Windows Update解决小型企业补丁管理问题

Windows Update的操作方法

1.用户发起访问具体操作方法

用户在浏览器中键入http://windowsupdate.microsoft.com回车即可访问到Windows Update网站。如果大家嫌这种方法麻烦，可以点击“开始”菜单中的 Windows Update图标，点击之后系统会自动链接Windows Update网站。

当链接完成后，Windows Update网站的页面上出现两个图标，“快速安装”和“自定义”安装。如果选择“快速安装”，Windows Update将把检查到的所有未安装的修补程序自动安装到系统中。如果选择“自定义安装”，页面就会出现一个列表，当中概括了所有用户没有安装的修补程序，用户就可以进行选择安装。如果没有可更新的修补程序，页面将显示为空，并提醒用户当前系统没有可更新的修补程序。如果点击页面中的Office系列，用户还可以查看到关于Office软件最新的修补程序，非常方便。

2. 自动更新的具体操作方法

自动更新的配置更为简单，用户只需右击“我的电脑”图标，选择“属性”。打开“系统属性→自动更新”选项卡，即可进行设置。

其中三个选项分别是“自动”、“下载更新”和“下载通知”。如果选择“自动”，系统将在用户指定的时间内自动去Windows Update网站下载最新的修补程序，并且自动安装修补程序。选择“下载更新”，系统也会自动到Windows Update网站下载最新的修补程序，当下载完成时会提示用户是否安装这个修补程序。选择“下载通知”，当系统要去Windows Update网站下载修补程序时会征求用户的意见，是否下载。如果用户同意，自动更新程序才会去下载修补程序。

当下载完成，是否安装修补程序也必须经过用户的同意。

具体该如何选择，用户可以根据自己情况而定。使用这个方法更新补丁省去了很多麻烦，很方便。

组策略发布

Windows Update自动更新

Windows Update自动更新组件在组策略编辑器中也提供了它的配置选项。这就意味着如果局域网在一个Domain(域)中，管理员可以通过使用组策略编辑器对局域网中的所有系统的Windows Update自动更新组件进行集中部署。这样可以保障局域网中的所有系统都会开启自动更新，并且自动安装最新的修补程序。具体实现步骤如下。

首先在DC(域控制器)上打开“组策略”，在“开始”菜单中选择“程序”→“管理工具”，打开“Active Directory用户和计算机”。接着右击其中的一个对象，选择“属性→组策略”，这里用户可以看到系统默认的策略，选择“编辑”就可以打开组策略编辑器。

选择组策略中的“计算机配置→管理模板→Windows组件→Windows Update”，点击“Windows Update”按钮，可以看到右边的窗口中出现了四个关于Windows Update的选项。

点击其中的“配置自动更新”，出现一个编辑组策略对象的对话框。用户可根据自己的网络环境选择其中的更新选项。完成之后，点选“已启用”选项，即可完成对组策略中自动更新的配置。

这样就完成了对局域网中所有客户机Windows Update自动更新配置。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001

A、代理服务器配置

在“Select a proxy server configuration”中对SUS Server的代理服务器参数进行设置，如果SUS Server是直接或通过路由器接入互联网，一定要选择“Automatically detect proxy server settings”项，如果是通过代理服务器的话，要选择“Use the following proxy server to access the Internet”项，并在输入框中填上代理的IP地址和端口号。

B、指定服务器名

接着在“Specify the name your clients use to locate this update server”栏中为SUS Server起一个好记的名称，如机器名“TJRAO”，这样客户机就可以通过机器名来访问SUS Server了。

提示:如果客户机无法解析NetBIOS名字，这里就要使用DNS名或IP地址来代替机器名了。

C、同步内容配置

在“Select which server to synchronize content from”中设置补丁内容的来源，因为就部署这一台SUS Server服务器，必须与微软的补丁服务器同步，选择“Synchronize directly from the Microsoft Windows Update servers”项。

提示:如果局域网中部署了多台SUS Server，都和微软补丁服务器同步未免浪费大量带宽和时间，只需要其中一台和微软补丁服务器同步，其它的SUS Server和本地的此台SUS Server同步即可。这时就要选中“Synchronize from a local Software Update Services server”项，在输入框中填入目标SUS Server的机器名或者IP地址。

在“Select where you want to store updates”栏中设置保存补丁文件的方式，建议选择“Save the updates to a local folder”项，这样就可以只同步你需要语种的补丁，避免浪费，如只选择同步“Chinese Simplified(简体中文)”，其它参数使用默认值即可，最后点击“Apply”按钮。

(3).同步操作

完成SUS Server参数配置后，就可以进行同步工作，下载用户需要的补丁文件。在管理页面左框点击“Synchronize server”项，接着点击右框的“Synchronize Now”按钮，开始同步工作。

提示:由于受到网络带宽和补丁文件大小的限制，同步工作需要一个漫长的过程。建议选择自动同步，点击“Synchronization Schedule” 按钮，在配置对话框中选择“Synchronize using this schedule”项，设置好同步的日期和时间，建议在凌晨进行同步工作。

(4).发布操作

同步完成后，SUS Server默认并不立即为用户发布补丁文件，当测试补丁没有问题后，才进行手工发布。在管理页面左框点击“Approve updates”按钮，右框显示下载的补丁文件。如果某些补丁测试正常，想进行发布，选中补丁文件前的复选框，点击“Approve”按钮按钮。

然后同意最终用户许可协议后，完成这些补丁的发布工作。这样，就完成了SUS Server的配置。

三、SUS Client配置

以上完成了SUS Server的配置，现在还需要为客户机配置SUS Client，才能使用SUS Server提供的升级服务。由于管理的局域网是工作组环境，所以介绍针对工作组环境的SUS Client配置。

1、是否安装SUS Client

客户机是否要安装SUS Client程序，取决于它采用了哪种操作系统和安装的修复补丁，对于Windows 2000+ SP2和Windows XP的用户，是必须安装SUS Client的。而Windows 2000+ SP3、Windows XP +SP1及其以上版本 和Windows Server 2003的用户则不需要安装，因为系统中已经内置了SUS Client。

2、合理配置SUS Client

A、添加模板

完成SUS Client安装后，还需要对其进行配置。在客户机上，点击“开始→运行”，输入“gpedit.msc”后回车，弹出组策略编辑器，依次展开“计算机配置→管理模板”，右键点击“管理模板”后，选择“添加/删除模版”，在“添加/删除模版”对话框中点击“添加”。

找到“x:windowsinf”目录下的“wuau.adm”(x表示windows的系统盘，默认为C)，双击该文件，完成模板的添加。

B、配置组策略

接着依次展开“计算机配置→管理模板→Windows组件→Windows Update”，在右栏中双击“配置自动更新”策略，在属性对话框中配置更新时间和处理方法，选择“已启用”选项，在“配置自动更新”下拉列框中选择“4-自动下载并计划安装”，接着在下面的“计划安装日期”和“计划安装时间”中设置合适的日期和时间，最后点击“确定”。

打开“指定企业内部互联网Windows Update服务位置”策略，选择“已启用”，接着在输入框中指定SUS服务器的位置，可以使用SUS Server机器名或IP地址，最后点击“确定”。

接下来按照上面的方法为局域网中每台客户机配置SUS Client。配置完成后，所有的客户机就可以按照指定的设置，自动连接到SUS Server进行更新，并且所有的更新操作均在后台自动进行的，不需要人为干预。

提示:在工作组环境中，要手工为每台客户机进行SUS Client配置，虽然麻烦些，但对于小型局域网来说还是可以接受的。如果你网络规模较大，建议采用域环境，这样就只需要在域控制器中进行域组策略配置即可，免去了配置客户机的麻烦。

通过以上几步，就完成了SUS系统在局域网中的部署，以后升级就变得非常方便了，即使客户机被限制不能上网，只要SUS Server正常连接到互联网中，升级操作一样不受影响，从此再也不用为Windows升级发愁了。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001