织可能需要从外围网络访问 WSUS，或者它们可能拥有某些其他复杂方案。 WSUS 具有高度可扩展性，并且配置方便，适合任何规模或拥有任何站点布局的组织。 有关扩展 WSUS 的特定信息，包括上游和下游服务器配置、分支机构、WSUS 负载平衡和其他复杂方案，请参阅选择 WSUS 部署类型。

在使用 WSUS 管理 Windows 客户端设备上的更新时，首先为环境配置配置自动更新和 Intranet Microsoft 更新服务位置组策略设置。 执行此操作将迫使受影响客户端联系 WSUS 服务器，以便服务器可以管理这些客户端。 以下过程介绍了如何指定这些设置和将它们部署到域中的所有设备。

为环境配置“配置自动更新”和“Intranet Microsoft 更新服务位置”组策略设置

打开 组策略 管理控制台 (gpmc.msc) 。

展开 “林\域\Your_Domain”。

右键单击 “Your_Domain”，然后选择“ 在此域中创建 GPO”，并将其链接到此处。

注意

在本示例中，已为整个域指定了配置自动更新和 Intranet Microsoft 更新服务位置组策略设置。 并不是一定要这样做，可以使用安全筛选或特定 OU 将这些设置指向任何安全组。

在新建 GPO 对话框中，将新 GPO 命名为 WSUS – 自动更新和 Intranet 更新服务位置。

右键单击 WSUS - 自动更新和 Intranet 更新服务位置 GPO，然后单击编辑。

在组策略管理编辑器中，依次转到“计算机配置”\“策略”\“管理模板”\“Windows 组件”\“Windows 更新”。

右键单击配置自动更新设置，然后单击编辑。

在配置自动更新对话框中，选择启用。

在选项下，从配置自动更新列表中选择 3 - 自动下载并通知安装，然后单击确定。

重要提示

使用Regedit.exe检查以下密钥未启用，因为它可能会中断 Windows 应用商店连接：Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations

注意

自动更新下载和安装日期和时间有三个其他设置。 这只是本示例使用的设置。 有关如何控制自动更新和其他相关策略的更多示例，请参阅使用组策略配置自动更新。

右键单击“ 指定 Intranet Microsoft 更新服务位置 ”设置，然后选择“ 编辑”。

在指定 Intranet Microsoft 更新服务位置对话框中，选择启用。

在“选项”下的“设置用于检测更新的 Intranet 更新服务”和“设置 Intranet 统计信息服务器选项”中，键入 http://Your_WSUS_Server_FQDN:PortNumber，然后选择“确定”。

注意

下图中的 URL http://CONTOSO-WSUS1.contoso.com:8530 只是一个示例。 在你的环境中，确保将服务器名称和端口号用于 WSUS 实例。

注意

WSUS 的默认 HTTP 端口是 8530，安全套接字层上的默认 HTTP (HTTPS) 端口是 8531。 (其他选项为 80 和 443;不支持其他端口。)

当 Windows 客户端刷新计算机策略（默认的组策略刷新设置是每隔 90 分钟和重启计算机时刷新一次）时，计算机将开始显示在 WSUS 中。 既然客户端可以与 WSUS 服务器通信，则可以创建与部署圈保持一致的计算机组。

注意

以下过程使用 Windows 客户端更新的生成部署圈 中的表 1 中的组作为示例。

可以使用计算机组关注具有特定质量和功能更新的设备的子集。 这些组表示 WSUS 控制的部署圈。 可以使用 WSUS 管理控制台手动填充这些组，或者通过组策略自动填充。 无论选择什么方法，都必须首先在 WSUS 管理控制台中创建组。

在 WSUS 管理控制台中创建计算机组

打开 WSUS 管理控制台。

依次转到 Server_Name\“计算机”\“所有计算机”，然后单击添加计算机组。

键入圈 2 试验商业用户作为名称，然后单击添加。

为圈 3 广泛的 IT 和圈 4 广泛的商业用户组重复这些步骤。 完成后应该有三个部署圈组。

既然已经创建了组，那就将计算机添加到与所需部署圈相一致的计算机组。 可以通过组策略或使用 WSUS 管理控制台手动执行此操作。

在 WSUS 管理控制台中将计算机添加到计算机组很简单，但花费的时间要比通过组策略管理成员身份的时间要长，特别在添加多台计算机的时候就更是如此。 在 WSUS 管理控制台中将计算机添加到计算机组称为服务器端目标。

在本示例中，使用两种不同的方法将计算机添加到计算机组：手动分配未分配的计算机和搜索多台计算机。

当新计算机与 WSUS 通信时，它们将显示在未分配的计算机组中。 在此处可以使用以下步骤将计算机添加到正确的组。 对于这些示例，可以使用两台 Windows 10 电脑（WIN10-PC1 和 WIN10-PC2）添加到计算机组。

手动分配计算机

在 WSUS 管理控制台中，依次转到 Server_Name\“计算机”\“所有计算机”\“未分配的计算机”。

在这里，你可以看到接收了在之前部分中创建的 GPO 并且开始与 WSUS 通信的新计算机。 本示例仅使用了两台计算机，你可能会在示例中使用许多计算机，具体取决于部署策略的广度。

选择两台计算机、右键单击所选内容，然后单击更改成员身份。

在设置计算机组成员身份对话框中，选择圈 2 试验商业用户部署圈，然后单击确定。

因为计算机已分配到某个组，所以它们不再处于未分配的计算机组中。 如果选择了圈 2 试验商业用户计算机组，将可以在此处看到两台计算机。

在 WSUS 管理控制台中将多台计算机添加到部署圈的另一种方法是使用搜索功能。

搜索多台计算机

在 WSUS 管理控制台中，依次转到 Server_Name\计算机\所有计算机、右键单击所有计算机，然后单击搜索。

在搜索框中，键入 WIN10。

在搜索结果中，选择算机、右键单击所选内容，然后单击更改成员身份。

选择圈 3 广泛的 IT 部署圈，然后单击确定。

此时在圈 3 广泛的 IT计算机组中可以看到这些计算机。

WSUS 管理控制台提供友好界面，可以在此处管理 Windows 10 质量和功能更新。 但是，当需要将许多计算机添加到正确的 WSUS 部署圈时，在 WSUS 管理控制台中手动操作将耗费许多时间。 对于这些情况，请考虑使用组策略指向正确的计算机，并根据 Active Directory 安全组自动将这些计算机添加到正确的 WSUS 部署圈。 此过程称为客户端目标。 在组策略中启用客户端目标前，必须配置 WSUS 才能接受组策略计算机分配。

配置 WSUS 以在组策略中支持客户端目标

打开 WSUS 管理控制台，然后依次转到 Server_Name\选项，再单击计算机。

在计算机对话框中，选择使用计算机上的组策略或注册表设置，然后单击确定。

注意

此选项只能二选一。 如果启用了 WSUS 将组策略用于分配组，则在将选项更改回原来的设置之前都无法通过 WSUS 管理控制台手动添加计算机。

既然 WSUS 已准备好用于客户端目标，则完成以下步骤以使用组策略配置客户端目标：

配置客户端目标

提示

在使用客户端目标时，请考虑为安全组取一个与部署圈相同的名称。 这样做可以简化策略创建过程，并且有助于确保不会将计算机添加到错误的圈。

打开 组策略 管理控制台 (gpmc.msc) 。

展开“林\域\Your_Domain”。

右键点击你的域，然后单击在这个域中创建 GPO 并在此处链接。

在新建 GPO 对话框中，键入 WSUS – 客户端目标 – 圈 4 广泛的商业用户作为新 GPO 的名称。

右键单击 WSUS – 客户端目标 – 圈 4 广泛的商业用户 GPO，然后单击编辑。

在组策略管理编辑器中，依次转到“计算机配置”\“策略”\“管理模板”\“Windows 组件”\“Windows 更新”。

右键单击启用客户端目标，然后单击编辑。

在启用客户端目标对话框中，选择启用。

在此计算机的目标组名称框中，键入圈 4 广泛的商业用户。 这是 WSUS 中部署圈的名称，这些计算机将添加到此处。

警告

目标组名称必须与计算机组名称匹配。

现在可以随时将此 GPO 部署到圈 4 广泛的商业用户部署圈中正确的计算机安全组。

将 GPO 范围设定在某个组

在 GPMC 中，选择 WSUS – 客户端目标 – 圈 4 广泛的商业用户策略。

单击范围选项卡。

在安全筛选中，删除默认的已经过身份验证的用户安全组，然后添加圈 4 广泛的商业用户组。

在下一次圈 4 广泛的商业用户安全组中的客户端接收计算机策略和联系 WSUS 时，它们将添加到圈 4 广泛的商业用户部署圈。

对于功能更新在可用时即需批准的客户端，可以在 WSUS 中配置自动批准规则。

注意

WSUS 尊重客户端设备的服务分支。 如果在功能更新仍在一个分支（例如 Insider Preview）中批准该功能更新，WSUS 将仅在该服务分支中的设备上安装更新。 当 Microsoft 发布 正式发布频道的内部版本时，将安装它的设备。 Windows 更新 for Business 分支设置不适用于通过 WSUS 进行的功能更新。

为 Windows 客户端功能更新配置自动审批规则，并为圈 3 广泛 IT 部署圈批准这些规则此示例使用 Windows 10，但Windows 11的过程相同。

在 WSUS 管理控制台中，转到“更新服务\Server_Name\选项”，然后选择“ 自动批准”。

在更新规则选项卡上，单击新建规则。

在添加规则对话框中，选中当更新属于特定分类时、当更新属于特定产品时以及设置审批期限复选框。

在编辑属性区域中，选择任意分类。 清除除升级之外的所有项，然后单击确定。

在编辑属性区域中，单击任意产品链接。 清除除 Windows 10 之外的所有复选框，然后单击确定。

Windows 10 位于“所有产品”\“Microsoft”\“Windows”下。

在编辑属性区域中，单击所有计算机链接。 清除除圈 3 广泛 IT之外的所有计算机组复选框，然后单击确定。

将截止时间设置保留为审批后第 7 天凌晨 3 点前。

在步骤 3: 指定名称框中，键入圈 3 广泛 IT 的 Windows 10 升级自动审批，然后单击确定。

在自动审批对话框中，单击确定。

注意

WSUS 不遵循任何现有的月/周/日 延迟设置。 也就是说，如果将适用于企业的 Windows 更新用于同时使用 WSUS 管理更新的计算机，则当 WSUS 批准更新时，它将安装在计算机上，无论是否配置了要等待的组策略。

现在，每当 Windows 客户端功能更新发布到 WSUS 时，它们将自动获得环 3 广泛 IT 部署圈的批准，安装截止时间为 1 周。

警告

自动审批规则在同步后运行。 这意味着将批准每个 Windows 客户端版本的 下一次 升级。 如果选择“ 运行规则”，则会批准所有符合条件的可能更新，包括你实际上不需要的旧更新，当下载大小非常大时，这可能会造成问题。

你也可以在 WSUS 管理控制台中手动批准更新，并设置安装截止时间。 更新试点部署后，最好手动批准更新规则。

若要简化手动审批过程，请首先创建一个仅包含本示例中Windows 10 () 更新的软件更新视图。 此过程与Windows 11更新相同。

注意

如果批准一台计算机的多个功能更新，则客户端可能会出错。 每台计算机仅批准一个功能更新。

手动批准并部署功能更新

在 WSUS 管理控制台中，转到“更新服务\Server_Name\汇报”。 在操作窗格中，单击新建更新视图。

在添加更新视图对话框中，选择更新属于特定分类和更新适用于特定产品。

在步骤 2: 编辑属性下，单击任意分类。 清除除升级之外的所有复选框，然后单击确定。

在步骤 2: 编辑属性下，单击任意产品。 清除除 Windows 10 之外的所有复选框，然后单击确定。

Windows 10 位于“所有产品”\“Microsoft”\“Windows”下。

在步骤 3: 指定名称框中，键入所有 Windows 10 升级，然后单击确定。

现在，你已拥有“所有Windows 10升级”视图，请完成以下步骤，手动批准圈 4 广泛商业用户部署圈的更新：

在 WSUS 管理控制台中，转到“更新服务\Server_Name\汇报\所有Windows 10升级”。

右键单击希望部署的功能更新，然后单击批准。

在批准更新对话框的圈 4 广泛的商业用户列表中，选择已审批进行安装。

在批准更新对话框的圈 4 广泛的商业用户列表中，单击截止时间、单击一周，然后单击确定。

如果打开了 Microsoft 软件许可条款对话框，单击接受。

如果部署成功，将收到成功过程报告。

在审批进度对话框中，单击关闭。