在 Active Directory 環境中,您可以使用群組原則來定義電腦和使用者如何與 Windows Update 互動,以從 Windows Server Update Services (WSUS) 取得自動更新。 本文將這些電腦和使用者稱為 WSUS 用戶端。
本文包含兩個主要小節:
WSUS 用戶端更新的群組原則設定:針對群組原則中用來控制 WSUS 用戶端如何與 Windows Update 互動以取得自動更新的 Windows Update 和維護排程器設定,提供相關的規範性指引和行為詳細資料。
補充資訊包含以下小節:
存取群組原則中的 Windows Update 設定:提供有關於使用群組原則管理編輯器 (GPME) 的一般指引。 此節也提供關於在群組原則中存取更新服務的政策擴展與維護排程設定的相關資訊。
詞彙和定義:定義 WSUS 和更新服務的相關詞彙。
WSUS 用戶端更新的群組原則設定
本節提供下列三個群組原則延伸的相關資訊。 在這些延伸中,您會看到可用來設定 WSUS 用戶端如何與 Windows Update 互動以接收自動更新的設定。
注意
本文假設您已使用過並且熟悉群組原則。 如果您不熟悉組策略,建議您先檢閱本文的 補充資訊 一節中的資訊,再嘗試設定 WSUS 的原則設定。
WSUS 伺服器角色與 Windows Server 整合。 根據預設,WSUS 用戶端的組策略設定會包含在組策略中。
電腦設定 >Windows Update 原則設定
本節會詳細說明下列以電腦為基礎的原則設定:
- 允許立即安裝自動更新
- 允許非系統管理員接收更新通知
- 允許來自內部網路 Microsoft 更新服務位置的已簽署更新
- 一律在排程時間自動重新啟動
- 自動更新偵測頻率
- 設定自動更新
- 延遲重新啟動以完成排程安裝
- 請勿在 [關閉 Windows] 對話框中,將預設選項調整為 [安裝更新和關機]
- 不連接到任何 Windows Update 網際網路位置
- 不要在 [關機 Windows] 對話框中顯示 [安裝更新和關機] 選項
- 啟用客戶端目標設定
- 啟用 Windows Update 電源管理,以自動喚醒電腦並安裝排定的更新
- 有使用者登入時不自動重新開機以完成排定的自動更新安裝
- 再次提示排程安裝所需的重新啟動
- 重新排定自動更新的安裝時間
- 指定內部網路 Microsoft 更新服務的位置
- 透過自動更新安裝建議的更新
- 開啟軟體通知
在 GPME 中,電腦設定的 Windows Update 原則位於路徑<原則名稱>>電腦設定>設定原則>系統管理範本>Windows 元件>Windows Update 中。
注意
依預設不會設定這些設定。
允許立即安裝自動更新
您可以使用此設定來指定自動更新是否會自動安裝不會中斷 Windows 服務或重新啟動 Windows 的更新。
注意
如果「設定自動更新」原則設定設為 [已停用],此原則就沒有效用。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 不會立即安裝更新。 本機系統管理員可以使用本機群組原則編輯器來變更此設定。 |
| 已啟用 | 自動更新會在下載更新並準備好安裝后立即安裝更新。 |
| 停用 | 不會立即安裝更新。 |
選項:此設定沒有任何選項。
允許非系統管理員接收更新通知
您可以使用此設定來指定非系統管理使用者是否根據 [ 設定自動更新 原則] 設定接收更新通知。
注意
如果「設定自動更新」原則設定已停用或未設定,此原則設定就沒有效用。
重要
默認會啟用此原則設定。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 使用者一律會看到 用戶帳戶控制 同意提示,且需要提高的許可權來管理更新。 本機系統管理員可以使用本機群組原則編輯器來變更此設定。 在 Windows Vista 中,使用者也會在隱藏、還原和取消更新時看到 用戶帳戶控制 同意提示,而且需要較高的許可權來隱藏、還原或取消更新。 |
| 已啟用 | Windows Update 和 Microsoft Update 會在判斷登入使用者收到更新通知時包含非系統管理員。 非系統管理用戶能夠安裝他們收到通知的所有選擇性、建議和重要更新內容。 使用者看不到 用戶帳戶控制 同意提示。 除了包含使用者介面變更、Microsoft軟體授權條款或 Windows Update 設定的更新之外,使用者不需要提高許可權來安裝這些更新。 在 Windows 8 和更新版本中,和 Windows RT 中,此原則設定沒有作用。 |
| 停用 | 只有登入的系統管理員會收到更新通知。 |
選項:此設定沒有任何選項。
允許來自內網 Microsoft 更新伺服器的已簽署更新
您可以使用此設定來指定當內部網路Microsoft更新服務位置找到更新時,自動更新是否接受Microsoft以外的實體所簽署的更新。
注意
來自內部網路 Microsoft 更新服務以外服務的更新,一律必須由 Microsoft 簽署。 此原則設定不會影響這些更新。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 內部網路 Microsoft 更新服務位置的更新必須由 Microsoft 簽署。 |
| 已啟用 | 自動更新會接受透過內部網路 Microsoft 更新服務位置所接收的更新,如果更新是由本機電腦受信任的發行者憑證存儲中找到的憑證所簽署。 |
| 停用 | 內部網路 Microsoft 更新服務位置的更新必須由 Microsoft 簽署。 |
選項:此設定沒有任何選項。
一律在排程時間自動重新啟動
您可以使用此設定來指定重新啟動定時器是否一律會在 Windows Update 安裝重要更新之後立即開始,而不是至少兩天先通知使用者登入畫面。
注意
如果啟用「有使用者登入時不自動重新開機以完成排定的自動更新安裝」原則設定,此原則就沒有效用。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | Windows Update 不會改變電腦的重新啟動行為。 |
| 已啟用 | 重新啟動定時器在 Windows Update 安裝重要更新後立即開始,而不是先在登入畫面上通知使用者至少兩天。 重新啟動計時器的啟動時間可以設定為 15 到 180 分鐘之間的任何值。 當計時器執行完畢時,即使電腦還有登入的使用者,仍會執行重新啟動。 |
| 停用 | Windows Update 不會改變電腦的重新啟動行為。 |
選項:此設定啟用時,您可以指定在安裝更新後需經過多久的時間才會強制電腦重新啟動。
自動更新偵測頻率
您可以使用此設定來指定 Windows 等待多久才會檢查可用更新。 確切的等候時間介於此頻率所指定的小時數的 80% 到 100% 之間。 例如,如果此原則用來指定 20 小時的偵測頻率,則此原則套用的所有用戶端會在檢查更新之前等候 16 到 20 小時。
注意
- 必須啟用「指定內部網路 Microsoft 更新服務的位置」設定,此原則才有效用。
- 如果「設定自動更新」原則設定停用,此原則就沒有效用。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | Windows 會以預設間隔 22 小時檢查可用的更新。 |
| 已啟用 | Windows 會檢查指定間隔的可用更新。 |
| 停用 | Windows 會以預設間隔 22 小時檢查可用的更新。 |
選項:此設定啟用時,您可以指定 Windows Update 在檢查更新之前等待的時間間隔 (以小時為單位)。
設定自動更新
您可以使用此設定來指定是否在此電腦上啟用自動更新。
您可以在 [計算機設定\系統管理範本\Windows 元件\Windows Update\管理終端用戶體驗\設定自動更新] 下設定自動更新。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 組策略層級未指定自動更新的使用。 系統管理員仍可在 [設定]>[更新 & 安全性]>[Windows Update]>[進階] 選項下方透過 [設定] 應用程式設定自動更新。 |
| 已啟用 | Windows 會在電腦上線時辨識,並使用其因特網聯機來搜尋 Windows Update 以取得可用的更新。 若要使用此設定,您必須選取此資料表後面所列的五個選項之一。 允許本機系統管理員使用 Windows Update 控制面板來選取其選擇的組態選項。 不過,本機系統管理員不可將自動更新設定設定為 [停用]。 |
| 停用 | 用戶必須移至 [ 設定>更新與安全性>Windows Update],手動從公用 Windows Update 服務下載並安裝任何可用的用戶端更新。 |
選項: 如果啟用此設定,您必須選取下列其中一個選項:
| 選項 | 行為 |
|---|---|
| 2 - 通知下載和自動安裝 | 當 Windows Update 發現適用於電腦的更新時,使用者便會收到更新已可供下載的通知。 然後,使用者可以執行 Windows Update 以下載並安裝任何可用的更新。 |
| 3 - 自動下載和通知安裝 | 此選項為預設設定。 Windows Update 會尋找適用的更新並在背景中安裝更新。 在此程序期間,使用者不會收到通知或遭到中斷。 下載完成時,使用者將會收到更新已可供安裝的通知。 然後,使用者可以執行 Windows Update 以安裝已下載的更新。 |
| 4 - 自動下載和排程安裝 | 您可以使用此組策略選項來指定安裝排程。 若未指定排程,所有安裝的預設排程都是每天凌晨 3:00。 如果有任何更新需要重新啟動才能完成安裝,Windows 會自動重新啟動電腦。 如果使用者在 Windows 準備好重新啟動時已登入電腦,則使用者會收到通知,並且可以選擇延遲重新啟動。 從 Windows 8 開始,您可以將更新設定為在自動維護期間安裝,而不使用特定 Windows Update 排程。 自動維護會在電腦未使用時安裝更新,並且避免在電腦以電池電源執行時安裝更新。 如果自動維護無法在兩天內安裝更新,Windows Update 會立即安裝更新。 隨後,使用者會收到關於即將重新啟動的通知。 只有在不會意外遺失資料的情況下,才會重新啟動。 |
| 5 - 允許本機系統管理員選擇設定 | 允許本機系統管理員使用自動更新控制面板來選擇組態選項。 例如,本機系統管理員可以選擇排程的安裝時間。 本機系統管理員不可將自動更新的設定設定為 [停用]。 |
| 7 - 自動下載、通知安裝、通知重新啟動 | 此選項僅適用於 Windows Server 2016 和更新版本。 本機系統管理員可以使用 Windows Update 手動安裝或重新啟動。 Windows 會下載適用於裝置的更新,並通知使用者更新已準備好安裝。 安裝更新之後,系統會通知使用者重新啟動裝置。 |
注意
在 Windows Server 上,[ 設定自動更新 原則設定] 選項預設會在登錄中設定為 3 。 此值不會反映在 GPO 編輯器中。 如果系統管理員將選項設定為不同的設定,新設定就會生效。 將 [ 設定自動更新原則] 設定為 [未 設定] 會導致自動下載和安裝更新的行為。
延遲排程安裝的重新啟動
您可以使用此設定來指定在排程重啟前自動更新等待的時間長度。
注意
只有在「自動更新」設定為執行排定的更新安裝時,此原則才適用。 如果「設定自動更新」原則設定停用,此原則就沒有效用。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 安裝更新之後,在發生任何排程重新啟動之前,預設等候時間為15分鐘。 |
| 已啟用 | 安裝完成時,排程的重新啟動會在指定的分鐘數到期之後發生。 |
| 停用 | 安裝更新之後,在發生任何排程重新啟動之前,預設等候時間為15分鐘。 |
選項:此設定啟用時,您可以指定「自動更新」在繼續執行排定的重新啟動之前所等待的時間長度 (以分鐘為單位)。
不要將 [關閉 Windows] 對話方塊中的預設選項調整為 [安裝更新並關機]
您可以使用此設定來指定在 [關閉 Windows] 對話框中是否允許 [安裝更新並關機] 選項作為預設選擇。
注意
此原則設定如果在 <原則名稱>>計算機>設定>管理範本>Windows 元件>Windows Update>未在 [關閉 Windows] 對話框中顯示 [安裝更新和關機] 選項 的原則設定為啟用,則不會有任何效果。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | [安裝更新並關機] 是 [關閉 Windows] 對話框中的預設選項,如果當使用者選取 [關機] 選項來關閉電腦時有可供安裝的更新。 |
| 已啟用 | 用戶最後一次關機選擇是 [ 關機 Windows ] 對話框中的預設選項。 關機選項的範例包括 休眠 和 重新啟動。 不論在該對話方塊的 [ 您要計算機做什麼?] 底下,安裝更新和關機 選項是否可用,此行為都會發生。 |
| 停用 | [安裝更新並關機] 是 [關閉 Windows] 對話框中的預設選項,如果當使用者選取 [關機] 選項來關閉電腦時有可供安裝的更新。 |
選項:此設定沒有任何選項。
不連接到任何 Windows Update 網際網路位置
您可以使用此設定來指定 Windows 不應該再連線到公用更新服務。 即使 Windows Update 設定為從內部網路更新服務接收更新,它仍會定期從公用 Windows Update 服務接收資訊。 這些資訊讓您未來能夠連線到 Windows Update 和其他服務,例如 Microsoft Update 或 Microsoft Store。
注意
只在電腦設定為使用「指定內部網路 Microsoft 更新服務的位置」原則設定連線至內部網路更新服務,此原則才適用。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 計算機可以從公用更新服務擷取資訊,例如 Windows Update 和 Microsoft 市集。 |
| 已啟用 | Windows 不再連線到公用更新服務,例如 Windows Update 或 Microsoft 市集。 這項設定會導致 Microsoft Store 應用程式大部分的功能停止運作。 使用 [設定] 應用程式或 [控制面板] 搜尋更新的使用者只會從內部網路更新服務查看更新。 它們未顯示 [ 從 Windows Update 檢查在線更新 ] 選項。 使用 Windows Update 代理程式 API 的程式無法從內部網路更新服務以外的任何服務搜尋更新。 |
| 停用 | 計算機可以從公用更新服務擷取資訊。 |
選項:此設定沒有任何選項。
不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項
您可以使用此設定來指定在 [關閉 Windows] 對話框中是否顯示 [安裝更新並關機] 選項。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 如果使用者在更新可用時選擇 [關機] 選項來關閉計算機,則 [關閉 Windows] 對話方塊會顯示 [安裝更新並關機] 選項。 本地管理員可以通過本地策略更改此設定。 |
| 已啟用 | 安裝更新並關機不會出現在關閉 Windows 對話框中,即使當使用者選擇關機選項來關機時,有更新可供安裝。 |
| 停用 | 安裝更新並關機是關閉 Windows對話框中的預設選項,如果當使用者選擇關機選項以關閉電腦時,有更新可以安裝。 |
選項:此設定沒有任何選項。
啟用客戶端定位
您可以使用此設定來指定在 WSUS 控制台中設定的目標群組名稱或名稱,以接收來自 WSUS 的更新。
注意
只有將此電腦設定為支援 WSUS 中指定的目標群組名稱時,此原則才適用。 目標群組名稱若不存在於 WSUS 中,則會被忽略,直到它建立為止。 如果「指定內部網路 Microsoft 更新服務的位置」原則設定已停用或未設定,此原則就沒有效用。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 不會將目標組資訊傳送至 WSUS。 本地管理員可以通過本地策略更改此設定。 |
| 已啟用 | 指定的目標組資訊會傳送至 WSUS,該資訊會使用它來判斷應該部署至這部計算機的更新。 如果 WSUS 支援多個目標組,您可以使用此原則來指定多個組名,並以分號分隔,如果您在 WSUS 的電腦群組清單中新增目標組名。 否則必須指定單一群組。 |
| 停用 | 不會將目標組資訊傳送至 WSUS。 |
選項:使用此空間來指定一或多個目標群組名稱。
啟用 Windows Update 電源管理以自動喚醒電腦以安裝排程的更新
您可以使用此設定來指定 Windows Update 是否使用 Windows 電源管理或電源選項功能,在已排程安裝更新時,自動從休眠狀態喚醒電腦。
只有在 Windows Update 設定為自動安裝更新時,電腦才會自動喚醒。 如果計算機在排程安裝時間發生且要套用更新時處於休眠狀態,Windows Update 會使用 Windows 電源管理或電源選項功能自動喚醒電腦以安裝更新。 Windows Update 也會喚醒電腦,並在安裝期限發生時安裝更新。
除非安裝更新,否則計算機不會喚醒。 如果計算機處於電池供電狀態,則 Windows Update 喚醒時不會安裝更新。 電腦會在兩分鐘內自動回到休眠狀態。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | Windows Update 不會從休眠喚醒電腦以安裝更新。 本地管理員可以通過本地策略更改此設定。 |
| 已啟用 | Windows Update 會從休眠喚醒電腦,以在先前列出的條件下安裝更新。 |
| 停用 | Windows Update 不會從休眠喚醒電腦以安裝更新。 |
選項:此設定沒有任何選項。
有使用者登入時不自動重新開機以完成排定的自動更新安裝
您可以使用此設定來指定完成排程安裝,自動更新會等候任何登入的使用者重新啟動計算機,而不是導致計算機自動重新啟動。
注意
只有在「自動更新」設定為執行排定的更新安裝時,此原則才適用。 如果「設定自動更新」原則設定停用,此原則就沒有效用。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 自動更新會通知用戶計算機在五分鐘內自動重新啟動以完成安裝。 |
| 已啟用 | 如果使用者登入計算機,自動更新不會在排程安裝期間自動重新啟動計算機。 相反地,如果更新在重新啟動電腦之前無法生效,自動更新會通知使用者重新啟動計算機。 |
| 停用 | 自動更新會通知用戶計算機在五分鐘內自動重新啟動以完成安裝。 |
選項:此設定沒有任何選項。
再次提示排程安裝所需的重新啟動
您可以使用此設定來指定自動更新在再次提示進行排程重新啟動前的等待時間。
重要
只有在「自動更新」設定為執行排定的更新安裝時,此原則才適用。 如果「設定自動更新」原則設定停用,此原則就沒有效用。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 排定的重新啟動會在重新啟動提示訊息關閉的十分鐘後執行。 本地管理員可以通過本地策略更改此設定。 |
| 已啟用 | 在系統延後出現重新啟動提示之後,排程的重新啟動會在指定的分鐘數過後發生。 |
| 停用 | 排定的重新啟動會在重新啟動提示訊息關閉的十分鐘後執行。 |
選項:這項設定啟用時,您可以指定需經過多久的時間 (以分鐘為單位),才會再次對使用者發出排定的重新啟動提示。
重新排程自動更新安裝
您可以使用此設定來指定自動更新在電腦啟動後等待時間,再繼續進行先前未完成的排程安裝。
注意
只有在「自動更新」設定為執行排定的更新安裝時,此原則才適用。 如果「設定自動更新」原則設定停用,此原則就沒有效用。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 下一次啟動計算機之後,就會發生一分鐘未排程安裝。 |
| 已啟用 | 下一次啟動電腦後,錯過的排程安裝會在指定的分鐘數後發生。 |
| 停用 | 下一次排程安裝時會進行上一次未完成的安裝。 |
選項: 啟用此原則設定後,您可以指定電腦下次啟動後等待多少分鐘才會執行錯過的排程安裝。
指定內聯網 Microsoft 更新服務的位置
您可以使用此設定,指定要從 Microsoft Update 裝載更新的內部網路伺服器。 當您指定伺服器時,可以使用 WSUS 來自動更新網路上的電腦。
您可以使用此設定來指定網路上作為內部更新服務的 WSUS 伺服器。 WSUS 用戶端不會使用網際網路上的公用 Windows Update 和 Microsoft Update 服務,而是會搜尋此服務中是否有適用的更新。 啟用這個設定表示組織中的使用者不必通過防火牆就能取得更新, 您有機會在部署更新之前先加以測試。
若要使用此設定,您必須設定兩個伺服器名稱值:用戶端從中偵測和下載更新的伺服器,以及更新的工作站上傳統計資料的目標伺服器。 如果兩個服務設定在同一部伺服器上,則這些值不需要不同。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 用戶端會直接連線到 Windows Update 網站。 |
| 已啟用 | 用戶端會連線到指定的 WSUS 伺服器,而不是 Windows Update,以搜尋和下載更新。 如果原則或使用者喜好設定未停用自動更新,自動更新會從指定的 WSUS 伺服器搜尋、下載及安裝更新,而不是從 Windows Update 進行。 在舊版 Windows 上,[Windows Update 設定] 頁面或 [Windows Update] 控制台頁面的使用者一般會看到更新來自指定的 WSUS 伺服器,而非來自 Windows Update。 使用者也會看到 [ 從 Windows Update 檢查在線更新 ] 選項,提供在因特網上使用公用更新服務的方式。 您可以使用 [不要連線到任何 Windows Update 因特網位置 ] 原則設定來移除此選項。 使用 Windows Update 代理程式 API 來搜尋、下載及安裝更新的應用程式,通常會對指定的 WSUS 伺服器運作。 應用程式可以特別要求在網際網路上使用公用更新服務。 您可以使用 [不要連線到任何 Windows Update 因特網位置 ] 原則設定來移除此選項。 |
| 停用 | 用戶端會直接連線到 Windows Update 網站。 |
選項:此原則設定啟用時,您必須指定 WSUS 用戶端在偵測更新時所使用的內部網路更新服務,以及更新的 WSUS 用戶端上傳統計資料的目標網際網路統計伺服器。 下表提供範例值:
| 設定選項 | 範例值 |
|---|---|
| 設定用來偵測更新的內部網路更新服務 | https://wsus01:8531 |
| 設定內部網路統計伺服器 | https://IntranetUpd01 |
開啟自動更新以接收建議的更新
您可以使用此設定來指定自動更新是否提供來自 WSUS 的重要和建議更新。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 如果自動更新已設定為這麼做,則自動更新會繼續傳遞重要更新。 |
| 已啟用 | 自動更新會從 WSUS 安裝建議的更新和重要更新。 |
| 停用 | 如果自動更新已設定為這麼做,則自動更新會繼續傳遞重要更新。 |
選項:此設定沒有任何選項。
開啟軟體通知
您可以使用此設定來指定使用者是否從 Microsoft Update 服務查看精選軟體的詳細增強通知訊息。 增強通知訊息會傳達選用軟體的價值,並鼓勵使用者安裝及使用。 此原則設定適用於管理不嚴格、且允許使用者存取 Microsoft Update 服務的環境中。
如果您未使用 Microsoft Update 服務,「軟體通知」原則設定就沒有效用。
如果「設定自動更新」原則設定已停用或未設定,「軟體通知」原則設定就沒有效用。
注意
依預設會停用此原則設定。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 使用者不會為選擇性應用程式提供訊息。 本機系統管理員可以使用控制台或本機原則來變更此設定。 |
| 已啟用 | 當有精選軟體可用時,用戶計算機上會出現通知訊息。 使用者可選取通知以開啟 Windows Update,並取得軟體本身或加以安裝的詳細資訊。 使用者也可以選取 [關閉此訊息] 或 [以後再通知我],以適當地延遲通知。 |
| 停用 | 使用者不會針對選擇性應用程式或更新提供詳細的通知訊息。 |
選項:此設定沒有任何選項。
電腦設定 > 維護排程器設定
在 [ 設定自動更新] 設定中,如果您選取 [4 - 自動下載並排程安裝 ] 選項,您可以在組策略管理控制台 (GPMC) 中指定維護排程器設定。 如果您未在 [設定自動更新] 設定中選取選項 4,則不需要為自動更新設定這些設定。
維護排程器設定會位於下列路徑:電腦設定>原則>系統管理範本>Windows 元件>維護排程器。 群組原則的維護排程器延伸包含下列設定:
自動維護啟用範圍
您可以使用此設定來設定自動維護啟用界限。
啟用界限是自動維護開始的每日排程時間。
注意
此設定與設定自動更新中的選項 4 有關。 如果您未在 [ 設定自動更新] 中選取選項 4,則不需要設定此設定。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 在用戶端計算機的 [控制面板] 上 [ 自動維護 ] 頁面中指定的每日排程時間適用。 |
| 已啟用 | 在用戶端計算機中,在 [控制面板] 的 [ 自動維護 ] 頁面上設定的任何預設或修改的設定已被覆蓋(或在某些用戶端版本中,[維護 ] 頁面的設定已被覆蓋)。 |
| 停用 | 在 [控制面板] 中 [自動維護] 頁面上指定的每日排程時間將適用。 |
自動維護隨機延遲
您可以使用此設定來設定自動維護啟用的隨機延遲。
維護隨機延遲是從其啟用界限開始,套用至自動維護的延遲長度上限。 此設定適用於需要應對隨機或非預期維護的虛擬機器,以滿足效能需求。
注意
此設定與設定自動更新中的選項 4 有關。 如果您未在 [設定自動更新] 中選取選項 4,則不需要設定此設定。
根據預設,在這項設定啟用時,定期維護隨機延遲會設定為 PT4H。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 四小時的隨機延遲會套用至自動維護。 |
| 已啟用 | 指定時間內的隨機延遲將用於自動維護。 |
| 停用 | 不會將隨機延遲套用至自動維護。 |
自動喚醒原則
您可以使用此設定來設定自動維護的喚醒原則。
喚醒原則會指定自動維護是否對作業計算機發出喚醒要求,以進行每日排程維護。
注意
如果作業電腦的電源喚醒原則已明確停用,此設定就沒有效用。 此設定與設定自動更新中的選項 4 有關。 如果您未在 [設定自動更新] 中選取選項 4,則不需要設定此設定。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 喚醒設定會套用在 [ 自動維護 ] 頁面上的 [控制面板] 中指定的設定。 |
| 已啟用 | 自動維護會嘗試設定作業系統喚醒原則,並視需要對每日排程時間提出喚醒要求。 |
| 停用 | 喚醒設定會套用在 [ 自動維護 ] 頁面上的 [控制面板] 中指定的設定。 |
使用者設定 > Windows Update 原則設定
本節會詳細說明下列以使用者為基礎的原則設定:
- 不要在 [關機 Windows] 對話框中顯示 [安裝更新和關機] 選項
- 請勿在 [關閉 Windows] 對話框中,將預設選項調整為 [安裝更新和關機]
- 移除對使用所有 Windows Update 功能的存取
在 GPME 中,自動電腦更新的使用者設定位於路徑<原則名稱>>使用者設定>設定原則>系統管理範本>Windows 組件>Windows Update之中。 在選取 Windows Update 原則的 [設定] 索引標籤以依字母順序排序設定時,這些設定的列出順序將會與它們出現在群組原則中的電腦設定和使用者設定延伸中的順序相同。
注意
根據預設,除非另有註明,否則不會設定這些設定。
針對每項設定,您可以使用下列步驟來啟用、停用或切換設定。
不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項
您可以使用此設定來指定在 [關閉 Windows] 對話框中是否顯示 [安裝更新並關機] 選項。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 如果在更新可用的情況下使用者選擇 [關機] 選項來關閉計算機,則 [關閉 Windows] 對話框會顯示 [安裝更新和關機] 選項。 |
| 已啟用 | 安裝更新並關機不會出現在關閉 Windows 對話框中,即使當使用者選擇關機選項來關機時,有更新可供安裝。 |
| 停用 | 如果在更新可用的情況下使用者選擇 [關機] 選項來關閉計算機,則 [關閉 Windows] 對話框會顯示 [安裝更新和關機] 選項。 |
選項:此設定沒有任何選項。
不要將 [關閉 Windows] 對話方塊中的預設選項調整為 [安裝更新並關機]
您可以使用此設定來指定 [關閉 Windows] 對話框中是否允許 [安裝更新和關機] 選項做為預設選擇。
注意
如果<原則名稱>>>>設定原則系統管理範本>Windows 元件>Windows Update>未在 [關閉 Windows] 對話框中顯示 [安裝更新和關機] 選項,此原則設定就沒有作用。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 安裝更新並關機是關閉 Windows對話框中的預設選項,如果當使用者選擇關機選項以關閉電腦時,有更新可以安裝。 |
| 已啟用 | 用戶最後一次關機選擇是 [ 關機 Windows ] 對話框中的預設選項。 關機選項的範例包括 休眠 和 重新啟動。 不論在該對話方塊的 [ 您要計算機做什麼?] 底下,安裝更新和關機 選項是否可用,此行為都會發生。 |
| 停用 | 安裝更新並關機是關閉 Windows對話框中的預設選項,如果當使用者選擇關機選項以關閉電腦時,有更新可以安裝。 |
選項:此設定沒有任何選項。
移除對使用所有 Windows Update 功能的存取
您可以使用此設定來移除 Windows Update 的 WSUS 用戶端存取權。
注意
Windows 10 和更新版本以及 Windows Server 2016 和更新版本不支援此設定。
| 政策設定狀態 | 行為 |
|---|---|
| 未設定 | 使用者可以連線至 Windows Update 網站。 |
| 已啟用 | 所有 Windows Update 功能全都遭到移除。 目前無法存取 Windows Update 網站。 Windows 自動更新也會停用。 使用者不會收到重大更新的通知,也不會從 Windows Update 接收重大更新。 您可以設定此資料表之後所列的其中一個通知選項。 此設定也會防止裝置管理員從 Windows Update 網站自動安裝驅動程式更新。 |
| 停用 | 使用者可以連線至 Windows Update 網站。 |
選項: 如果啟用此設定,您可以選取下列其中一個選項:
| 選項 | 行為 |
|---|---|
| 0 - 不顯示任何通知 | 會移除所有 Windows Update 功能的存取權,而且不會顯示任何通知。 |
| 1 - 顯示需要重新啟動通知 | 顯示完成安裝所需的重新啟動通知。 |
補充資訊
本節提供有關在組策略中使用、開啟和儲存 WSUS 設定的詳細資訊。 本節也提供本文中使用的詞彙定義。 熟悉舊版 WSUS (WSUS 3.2 和之前的版本) 的系統管理員,可參考一份摘要說明 WSUS 版本差異的表格。
存取群組原則編輯器中的 Windows Update 設定
下列程序說明如何使用群組原則物件 (GPO) 和其他群組原則設定。
注意
若要執行這些程序,您必須是 Domain Admins 群組的成員或具同等身分。
開啟群組原則物件
在網域控制站上,移至 [伺服器管理員]>[工具]>[群組原則管理]。 GPMC 開啟。
在側邊窗格上,展開您的樹系。 例如,雙擊 Forest: example.com。
在側邊窗格中,按兩下 [ 網域],然後按兩下您要管理組策略物件的網域。 例如,按兩下 example.com。
採取下列步驟之一:
若要開啟現有的網域層級 GPO 以進行編輯:
- 請按兩下您要管理的群組原則物件所屬的網域。
- 以滑鼠右鍵按下您要管理的網域原則,然後選取 [ 編輯]。 GPME 隨即開啟。
若要建立新的群組原則物件並開啟以供編輯:
- 以滑鼠右鍵按下您要建立新組策略對象的網域,然後選取 [在此網域中建立 GPO],然後在這裡連結它。
- 在 [ 新增 GPO] 對話方塊的 [ 名稱] 下,輸入新組策略物件的名稱,然後選取 [ 確定]。
- 以滑鼠右鍵按下新的組策略對象,然後選取 [ 編輯]。 GPME 隨即開啟。
開啟群組原則的 Windows Update 或維護排程器擴充功能
在 GPME 中,採取下列步驟之一:
展開電腦設定>原則>系統管理範本>Windows 元件>Windows Update。
展開使用者設定>原則>系統管理範本>Windows 元件>Windows Update。
展開電腦設定>原則>系統管理範本>Windows 元件>維護排程器。
如需群組原則的詳細資訊,請參閱群組原則概觀。
設定群組原則設定
開啟您想要的組策略擴充功能之後,您可以使用下列步驟來啟用、停用或移動設定:
按兩下您要檢視或修改的設定。
採取下列步驟之一:
- 若要保留預設設定未指定的狀態,請選取 [未設定]。
- 若要啟用此設定,請選取 [已啟用]。
- 若要停用此設定,請選取 [已停用]。
在 [選項] 中,如果有列出任何選項,請保留預設值,或視需要加以修改。
採取下列步驟之一:
- 若要儲存變更並繼續進行下一個設定,請選取 [套用],然後選取 [下一個設定]。
- 若要儲存變更並關閉對話方塊,選取 [確定]。
- 若要捨棄所有未儲存的變更並關閉對話方塊,請選取 [取消]。
詞彙和定義
本文使用下列詞彙:
| 詞彙 | 定義 |
|---|---|
| 自動更新或自動更新 | Windows Update 代理自動排程和下載更新的功能。 自動更新是 Windows 和 Windows Server 作業系統內建的用戶端元件,可從 Microsoft Update 或 Windows Update 取得更新。 |
| 自發伺服器 | 系統管理員可以管理 WSUS 元件的下游 WSUS 伺服器。 |
| 下游伺服器 | 從另一個 WSUS 伺服器 (而非從 Microsoft Update 或 Windows Update) 取得更新的 WSUS 伺服器。 |
| 群組原則擴充(或稱為群組原則的延伸) | 群組原則中的設定集合,控制 (套用原則的) 使用者和電腦如何設定及使用各項 Windows 服務和功能。 系統管理員可搭配使用 WSUS 與群組原則進行自動更新用戶端的用戶端設定,以利確保使用者無法停用或規避公司更新原則。 WSUS 不需要使用 Active Directory 或群組原則。 用戶端設定也可藉由使用本機群組原則或修改 Windows 登錄來套用。 |
| 內部更新服務 | 對使用一或多個 WSUS 伺服器來散發更新的網路基礎結構所做的一般參考。 |
| 複本伺服器 | 下游 WSUS 伺服器會鏡像其連接的上游伺服器上的核准和設定。 您無法管理複本伺服器上的 WSUS。 |
| Microsoft更新 | 這是一個 Microsoft 網際網路網站,可儲存和散發 Windows 電腦、裝置驅動程式、Windows 作業系統和其他 Microsoft 軟體產品的更新。 |
| 軟體更新服務 (SUS) | WSUS 產品的前身。 |
| 更新 | 軟體修訂、緊急修正、服務包、功能包和設備驅動程式等集合,這些更新可以安裝在計算機上,以擴充功能,或改善效能和安全性。 |
| 更新檔案 | 在電腦上安裝更新所需的檔案。 |
| 更新資訊或更新元數據 | 更新的相關資訊,不同於更新套件中的二進位檔案。 例如,元數據會提供更新屬性的相關信息,讓您瞭解更新的用途。 中繼資料也包含 Microsoft 軟體授權條款。 為更新下載的中繼資料套件,通常會比更新檔案套件小得多。 |
| 更新來源 | WSUS 伺服器進行同步處理以取得更新檔案的位置。 此位置可以是 Microsoft Update 或上游 WSUS 伺服器。 |
| 上游伺服器 | 提供更新檔案給另一部下游 WSUS 伺服器的 WSUS 伺服器。 |
| Windows Server Update Services (WSUS) | 在公司網路的一或多部 Windows Server 電腦上執行的伺服器角色程式。 WSUS 基礎結構可讓您管理網路上計算機的更新以安裝。 您可以使用 WSUS,在發行前核准或拒絕更新、強制更新在指定的日期進行安裝,以及取得網路上每一部電腦所需更新的相關詳細報表。 您可以將 WSUS 設定為自動核准特定類別的更新,包括重大更新、安全性更新、Service Pack 和驅動程式。 您也可以使用 WSUS 來核准僅偵測的更新,讓您可以查看哪些電腦需要特定更新,而不需要安裝更新。 在 WSUS 實作中,網路中至少要有一部 WSUS 伺服器能夠連線至 Microsoft Update,以取得可用的更新。 系統管理員可根據網路安全性和設定,決定有多少部伺服器可以直接連線至 Microsoft Update。 您可以設定 WSUS 伺服器透過網際網路從 Microsoft Update、Windows Update 或 Microsoft Store 取得更新。 |
| Windows Update(Windows 更新) | 這是一個 Microsoft 網際網路網站,可儲存和散發 Windows 電腦、裝置驅動程式和 Windows 作業系統的更新。 Windows Update 也是在 Windows 電腦上執行的服務名稱,會偵測、下載和安裝更新。 視電腦和原則設定之不同,Windows Update 代理程式可從下列來源下載更新: - Microsoft更新。 - Windows Update。 - Microsoft Store。 - 因特網(網路)更新服務(WSUS)。 未在以 WSUS 為基礎的環境中受到管理的電腦,通常會使用 Windows Update 透過網際網路直接連線至 Windows Update、Microsoft Update 或 Microsoft Store 以取得更新。 |
| WSUS 用戶端 | 從 WSUS 內部網路更新服務接收更新的電腦。 如果組策略設定可控制使用者與自動更新的互動,則 WSUS 用戶端是 WSUS 環境中的電腦使用者。 |