巧用Windows脚本实现补丁安装自动化

当大多数人听到“脚本”这个词的时候，他们以为这是男女演员用来熟悉一部电影或者一出戏剧的文件。脚本并不仅仅是汇集一些台词让演员记住，而是提供一步一步的指南，详细说明每个场景是什么样子以及演员要如何做。

同样，为你的Windows操作系统编写的脚本为计算机执行指令提供了分步指南，不过这种脚本没有演出的脚本那样详细。最简单的脚本仅仅是一个列出要运行的指令的简短的文本文件。任何可以从命令行执行的指令都可以自动添加到一个脚本文件中。

脚本可以通过Windows网络中的用户账户属性分配给一个人。然而，使用Windows域名网络中的组策略效率会更高。你可以规定脚本在计算机启动或者关闭的时候自动执行，你也可以指定脚本在用户登录或者退出登录的时候运行。

按照这种方法使用脚本文件，Windows脚本就能够自动在计算机系统上安装补丁和升级软件。通过在服务器上使用补丁，并且创建一个登录脚本文件以便在每一次启动计算机或者访问这台计算机的时候都将自动执行补丁安装程序，系统管理员就可以保证每一个用户都能够收到最新升级程序。

微软的脚本中心的脚本文件库包含各种各样的脚本文件。这些脚本文件可用来管理Windows台式电脑。下面这个脚本是专门用于安全的:

安装一个升级软件:编辑一个安装微软补丁的脚本。这个脚本链接是:http://www.microsoft.com/technet/scriptcenter/scripts/sus/client/suclvb03.mspx

修改升级时间安排:编辑一个在客户机上自动更新设置的配置脚本。这个脚本链接是:http://www.microsoft.com/technet/scriptcenter/scripts/sus/client/suclvb10.mspx

以这种方法使用补丁显然比购买和安装补丁管理软件更便宜。然而，这种脚本缺乏这类工具的许多功能，如跟踪补丁是否成功地使用、自动召回或者撤销可能引起网络故障的补丁以及创建一个报告说明当前的状态或者查看补丁在环境中的使用情况。还有一些脚本可以完成这些工作。但是，那些脚本更繁琐，比使用一个完整的补丁解决方案更耗费时间。

在任何情况下，Windows脚本在你的管理员工具箱中都是非常有价值的资源。由于有了各种各样的Windows GUI接口，人们很容易忘记从命令行执行指令是多么快和多么简单。微软TechNet脚本中心和Doc Rice的微软Windows NT、4.0、2000和XP安全补丁脚本中还有很多优秀的Windows脚本资源。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001

A、代理服务器配置

在“Select a proxy server configuration”中对SUS Server的代理服务器参数进行设置，如果SUS Server是直接或通过路由器接入互联网，一定要选择“Automatically detect proxy server settings”项，如果是通过代理服务器的话，要选择“Use the following proxy server to access the Internet”项，并在输入框中填上代理的IP地址和端口号。

B、指定服务器名

接着在“Specify the name your clients use to locate this update server”栏中为SUS Server起一个好记的名称，如机器名“TJRAO”，这样客户机就可以通过机器名来访问SUS Server了。

提示:如果客户机无法解析NetBIOS名字，这里就要使用DNS名或IP地址来代替机器名了。

C、同步内容配置

在“Select which server to synchronize content from”中设置补丁内容的来源，因为就部署这一台SUS Server服务器，必须与微软的补丁服务器同步，选择“Synchronize directly from the Microsoft Windows Update servers”项。

提示:如果局域网中部署了多台SUS Server，都和微软补丁服务器同步未免浪费大量带宽和时间，只需要其中一台和微软补丁服务器同步，其它的SUS Server和本地的此台SUS Server同步即可。这时就要选中“Synchronize from a local Software Update Services server”项，在输入框中填入目标SUS Server的机器名或者IP地址。

在“Select where you want to store updates”栏中设置保存补丁文件的方式，建议选择“Save the updates to a local folder”项，这样就可以只同步你需要语种的补丁，避免浪费，如只选择同步“Chinese Simplified(简体中文)”，其它参数使用默认值即可，最后点击“Apply”按钮。

(3).同步操作

完成SUS Server参数配置后，就可以进行同步工作，下载用户需要的补丁文件。在管理页面左框点击“Synchronize server”项，接着点击右框的“Synchronize Now”按钮，开始同步工作。

提示:由于受到网络带宽和补丁文件大小的限制，同步工作需要一个漫长的过程。建议选择自动同步，点击“Synchronization Schedule” 按钮，在配置对话框中选择“Synchronize using this schedule”项，设置好同步的日期和时间，建议在凌晨进行同步工作。

(4).发布操作

同步完成后，SUS Server默认并不立即为用户发布补丁文件，当测试补丁没有问题后，才进行手工发布。在管理页面左框点击“Approve updates”按钮，右框显示下载的补丁文件。如果某些补丁测试正常，想进行发布，选中补丁文件前的复选框，点击“Approve”按钮按钮。

然后同意最终用户许可协议后，完成这些补丁的发布工作。这样，就完成了SUS Server的配置。

三、SUS Client配置

以上完成了SUS Server的配置，现在还需要为客户机配置SUS Client，才能使用SUS Server提供的升级服务。由于管理的局域网是工作组环境，所以介绍针对工作组环境的SUS Client配置。

1、是否安装SUS Client

客户机是否要安装SUS Client程序，取决于它采用了哪种操作系统和安装的修复补丁，对于Windows 2000+ SP2和Windows XP的用户，是必须安装SUS Client的。而Windows 2000+ SP3、Windows XP +SP1及其以上版本 和Windows Server 2003的用户则不需要安装，因为系统中已经内置了SUS Client。

2、合理配置SUS Client

A、添加模板

完成SUS Client安装后，还需要对其进行配置。在客户机上，点击“开始→运行”，输入“gpedit.msc”后回车，弹出组策略编辑器，依次展开“计算机配置→管理模板”，右键点击“管理模板”后，选择“添加/删除模版”，在“添加/删除模版”对话框中点击“添加”。

找到“x:windowsinf”目录下的“wuau.adm”(x表示windows的系统盘，默认为C)，双击该文件，完成模板的添加。

B、配置组策略

接着依次展开“计算机配置→管理模板→Windows组件→Windows Update”，在右栏中双击“配置自动更新”策略，在属性对话框中配置更新时间和处理方法，选择“已启用”选项，在“配置自动更新”下拉列框中选择“4-自动下载并计划安装”，接着在下面的“计划安装日期”和“计划安装时间”中设置合适的日期和时间，最后点击“确定”。

打开“指定企业内部互联网Windows Update服务位置”策略，选择“已启用”，接着在输入框中指定SUS服务器的位置，可以使用SUS Server机器名或IP地址，最后点击“确定”。

接下来按照上面的方法为局域网中每台客户机配置SUS Client。配置完成后，所有的客户机就可以按照指定的设置，自动连接到SUS Server进行更新，并且所有的更新操作均在后台自动进行的，不需要人为干预。

提示:在工作组环境中，要手工为每台客户机进行SUS Client配置，虽然麻烦些，但对于小型局域网来说还是可以接受的。如果你网络规模较大，建议采用域环境，这样就只需要在域控制器中进行域组策略配置即可，免去了配置客户机的麻烦。

通过以上几步，就完成了SUS系统在局域网中的部署，以后升级就变得非常方便了，即使客户机被限制不能上网，只要SUS Server正常连接到互联网中，升级操作一样不受影响，从此再也不用为Windows升级发愁了。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001