决定容量需求

WSUS服务器的硬件和数据库软件要求是根据你企业网络中所需要进行更新的客户端 计算机数量来决定的。下图是根据WSUS服务器可以服务的客户端计算机数量所提供的指导，单个使用 推荐的硬件和数据库软件的WSUS服务器可以支持最大数目为15,000的客户端计算机。

对于 具有500个或者更低数目的客户端计算机的WSUS服务器的硬件需求

对于 具有500个～15000个客户端计算机的WSUS服务器的硬件需求

决定计算机组分配选项

决定如何将计算机分配到计算机组具有三个步骤：首先，你必须选择计算机组分配的选 项，你可以选择服务器端定位或客户端定位；其次，在WSUS服务器中创建对应的计算机组；最后，根据你选择的分配选项，使用 不同的方式来将计算机进行分组。

当使用服务器端定位时，你必须在WSUS管理控制台中手动将客户端 计算机对象移动到不同的计算机组中；而使用客户端定位时，你必须通过组策略来告知客户端计算机所加入的计算机组。无论采用哪种方式，你都必 须先在WSUS服务器中创建相应的计算机组。

在你可以在WSUS服务器上管理某个客户端计算机之前，你必须先让此客户端计算机 和WSUS服务器进行通讯。在客户端计算机没有和WSUS服务器进行通讯之前，WSUS服务器无法识别此客户端计算机，也不会在计算机列表中列出此对象。 安装在域环境下的WSUS服务器也可能不能正常识别非域成员的客户端计算机，就算这些客户端计算机可以正常通过此WSUS服务器进行更新。

一 个客户端计算机只能设置为同时访问一个WSUS服务器。如果你修改了客户端计算机更新的WSUS服务器，那么此客户端计算机将终止和原有WSUS 服务器的通讯，但是此客户端计算机对象还会存在于原WSUS服务器的计算机列表中，只是同时会列出此计算机最后一次和WSUS服务器进行通讯的时间，你可 以手动删除此客户端计算机对象。

批准更新

当WSUS服务器同步后，将根据配置情况获得相应的更新列表。你需要对更新进行批 准，以便进行安装或检测；你可以选择一个或多个更新进行批准，如果选择多个更新，那么客户端计算机 会一次性进行安装。批准更新的方式有以下五种：

1、仅检测

当你批准更新只是进行检测时，更新并不会在客户端计算机上进行安装。但 是，WSUS会在批准更新对话框上所应用到的计算机组上进行检测，以确定此更新是否适合客户端计算机或者客户端计算机是否需要。此检测动作 计划在当客户端计算机下次和WSUS服务器进行通讯时发生，你可以通过更新报告状态或者在更新页面点击更新程序的状态标 签来查看结果。如果显示为需要，则表明客户端计算机需要此更新。默认情况下，关键更新和安全更新将自动批准进行检测。

2、安装

批准更新在批准更新对话框所指定的计算机组中进行安装。在批准更新时，你可以选择客户端计算机安装更新的不同方式：

• 使用 客户端计算机的设置来决定如何安装更新。当你使用此方式时，批准更新所应用到的计算机组中的客户端计算机将根据自己的设置来决定如何安装更新程序，可能会 提示当前的用户进行安装，也可以根据组策略的设置自动进行安装。

• 定义 自动安装的最后期限。当你使用此方式，你可以指定更新程序在客户端计算机上安装的日期和时间，此设置会覆盖客户端计算机上的任何设置。你可 以指定一个过去的时间，这样会导致客户端计算机在下次访问WSUS服务器时立刻进行安装操作。注意，你不能为需要用户输入的更新程序进行最后期限定义的自 动安装，否则安装会失败。你可以在更新程序的详细信息中查看可能要求用户输入字段来确定更新程序是否需要用户输入，并且在批 准更新时在批准更新对话框上也会有相应的提示。

3、拒绝更新

此选项只是存在于更新页面的更新任务列表中。如果你选择此选项，此 更新将从可用更新列表中删除，而不再进行任何其他操作。只有在查看视图中选择查看已拒绝或者所有更新时 才可见。

4、删除

你可以批准某个更新进行删除，即从相应的客户端计算机上进行卸载。此选项只有更新支持删除时才会出现。针对删除更新操作，你 也同样可以定义最后期限，当你想让客户端计算机立即执行时，你可以指定一个过去时间为最后期限。

5、未许可

这是默认的批准选项。WSUS服务器同步更新程序后，更新程序的默认 状态即为未许可。在此状态下，WSUS服务器不会对更新程序进行任何操作，客户端计算机也不能对此更新进行检测或安装，你必须手动批准更新进行安装或检 测。

自动批准更新

在自动批准选项中，你可以配置WSUS服务器在同步时下载更新程序 后自动批准进行检测或者安装。你可以通过更新程序的分类和计算机组来决定自动批准检测或自动批准安装，当两者规则出现冲突 时，以自动批准安装的规则为准。默认情况下，自动批准安全更新和关键更新在所有计算机组上进行检测。

另外，你可以选择自动批准更新的最新修订，这也是默认选项。修订是 在原有更新基础上的修改，例如，原有更新可能已经过期或者EULA已经不适用。如果你取消此选项，你必须手动对新的更新程序进行批准。另外一个和修 订类似的概念是取代。某个更新可能会取代另外一个更新，也可能被另外一个更新所取代。你可以从更新程序的详细信息中 看到这些信息。对于取代以前某个更新的更新程序，WSUS并不是自动批准。这是因为以前这个更新可能适合旧的版本或者使用的对象不一样。对于这种情况，你 应该批准此取代更新进行检测，然后观察此取代更新检测后的状态，看客户端计算机是否需要此取代更新，然后再根据情况进行批准安装操作。

另外还有一个默认启用的选项是自动批准WSUS更新，它是针对 WSUS服务所使用的更新程序进行自动批准安装操作，你应该总是使用此选项。

配置客户端计算机进行自动更新

前面所涉及的都是WSUS服务器的配置，你还需要配置客户端计算机通过WSUS服 务器来进行自动更新。如何配置客户端计算机通过WSUS服务器进行自动更新取决于您的网络环境：在域环境中，可以使用基于域的组策略对象 (GPO)；在非域环境中，可以使用本地组策略对象或者直接修改注册表。当你部署组策略用于自动更新后，客户端计算机上控制面板中的自 动更新就会失效。

在域中通过组策略进行部署时，微软建议添加一个针对WSUS更新的组策略对象，而 不是修改默认域策略或默认域控制器策略。自动更新是通过配置组策略中Windows Update管理模板来实现的，具体的位置在计算机配置->管理模板->Windows组件->Windows Update，如果你没有找到此模板，可以右击管理模板选择添加/删除模板再选择添加%systemroot%infwuau.adm模 板。

为了让客户端计算机从WSUS服务器获取更新，你必须在组策略中部 署以下选项：

• 配 置自动更新。必须设置为已启用，然后选择以下方式之一：
  • 通知下载并通知安装。该选项会在下载和安装更新之前对已登录的管理用户进行提醒。
  • 自动下载并通知安装。该选项会自动开始下载更新，然后在安装更新之前对已登录的管理用户进行提醒。
  • 自动下载并计划安装。如果将自动更新配置为执行计划安装，那么还必须设置后面的执行计划安装的日期和时间。
  • 允许本地管理员选择设置。如果选择该选项，则允许本地管理员使用“控制面板”中的“自动更新”来自行选择配置选项。例如，他们 可以选择自己的计划安装时间 ，但是不允许本地管理员禁用自动更新。此选项只有当客户端计算机的自动更新组件已自我更新到与WSUS兼容的版本之后，才会显示。

• 指 定Intranet Microsoft更新服务位置。必须设置为已启用，然后配置为企业内部网络中的WSUS服务器地址。