WSUS同步成功后,如何将补丁分发给内网的客户机?如何对补丁进行审核管理?如何对客户机进行分组管理?这些问题我们都将在后续文章中一一介绍。
4 利用WSUS进行补丁分发
我们完成了WSUS2.0SP1的部署,现在来介绍如何利用WSUS进行补丁分发。WSUS的实验拓扑如下图所示,Florence是域控制器,Berlin是WSUS服务器,Perth是工作站。WSUS服务器已经在同步选项中对产品及类别进行了设置,也已完成了同步。我们接下来就要利用这个环境进行补丁分发。(图1)
21
完成补丁分发,需要注意以下三点: 一 WSUS分组管理 二 组策略或注册表设置 三 WSUS更新批准 下面分别介绍具体内容
4.1 WSUS分组管理
分组管理可以把WSUS客户机放入不同的组中进行管理,每个组可以有不同的补丁管理策略,这些对于管理工作的细化很有好处。举个简单的例子,微软已经发布了Windowx XP SP3,但这个补丁安装后的效果如何管理员却没有把握。这时管理员可以创建一个测试组,仅允许测试组的计算机安装Windows XP SP3,如果效果不错就向全体用户推广,如果效果不佳就停止部署。因此我们有必要先进行计算机组的设置。
在浏览器中输入http://berlin/wsusadmin,打开WSUS服务器的管理页面,在管理页面中点击\计算机\,如下图所示,WSUS安装时默认创建了两个组,一个是\所有计算机\组,一个是\未指定的计算机\组。默认情况下每个WSUS的客户机都会属于这两个组。(图2)
22
我们准备创建两个组,一个名为ITET,一个名为TEST。ITET组用于普通的客户机,TEST组用于测试补丁的客户机。点击上图中的\创建计算机组\,弹出对话框要求我们输入组名,如下图所示,我们为计算机组命名为ITET。这样我们就创建出了一个计算机组,然后用同样的方法再创建一个名为\的计算机组。(图3)
计算机组创建完成后,如何将客户机加入到指定的组中?WSUS提供了两种方法供管理员选择,我们可以在WSUS的管理页面中点击\选项\,如下图所示,点击\计算机选项\(图
23
4)
在计算机选项中我们看到有两种选择,一种是用组策略或注册表决定客户机加入哪个计算机组,一种是在WSUS服务器的管理页面中用移动计算机的方法将客户机加入计算机组。
如果客户机数量较少,移动计算机的操作是比较简单的;但如果客户机数量较多,显然还是组策略更有效率。在此我们选择利用组策略或注册表进行设置,点击\保存设置\让更改生效。(图5)
24
4.2 组策略或注册表设置
到目前为止,我们部署了WSUS服务器,创建了计算机组。但客户机如何知道哪台计算机是自己需要的WSUS服务器,客户机应该加入哪个计算机组呢?这些设置可以通过组策略或注册表来完成(其实两者是一样的,组策略不过是提供了一个友好的修改注册表的界面)。
4.2.1 用组策略设置
如果在域环境下,用组策略是效率最高的方法。我们只要部署一个域级别的组策略,就可以轻松完成WSUS设置。在域控制器Florence上依次点击 开始-程序-管理工具-Active Directory用户和计算机,右键点击wsustest.com域,选择属性。在属性中切换到组策略标签,如下图所示,选择默认组策略\,点击编辑按钮。(图6)
在组策略编辑器中展开 计算机配置-管理模板-Windows组件-Windows Update,如下图所示,在此我们可以进行WSUS相关策略的设置(图7)
25