david99022的部落格

打開WSUS主控台的第一件事，點選「立即同步處理」，手動與微軟進行同步。由於要一次同步完所有的更新檔，同步的過程會非常非常久。同步完成會看到跟圖示的畫面，會告知你有多少更新檔正在等候批准。

接下來就逐一介紹主控台的各項選項吧，這是主控台的概觀，裡面會寫著一些重要訊息。

點選左側「更新」欄位後，會看到更細項的更新選單，這些選單顯示的項目是根據你WSUS組態精靈裡的設定來呈現，會概觀的顯示各項更新類別分別的狀況。

點選「更新」選單裡面的隨意一項來觀察，選擇「重大更新」，在最上方的欄位，核准選擇「任何(已拒絕者除外)」；狀態選擇「任一」，並按下重新整理。裡面會列出所有重大更新的更新檔。

隨意選擇一項更新檔，按下右鍵會看到些選項。可依據組織內的需求來進行「核准」或「拒絕」，這部份會在後面的實作上來做更詳細的介紹。

在最上方的欄位按右鍵，可以需求來顯示需要看到的欄位。

點選左側「電腦」欄位，可以看到這台WSUS底下管轄的電腦更新情況。由於目前為測試，底下一台電腦都沒有。

點選「下游伺服器」欄位，可以看到WSUS的階層架構，由於目前這台WSUS是唯一一台主機，所以這個欄位也會是空白的。

點選「同步處理」欄位，可以看到每次與微軟或上游主機的同步紀錄，並了解這次同步有多少新的更新檔。

點選「報告」欄位，可依據管理者需求來產生報表，這功能對定期要提交管理報告的使用者來說，真的是非常方便阿，我們隨意點選一個報告來看看效果。

阿勒....這裡跳出一個功能無法使用的對話框。其實Server上所有的內建報表都需要這個Microsoft Report Viewer 2008來呈現，之後我們裝起來後再來看看效果。

點選「選項」欄位，這裡可以更改所有的WSUS組態設定，如果之前的設定覺得不滿意或者有錯誤，都可以在這個欄位中做修改。

三.GPO配置與測試

要怎樣讓環境內的電腦不再跟微軟伺服器要更新檔，改跟我們的WSUS伺服器來要求更新檔呢?這就要請我們的「群組原則物件(GPO)」來幫忙拉，GPO可以針對環境內的主機做克制化的要求，像是設定IE首頁、關閉控制台某些功能、派送軟體等，舉凡Windows看的到的東西大部分都可以做設定，甚至連Office都可以做設定，是微軟Server強大的原因之一!那今天我們就用GPO來鎖定環境內的主機，讓他們無法修改控制台內的「Windows Update」，避免我們設定的那麼辛苦，結果使用者自己亂改設定的困擾。

首先先打開「群組原則管理」，也就是我們俗稱的GPO。

這個是GPO的主介面，而裡面的test1.local是我測試用的網域，點開test1.local(每個人的網域名稱會不一樣)，再點選「群組原則物件」，按右鍵點選「新增」。

幫你的GPO取個名字，我這裡就先取WSUS_GPO，名字只要好識別裡面是再設定什麼的即可。

現在我們可以在「群組原則物件」看到我們剛剛新增的WSUS_GPO了，點選右鍵「編輯」。

GPO打開有分電腦設定與使用者設定，我們這次的設定是針對電腦的，所以點選「電腦設定」>「原則」>「系統管理範本」>「Windows元件」>「Windows Updare」

這裡就顯示了所有Windows Update能設定的選項，大家可以每個都點開來研究研究，但這次我們主要針對三條選項來進行設定。

第一條：設定自動更新，首先勾選「已啟用」開啟這條設定，接下來在選項欄位，設定自動更新的部分進行設定，這裡我選擇3-自動下載和通知我安裝，這樣更新檔派送到使用者電腦時，會自動先下載下來，並通知使用者安裝。如果你想要強制性高一點，也可以設定4-自動下載和排程安裝，這樣就會不管使用者願不願意，直接下載安裝搂。下面可以設定安裝的時間點，這部分我就暫時先不設定了。

第二條：指定近端內部網路Microsoft更新服務的位置，這條是最重要的啦，沒有設定的話是不會有使用者來跟WSUS伺服器要更新檔的!一樣勾選「已啟用」，並在下方選項上打上你的WSUS伺服器名稱。格是長這樣：http://你的WSUS伺服器主機名稱:8530，8530是WSUS預設的port，你也可以改成你喜歡的port。

第三條：不要連線到任何Windows Update網際網路位置，一樣勾選「已啟用」，這樣可以確保環境內的主機不會連線到網際網路去找尋更新檔。

設定完成後會長成這樣，出現三條「已啟用」。

接下來我們要新增一個「組織單位OU」，一般我們都稱他為OU拉，講組織單位可能反而沒人聽得懂XDDDD  要新增一個OU的原因是因為，並不是每台主機都會套一樣的GPO，你可能想要環境內不同主機套不同的GPO，所以我們要請出我們的OU來區隔。點選工具開啟「Active Directory使用者與電腦」。

在test1.local(每個人名稱不一樣)點選右鍵「新增」>「組織單位」。

簡單幫它取個名字，先叫WSUS_OU好了。

接著因為我沒有使用者，就先暫時新增一位使用者叫Amy來幫我測試一下。 點選右鍵「新增」>「使用者」。

把Amy的基本資料輸入，「使用者登入名稱」也就是你的使用者帳號。

密碼打一打，要符合微軟的密碼複雜度，也就是要8位以上、英數組合、大小寫、有特殊符號等

這裡我搬了兩台電腦到WSUS_OU裡面，現在他有兩台電腦(一台WSUW伺服器跟一台測試電腦)跟1位使用者了。

接著我們回到GPO的主介面，你會在左側看到我們剛剛新增的WSUS_OU，這個OU代表著剛剛的那兩台電腦跟1位使用者，也就是說套在上面的GPO只有針對這個OU起作用。

我們對WSUS_OU點選右鍵「連結到現有的GPO」。

找到我們剛剛設定好的WSUS_GPO，然後點選確定給他套用下去。

接下來我用剛剛那兩台電腦中的測試電腦，並以使用者Amy登入。GPO在套用下去後要等一段時間才會套上去，我們可以直接下gpupdate /force來強迫它套用。指令下完登入就成功套用GPO了。

GPO已經套用完畢後，接下來我們要進行派送工作拉，回到我們的WSUS主控台，我們會在「所有電腦」裡面看到我們的測試電腦，這代表GPO已經套用成功了，這台電腦以後會乖乖地來跟WSUS伺服器要更新檔了，但我們還沒派送更新檔出去呢，接下來我們要來派送了。

首先現在WSUS伺服器下wuauclt /detectnow 和wuauclt /reportnow，可以立即讓使用者立即與 WSUS伺服器聯繫，檢測是否有新的更新包。

接下來我們點選左側的「重大更新」，並將核准欄位改成「未核准」；狀態欄位改成「需要」，並按下重新整理

這些就是可以派送的更新包了，我們隨便點選其中一個更新包，按右鍵點選「核准」。

這裡針對所有電腦按右鍵點選「已核准安裝」。

接下來回到我們的測試電腦，來實測看看有沒有成功收到更新包，開啟「控制台」>「Windows Update」，點選左側的「檢查更新」。

登登登!測試電腦成功的從WSUS伺服器上找到了一個重要更新，由於我前面是設定自動下載但手動安裝，所以這裡它不會自動幫使用者安裝，那我們就手動給他點選「安裝更新」。

在「檢視更新紀錄」裡面看到，我們成功在使用者的電腦上安裝了更新包了!

這裡補充一下前面提到的「報告」，由於缺少Report Viewer，我們趕緊去官網下載一下Microsoft Report Viewer Redistributable 2008，下載完把它安裝起來。

接著點選WSUS主控台左側的「報告」，隨便點選其中一個選項。

把想設定的設定一下，然後點選右側的「執行報告」。

登登登!一份份的報告就這樣產生拉，整理一下就可以做成每周或每月的工作紀錄了，趕快去跟上級邀功吧:D