none
WSUS與GPO設定 RRS feed

  • 問題

  • 今天在公司新架了一台WSUS,WSUS目前皆正常運行
    但小弟在設定上有個問題
    我分了3個群組client、MIS、server
    其中MIS、SERVER群組內的機器是要主動下載手動更新
    登入User都屬於Administrators群組
    (GPO設定:檢查更新,但讓我選擇是否要安裝)
    (WSUS:核准,但沒指定時間)
    但結果卻是在關機選項出現,安裝更新然後關機

    煩請各位大大指導,謝謝。
    • 已編輯 Vincent Lin 2009年7月1日 上午 09:46 修改部分內容
    2009年6月23日 上午 06:04

解答

所有回覆

  • 在GPO裡面將下面Policy設定為啟動後應該就不會出現在關機的選項裡面了 (位置跟設定Windows Update一樣)

    "Do not display 'Install Updates and Shut Down' option in Shut Down Windows Dialog box"
    • 已提議為解答 Vincent Lin 2009年6月24日 上午 06:47
    • 已取消提議為解答 Vincent Lin 2009年6月29日 上午 06:38
    2009年6月24日 上午 01:58
  • 在GPO裡面將下面Policy設定為啟動後應該就不會出現在關機的選項裡面了 (位置跟設定Windows Update一樣)

    "Do not display 'Install Updates and Shut Down' option in Shut Down Windows Dialog box"

    Vincent 您好
    你可能誤為我的意思了
    我是希望能像正常的狀態下,右下角會出現驚嘆號提示安裝

    謝謝Vincent的提示。
    2009年6月29日 上午 06:37
  • 不好意思誤解你的意思
    那些群組裡面的User是Administrators的權限嗎?
    預設只有Administrators的成員才會收到更新通知

    試著啟動這條Policy看看(電腦設定 -> Windows設定 -> 系統管理範本 -> Windows 元件 -> Windows Update)

    "Allow non-administrators to receive update notifications"
    • 已提議為解答 Vincent Lin 2009年6月29日 上午 07:18
    • 已取消提議為解答 Vincent Lin 2009年6月30日 上午 09:13
    2009年6月29日 上午 06:45
  • Dear Vincent

    啟動這條Policy後,電腦重新開機重套GPO

    右下沒出現驚嘆號提示安裝,依然是在關機選項出現
    2009年6月29日 上午 09:10
  • 在Client端執行 wuauclt /detectnow /reportnow 後等幾分鐘看看右下角有沒有出現盾牌
    還是沒有的話

    檢查XP的下面機碼

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 裡面的 ElevateNonAdmins 的值是不是為 1

    2009年6月29日 上午 09:18
  • Dear Vincent

    啟動這條Policy後,電腦重新開機重套GPO

    右下沒出現驚嘆號提示安裝,依然是在關機選項出現

    套完GPO後還要再重新開機一次才會生效喔
    2009年6月29日 上午 09:27
  • 在Client端執行 wuauclt /detectnow /reportnow 後等幾分鐘看看右下角有沒有出現盾牌
    還是沒有的話

    檢查XP的下面機碼

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 裡面的 ElevateNonAdmins 的值是不是為 1

    Dear Vincent

    機碼裡的值是1,下完指令沒出現盾牌
    WSUS3.0裡選 "使用電腦上的群組原則或登入設定"
    2009年6月30日 上午 07:10
  • "使用電腦上的群組原則或登入設定" 這選項應該沒有影響
    問題還滿怪的..先檢查下面動作

    0.使用此指令 wuauclt.exe /resetauthorization /detectnow 後等幾分鐘看看有沒有改善

    1.你把下面機碼裡面的所有項目和其值都貼上來看看
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

    2.所有電腦都會有此問題嗎?還是只有某一台? , 登入帳號有Administrators權限嗎?沒有的話使用有Administrators權限的帳戶登入後測試看看

    3.在有問題的電腦上執行完 wuauclt /detectnow 後..透過工作管理員 -> 處理程序 , 看看有沒有 wuauclt.exe (用登入帳號執行的..不是使用System) 在執行

    4.Windows Update的群組原則有啟動哪些Policy..可以的話貼上來看看
    2009年6月30日 上午 08:07
  • 0.今天早上已經執行過了,沒有回應
    1.
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
    "AutoInstallMinorUpdates"=dword:00000001
    "NoAutoUpdate"=dword:00000000
    "AUOptions"=dword:00000003
    "ScheduledInstallDay"=dword:00000000
    "ScheduledInstallTime"=dword:0000000c
    "UseWUServer"=dword:00000001
    "RescheduleWaitTimeEnabled"=dword:00000001
    "RescheduleWaitTime"=dword:0000001e
    "DetectionFrequencyEnabled"=dword:00000001
    "DetectionFrequency"=dword:00000006
    "RebootWarningTimeoutEnabled"=dword:00000001
    "RebootWarningTimeout"=dword:0000001e
    "RebootRelaunchTimeoutEnabled"=dword:00000001
    "RebootRelaunchTimeout"=dword:0000001e

    2.因為新建,裡面只有幾台測試的user與server,狀況都一樣,權限都是administrator

    3.處理程序,出現一下子,然後在關機選項出現,安裝更新然後關機(自己的電腦,剛剛加入群組測試)

    4.
    設定自動更新 
    指定近端內部網路 Microsoft 更新服務的位置 
    自動更新偵測頻率 
    允許非系統管理員收到更新通知
    允許立即安裝自動更新 
    再次提示排程安裝所需的重新啟動
    延遲排程安裝的重新啟動
    重新排程已經排程好的自動更新安裝
    啟用用戶端目標鎖定

    2009年6月30日 上午 08:33
  • 我在我的測試環境下把你的設定全部套用..到是沒有你的問題發生..還是可以出現右下角的盾牌
    請你在Client端執行ClientDiag.exe並把結果貼上來看看(登入administartor執行)

    Client Diagnostic Tool
    http://download.microsoft.com/download/9/7/6/976d1084-d2fd-45a1-8c27-a467c768d8ef/WSUS%20Client%20Diagnostic%20Tool.EXE


    另外..你在GPO裡面的使用者設定->Windows 設定 -> 系統管理範本 -> Windows 元件 -> Windows update, 裡面有設定嗎?
    如果你有啟動 "移除使用所有Windows Update功能的存取"的Policy的話,請將它取消後在測試看看
    • 已編輯 Vincent Lin 2009年6月30日 上午 09:28
    • 已提議為解答 Vincent Lin 2009年6月30日 上午 09:30
    • 已標示為解答 咚咚咚 2009年7月1日 上午 09:22
    2009年6月30日 上午 09:18
  • Dear Vincent

    取消移除使用所有Windows Update功能的存取 重新開機就出現右下角的盾牌

    感謝Vincent協助

    最後一問~取消移除使用所有Windows Update功能的存取,USER是否就能連微軟網站更新
    這還能透過其他方式取消嗎

    2009年7月1日 上午 09:22
  • 假如你的登入者帳號都擁有Administrators的權限的話
    那就可以透過微軟網站進行更新動作
    阻擋的話..我想到一個方式..是透過GPO將使用者IE的設定裡面..把下面網址列入限制的網站清單中

    http://windowsupdate.microsoft.com

    1.GPO -> 使用者設定 -> Windows 設定 -> 系統管理範本 -> Windows 元件 -> Internet Explorer -> 網際網路控制台 -> 安全性網頁 -> 指派網站到區域清單
    2.新增 -> 輸入要封鎖的網址, 下面值填入 4 (數值的意義可以透過"解說"裡面的說明了解),設定完後就可以了
    3.直接在Client端執行gpupdate /force後..在去連接Windows Update網頁應該就會被禁止

    PS:這樣設定完後..會有一點小影響就是..使用者不能自己去新增信任網站或是禁止的網站


    另外..應該也可以透過防火牆裝置去將該網址進行封鎖的動作..也可以達到效果

    2009年7月1日 上午 09:44