WSUSおよびグループポリシーでWindows Updateの制御を行っておりますが
利用の動作が確認されないためご教示いただきたくお願いいたします。
WSUS上で「自動承認」の設定で「承認されたXX日後のXX:XX」という設定をしており
グループポリシーでは「自動更新を構成する」を有効にし、設定「4」「0-毎日」の設定をしております。
理想としては、WSUSの自動承認の数日経過するまでUpdateは適用されず、
数日経過後はグループポリシーの設定が有効になるようにしたいです。
その場合、どちらの動作が優先されるという事では無く、タイミングの早い方の動作により更新プログラムがインストールされる理解です。
期待する動作として、期限を過ぎると自動インストールされるインストール期限 (Deadline) は設けるが、それまで自動インストールは動作させずユーザーが任意にインストールを実行できる様にしておきたいとの事であれば、「自動更新の構成」を「2 - ダウンロードとインストールを通知」か「3 - 自動ダウンロードしインストールを通知」にしておき、WSUS の自動承認規則で期限を設ければ実現可能かと思います。
回答ありがとうございます。
タイミングの早い方の動作というのはどうしようもなさそうですね。
ユーザへは任意のインストール設定をすると、インストールしないユーザもいると思われるため強制的なインストールをさせたいです。
WindowsUpdateは稀に不具合がありますので、WSUS上では10日後に承認の設定をしております。
10日後に自動でインストールをさせたい。または緊急のUpdateが出た場合には、WSUS上で日付を指定しインストールを許可すると、その機能は有効に働くようにしたいです。
私のやりたいことを設定するとなるとWSUS・グループポリシーでは難しいでしょうか?
前回の返信で書かせて頂いた通り、グループポリシー側の自動更新の構成は 2 か 3 の任意適用にしておき、自動インストールを WSUS 側の自動承認規則(インストール期日)で制御するのがよろしいかと思います。
緊急でパッチ適用が必要な場合も、グループポリシーの自動更新の構成を 4 の自動更新 (毎日) に変更すれば、おおよそ1日以内に自動インストールが実行されるでしょう。
認識の齟齬が有るかもしれないので補足ですが、自動承認規則の「承認の期日の設定」は、カタログ同期後に指定した期日まで承認を待機する設定では無く、期日までにインストールが実施されなかった場合、強制的にインストールを実施する「インストール期日」です。
SP2 新機能「自動承認規則にて期日及び時間を指定する機能」について
https://blogs.technet.microsoft.com/jpwsus/2009/11/16/sp2-3/
