更新操作

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

更新同步到 WSUS 服务器后,会自动扫描这些更新,以确定其与服务器客户端计算机的相关性。 但是,必须先批准更新,然后才能将其部署到网络上的计算机。 批准更新时,实质上是告知 WSUS 如何处理它(对于新的更新,有“安装”或“拒绝”两个选项)。 可以批准“所有计算机”组或子组的更新。 如果未批准更新,则更新的审批状态仍为“未批准”,并且 WSUS 服务器允许客户端评估是否需要更新。

如果 WSUS 服务器在副本模式下运行,则无法批准 WSUS 服务器上的更新。 有关副本模式的详细信息,请参阅运行 WSUS 副本模式

批准更新

可以批准为 WSUS 网络中的所有计算机或不同的计算机组安装更新。 批准更新后,可以执行以下一项(或多项)操作:

  • 将此批准应用于子组(如果有)。

  • 设置自动安装的截止时间。 选择此选项时,可设置安装更新的特定时间和日期,从而覆盖客户端计算机上的任何设置。 此外,如果想立即批准更新(在客户端计算机下次联系 WSUS 服务器时为已安装状态),可以为截止时间指定一个过去的日期。

  • 如果已安装的更新支持删除,请删除该更新。

应牢记两个重要注意事项:

  • 首先,如果需要用户输入(例如,指定与更新相关的设置),则不能为更新的自动安装设置截止时间。 要确定更新是否需要用户输入,请查看“更新”页面上显示的更新属性中的“可能请求用户输入”字段。 此外,检查“批准更新”框中的消息,内容为“所选更新需要用户输入,且不支持安装截止时间”。

  • 如果 WSUS 服务器组件有更新,则在批准 WSUS 更新之前,无法批准对客户端系统的其他更新。 你将在“批准更新”对话框中看到此警告消息:存在尚未批准的 WSUS 更新。 在批准此更新之前,应批准 WSUS 更新。 在这种情况下,应选择 WSUS 更新节点,并确保该视图中的所有更新都已获得批准,然后再返回到常规更新。

批准更新

  1. 在 WSUS 管理控制台中,选择“更新”,然后选择“所有更新”。

  2. 在更新列表中,选择要批准的更新并右键单击(或转到“操作”窗格),然后在“批准更新”对话框中,选择要批准更新的计算机组,然后选择其旁边的箭头。

  3. 选择“已批准安装”,然后选择“批准”。

  4. “审批进度”窗口将显示完成审批的进度。 该过程完成后,会出现“关闭”按钮。 选择“关闭”。

  5. 可以选择截止时间,方法是右键单击更新,选择相应的计算机组并选择其旁边的箭头,然后选择“截止时间”。

    • 可以选择一个标准截止日期(一周、两周、一个月),也可以选择“自定义”来指定日期和时间。

    • 如果希望在客户端计算机与服务器联系后立即安装更新,请选择“自定义”,然后将日期和时间设置为当前日期和时间或过去的日期和时间。

批准多个更新

  1. 在 WSUS 管理控制台中,选择“更新”,然后选择“所有更新”。

  2. 要选择多个连续更新,请在选择更新的同时按“Shift”。 要选择多个不连续的更新,请在选择更新的同时按“Ctrl”。

  3. 右键单击所选更新,然后选择“批准”。 “批准更新”对话框随即打开,其中“审批状态”设置为“保持现有审批”并禁用“确定”按钮。

  4. 可以更改单个组的审批,但这样做不会影响子级审批。 选择要更改其审批的组,然后选择其左侧的箭头。 在快捷菜单中,选择“已批准安装”。

  5. 所选组的审批更改为“安装”。 如果有任何子组,则其审批保留为“保持现有审批”。 要更改子组的审批,请选择该组,然后选择其左侧的箭头。 在快捷菜单中,选择“应用于子组”。

  6. 要将特定子组设置为从父组继承所有审批,请选择该子组,然后选择其左侧的箭头。 在快捷菜单中,选择“与父组相同”。 如果将子组设置为继承审批,但未更改父组审批,则子组将继承父组的现有审批。

  7. 如果希望更改所有子组的审批行为,请批准“所有计算机”,然后选择“应用于子组”。

  8. 设置所有审批后,选择“确定”。 “审批进度”窗口将显示完成审批的进度。 该过程完成后,“关闭”按钮将变为可用。 选择“关闭”。

拒绝更新

如果选择此选项,则会从可用更新的默认列表中删除更新,并且 WSUS 服务器不会向客户端提供更新,无论是用于评估还是安装。 可以通过选择更新或更新组,并右键单击或转到“操作”窗格来访问此选项。 仅当在“视图”下为更新列表指定筛选器并在“审批”列表中选择“已拒绝”时,更新列表中才会显示已拒绝的更新。

拒绝更新

  1. 在 WSUS 管理控制台中,选择“更新”,然后选择“所有更新”。

  2. 在更新列表中,选择要拒绝的一个或多个更新。

  3. 选择“拒绝”,然后在确认消息中选择“是”。

清理已拒绝的更新

已拒绝的更新会继续消耗一些 WSUS 服务器资源。 应运行服务器清理向导以从 WSUS 数据库中删除已拒绝的更新。 有关更多详细信息,请参阅服务器清理向导

恢复已拒绝的更新

拒绝更新后,仍可恢复更新。

恢复已拒绝的更新

  1. 在 WSUS 管理控制台中,选择“更新”,然后选择“所有更新”。

  2. 将“审批”更改为“已拒绝”,然后选择“刷新”。 随即加载已拒绝更新的列表。

  3. 在更新列表中,选择要恢复的一个或多个已拒绝更新。

  4. 要恢复特定更新,请右键单击更新并选择“批准”。 在“审批更新”对话框中,选择“确定”以重新应用默认的“未批准”审批状态。 更新将在列表中显示为“未批准”而不是“已拒绝”。

使用 WSUS 服务器清理向导清除已拒绝的更新后,将从 WSUS 服务器中删除该更新,并且不再显示在“所有更新”视图中。 可以从 Microsoft 更新目录重新导入已拒绝及已清理的更新。 有关详细信息,请参阅 WSUS 和目录站点

将“已批准的更新”更改为“未批准”

如果某个更新已获得批准,并且你决定暂不进行安装,而希望将其保存以便将来安装,则可以将更新状态更改为“未批准”。 这意味着更新将保留在可用更新的默认列表中,并将报告客户端合规性,但不会安装在客户端上。

要将更新从“已批准”更改为“未审批”

  1. 在 WSUS 管理控制台中,选择“更新”,然后选择“所有更新”。

  2. 在更新列表中,选择要更改为“未审批”的一个或多个已批准更新。

  3. 在快捷菜单或“操作”窗格中,选择“未审批”,然后在确认消息中选择“是”。

批准更新删除

可以批准更新删除(即卸载已安装的更新)。 仅当已安装更新并支持删除时,此选项才可用。 可以为要卸载的更新指定一个截止时间,或者如果想立即删除更新(客户端计算机下次联系 WSUS 服务器时),则可以为截止时间指定一个过去的日期。

请务必提及并非所有更新(例如 UUP 更新)都支持删除。 可以通过选择单个更新并查看“详细信息”窗格来查看更新是否支持删除。 在“其他详细信息”下,你会看到“可删除”类别。 如果无法通过 WSUS 删除更新,在某些情况下,可以使用“控制面板”中的“添加或删除程序”来删除更新。

批准更新删除

  1. 在 WSUS 管理控制台中,选择“更新”,然后选择“所有更新”。

  2. 在更新列表中,选择要审批删除的一个或多个更新,然后右键单击(或转到“操作”窗格)。

  3. 在“批准更新”对话框中,选择要从中删除更新的计算机组,然后选择其旁边的箭头。

  4. 选择“已批准删除”,然后选择“删除”按钮

  5. 删除批准完成后,可以通过再次右键单击更新、选择适当的计算机组,然后单击其旁边的箭头来选择截止时间。 然后选择“截止时间”。 可以选择一个标准截止时间(一周、两周、一个月),也可以选择“自定义”来选择特定的日期和时间。

  6. 如果希望在客户端计算机与服务器联系后立即删除更新,请选择“自定义”,并设置一个过去的日期。

自动审批更新

可以将 WSUS 服务器配置为自动审批某些更新。 还可以指定在现有更新可用时自动审批修订。 默认情况下选择此选项。 修订是对其进行了更改的更新版本(例如,它可能已过期,或其适用性规则可能已更改)。 如果不选择自动审批更新的修订版本,WSUS 将使用旧版本,并且用户必须手动审批更新修订。

可以创建 WSUS 服务器将在同步期间自动应用的规则。 可以按更新分类、产品和计算机组指定要自动审批安装的更新。 这仅适用于新的更新,而不适用于修订后的更新。 还可以指定更新审批截止时间,用于设置在截止安装批准的更新之前的天数和特定时间。 这些设置位于“自动审批”下的“选项”窗格中。

自动审批更新

  1. 在 WSUS 管理控制台中,选择“选项”,然后选择“自动批准” 。

  2. 在“更新规则”中,选择“新建规则”。

  3. 在“添加规则”对话框中,在“第 1 步: 选择属性”下,选择是使用“当更新属于特定分类时”还是“当更新属于特定产品时”(或两者)作为条件。 (可选)选择是否为审批“设置截止时间”。

    • 选择“升级”分类时,请注意,每月发布的 Windows 功能更新也分类为“升级”。 自动批准这些更新可能会导致设备升级其 OS。 例如,适用的 Windows 10 设备可以升级到 Windows 11。 此外,功能更新需要额外的磁盘空间。 有关详细信息,请参阅规划 WSUS 部署时的 UUP 注意事项

  4. 在“第 2 步: 编辑属性”中,选择带下划线的属性,以选择希望自动审批的分类、产品和计算机组(如果适用)。 (可选)选择更新审批截止时间的日期和时间点。

  5. 在“第 3 步: 指定名称框”中,键入规则的唯一名称。

  6. 选择“确定” 。

自动审批规则不适用于需要尚未在服务器上接受的最终用户许可协议 (EULA) 的更新。 如果发现应用自动审批规则不会导致所有相关更新获得批准,则应手动审批这些更新。

自动审批对更新的修订并拒绝过期更新

“选项”窗格的“自动审批”部分包含一个默认选项,用于自动审批对已批准更新的修订。 还可以将 WSUS 服务器设置为自动拒绝过期的更新。 如果选择不自动审批更新的修订版本,则 WSUS 服务器将使用较旧的修订,并且用户必须手动审批更新修订。

注意

修订是已更改的更新版本(例如,它可能已过期或更新了适用性规则)。

自动审批对更新的修订并拒绝过期的更新

  1. 在 WSUS 管理控制台中,选择“选项”,然后选择“自动批准” 。

  2. 在“高级”选项卡上,确保同时选择“自动审批已批准更新的新修订”和“当新修订导致更新过期时自动拒绝更新”。

  3. 选择“确定”。

    注意

    保留这些选项的默认值可以在 WSUS 网络上保持良好的性能。 如果不希望自动拒绝过期的更新,应确保定期手动进行拒绝。

自动拒绝被取代的更新

审批取代自动审批的现有更新的新更新时,一旦安装了较新的更新,被取代的更新将变为“不适用于计算机或设备”。 可以在 WSUS 控制台中验证更新是否适用于所有计算机。 在这种情况下,可以安全地拒绝更新。 此外,运行 WSUS 服务器清理向导时,更新可能会被自动拒绝。

要搜索被取代的更新,可以在“所有更新”视图中选择“被取代标志”列,然后根据该列进行排序。 将有四个组:

  • 从未被取代的更新(空白图标)。

  • 已被取代但从未取代过另一更新的更新(底部带有蓝色方块的图标)。

  • 已被取代并取代了另一更新的更新(中间带有蓝色方块的图标)。

  • 已取代另一更新的更新(顶部带有蓝色方块的图标)。

Windows Server Update Services 中没有任何功能可以在批准较新的更新后,自动拒绝被取代的更新。 建议先将审批设置为“未审批”,然后在满足所有相关条件后,使用服务器清理向导自动拒绝更新。 有关详细信息,请参阅服务器清理向导

审批取代或被取代的更新

通常,取代其他更新的更新会执行以下一项或多项操作:

  • 增强、改进或添加到由以前发布的一个或多个更新提供的修复。

  • 提高其更新文件包的效率,如果更新已获准安装,则该更新文件包将安装在客户端计算机上。 例如,被取代的更新可能包含不再与修复或新更新现支持的操作系统相关的文件,因此这些文件不会包含在取代更新的文件包中。

  • 更新较新版本的操作系统。 此外,请务必注意,取代更新可能不支持早期版本的操作系统。

相反,被另一更新取代的更新会执行以下操作:

  • 修复与取代它的更新类似的问题。 但是,取代它的更新可能会增强被取代的更新提供的修复。

  • 更新早期版本的操作系统。 在某些情况下,取代更新不再更新这些版本的操作系统。

在单个更新的详细信息窗格中,信息图标和顶部的消息指示它取代或被另一更新取代。 此外,还可以通过在“属性”的“其他详细信息”部分中,查看“取代此更新的更新”和“被此更新取代的更新”条目,来确定哪些更新取代另一更新或被取代。 更新的详细信息窗格显示在更新列表下方。

WSUS 不会自动拒绝被取代的更新,建议不要认为应拒绝被取代的更新,而改用新的、取代的更新。 拒绝被取代的更新之前,请确保任何客户端计算机都不再需要此更新。 以下是可能需要安装被取代的更新的方案示例:

  • 如果取代更新仅支持较新版本的操作系统,而你的部分客户端计算机运行较早版本的操作系统
  • 如果取代更新比它所取代更新具有更严格的适用性,这将使其对某些客户端计算机不适用
  • 如果由于新的更改,更新不再取代之前发布的更新。 通过每个版本中的更改,更新可能不再取代它以前在早期版本中取代的更新。 在这种情况下,你仍然会看到有关已取代更新的消息,即使取代它的更新已被未取代的更新取代
  • 使质量和功能更新保持同步。这意味着,如果功能更新是一个月以前的,则质量更新也同样如此。 如果功能更新已两个月,并且质量更新为一个月,则语言包和按需功能获取将不起作用