步驟 4︰設定自動更新的群組原則設定
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
在 Active Directory 環境中,您可以使用群組原則來定義電腦和使用者如何與 Windows Update 互動,以從 Windows Server Update Services (WSUS) 取得自動更新。 本文將這些電腦和使用者稱為 WSUS 用戶端。
本文包含兩個主要小節:
WSUS 用戶端更新的群組原則設定:針對群組原則中用來控制 WSUS 用戶端如何與 Windows Update 互動以取得自動更新的 Windows Update 和維護排程器設定,提供相關的規範性指引和行為詳細資料。
補充資訊包含以下小節:
存取群組原則中的 Windows Update 設定:提供有關於使用群組原則管理編輯器 (GPME) 的一般指引。 此節也提供存取群組原則中更新服務的原則延伸和維護排程器設定的相關資訊。
與本指南相關的 WSUS 變更:簡要摘錄 WSUS 的現行版本與舊版之間與本指南相關的主要差異。 此節適用於熟悉 WSUS 3.2 和舊版的系統管理員。
詞彙和定義:定義 WSUS 和更新服務的相關詞彙。
WSUS 用戶端更新的群組原則設定
本節提供下列三個群組原則延伸的相關資訊。 在這些延伸中,您會看到可用來設定 WSUS 用戶端如何與 Windows Update 互動以接收自動更新的設定。
注意
本文假設您已使用過並且熟悉群組原則。 如果您不熟悉群組原則,建議您先檢閱此文件的補充資訊一節中的資訊,再嘗試設定 WSUS 的原則設定。
電腦設定 >Windows Update 原則設定
本節會詳細說明下列以電腦為基礎的原則設定:
- 允許立即安裝自動更新
- 允許非系統管理員接收更新通知
- 允許來自近端內部網路 Microsoft 更新服務位置的已簽署更新
- 自動更新偵測頻率
- 設定自動更新
- 延遲排程安裝的重新啟動
- 不要將 [關閉 Windows] 對話方塊中的預設選項調整為 [安裝更新並關機]
- 不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項
- 啟用用戶端目標
- 啟用 Windows Update 電源管理,以自動喚醒電腦並安裝排定的更新
- 有使用者登入時不自動重新開機以完成排定的自動更新安裝
- 再次提示排程安裝所需的重新啟動
- 重新排程已經排程好的自動更新安裝
- 指定近端內部網路 Microsoft 更新服務的位置
- 透過自動更新安裝建議的更新
- 開啟軟體通知
在群組政策管理編輯器中,以電腦為基礎的設定適用的 Windows Update 原則會位於下列路徑:PolicyName>電腦設定>原則>系統管理範本>Windows 元件>Windows Update。
注意
依預設不會設定這些設定。
允許立即安裝自動更新
指定「自動更新」是否會自動安裝不會中斷 Windows 服務或重新啟動 Windows 的更新。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
如果「設定自動更新」原則設定設為 [已停用],此原則就沒有效用。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定不會立即安裝更新。 本機系統管理員可以使用本機群組原則編輯器來變更此設定。 |
| 已啟用 | 指定「自動更新」會在已下載並可供安裝後立即安裝更新。 |
| 停用 | 指定不會立即安裝更新。 |
選項:此設定沒有任何選項。
允許非系統管理員接收更新通知
指定非系統管理使用者是否會根據「設定自動更新」原則設定接收更新通知。
| 支援的項目 | 排除 |
|---|---|
| Windows Server 2012 R2、Windows 8.1 及更早版本 | null |
注意
如果「設定自動更新」原則設定已停用或未設定,此原則設定就沒有效用。
重要
從 Windows 8 和 Windows RT 開始,依預設會啟用此原則設定。 在所有先前的 Windows 版本中,此設定皆預設為停用。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定使用者一律會看到 [帳戶控制] 視窗,且需具備提高的權限才能執行這些工作。 本機系統管理員可以使用本機群組原則編輯器來變更此設定。 |
| 已啟用 | 指定 Windows 自動更新和 Microsoft Update 在判斷哪些登入的使用者會收到更新通知時,會包含非系統管理員。 非系統管理使用者將能夠安裝他們已收到通知的所有選用、建議和重要的更新內容。 使用者看不到 [使用者帳戶控制] 視窗。 除非更新包含使用者介面、Microsoft 軟體授權條款或 Windows Update 設定變更,否則使用者不需要提高權限即可安裝這些更新。 在下列兩種情況下,此設定的效用會取決於作業系統: - 隱藏或還原更新 在 Windows Vista 或 Windows XP 中,如果已啟用此原則設定,使用者就不會看到 [使用者帳戶控制] 視窗。 這些使用者不需要提高的權限,即可隱藏、還原或取消更新。 在 Windows Vista 中,如果啟用此原則設定,使用者就看不到 [使用者帳戶控制] 視窗。 這些使用者不需要提高的權限,即可隱藏、還原或取消更新。 如果此原則設定未啟用,使用者一律會看到 [使用者帳戶控制] 視窗,且他們必須具備提高的權限才能隱藏、還原或取消更新。 在 Windows 7 中,此原則設定沒有效用。 使用者一律會看到 [帳戶控制] 視窗,且需具備提高的權限才能執行這些工作。 在 Windows 8 和 Windows RT 中,此原則設定沒有效用。 |
| 停用 | 指定只有已登入的系統管理員才會收到更新通知。 請注意,從 Windows 8 和 Windows RT 開始,依預設會啟用此原則設定。 在所有先前的 Windows 版本中,此設定皆預設為停用。 |
選項:此設定沒有任何選項。
允許來自近端內部網路 Microsoft 更新服務位置的已簽署更新
指定在內部網路 Microsoft 更新服務位置發現更新時,「自動更新」是否接受 Microsoft 以外的實體簽署的更新。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | Windows RT |
注意
來自內部網路 Microsoft 更新服務以外服務的更新,一律必須由 Microsoft 簽署。 此原則設定不會影響它們。 Windows RT 上不支援此原則。 啟用此原則對於執行 Windows RT 的電腦不會有任何影響。
選項:此設定沒有任何選項。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定來自近端內部網路 Microsoft 更新服務位置的更新,必須由 Microsoft 簽署。 |
| 已啟用 | 指定「自動更新」會接受透過內部網路 Microsoft 更新服務位置接收的更新,但前提是這些更新必須是由本機電腦的受信任發行者憑證存放區中包含的憑證所簽署。 |
| 停用 | 指定來自近端內部網路 Microsoft 更新服務位置的更新,必須由 Microsoft 簽署。 |
選項:此設定沒有任何選項。
一律在排程時間自動重新啟動
指定是否一律會在 Windows Update 安裝重要更新後立即開始執行重新啟動計時器,而不是在登入畫面上通知使用者至少兩天。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
如果啟用「有使用者登入時不自動重新開機以完成排定的自動更新安裝」原則設定,此原則就沒有效用。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定 Windows Update 不會改變電腦的重新啟動行為。 |
| 已啟用 | 指定一律會在 Windows Update 安裝重要更新後立即開始執行重新啟動計時器,而不是在登入畫面上通知使用者至少兩天。 重新啟動計時器的啟動時間可以設定為 15 到 180 分鐘之間的任何值。 當計時器執行完畢時,即使電腦還有登入的使用者,仍會執行重新啟動。 |
| 停用 | 指定 Windows Update 不會改變電腦的重新啟動行為。 |
選項:此設定啟用時,您可以指定在安裝更新後需經過多久的時間才會強制電腦重新啟動。
自動更新偵測頻率
指定 Windows 用來判斷檢查可用更新之前的等待時間,以小時為單位。 確實等待時間的決定方式,是使用這裡指定的時數減去所指定時數的 0 到 20%。 例如,如果使用這項原則指定 20 小時偵測頻率,則套用這項原則的所有用戶端都會在 16 到 20 小時之間檢查更新。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | Windows RT |
注意
- 必須啟用「指定內部網路 Microsoft 更新服務的位置」設定,此原則才有效用。
- 如果「設定自動更新」原則設定停用,此原則就沒有效用。
- Windows RT 上不支援此原則。 啟用此原則對於執行 Windows RT 的電腦不會有任何影響。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定 Windows 將會依預設的時間間隔 22 小時來檢查可用的更新。 |
| 已啟用 | 指定 Windows 將會依指定的時間間隔來檢查可用的更新。 |
| 停用 | 指定 Windows 將會依預設的時間間隔 22 小時來檢查可用的更新。 |
選項:此設定啟用時,您可以指定 Windows Update 在檢查更新之前等待的時間間隔 (以小時為單位)。
設定自動更新
指定是否要在此電腦上啟用自動更新。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | Windows RT |
Computer Configuration\Administrative Templates\Windows Components\Windows Update\Manage end user experience\Configure Automatic Updates 下設定自動更新。
如果這項設定設為 [未設定],則不會在群組原則層級指定要使用自動更新。 系統管理員仍可在 [設定]>[更新 & 安全性]>[Windows Update]>[進階] 選項下方透過 [設定] 應用程式設定自動更新。
如果這項設定設為 [停用],使用者必須移至 [設定]>[更新 & 安全性]>[Windows Update],從公用 Windows Update 服務下載並安裝任何可用的用戶端更新。
如果此項設定設定為 [啟用],Windows 會辨識電腦何時上線,並使用其網際網路連線搜尋 Windows Update 中是否有可用的更新。 若要使用這項設定,您必須選取設定提供的五個選項之一。
啟用這項設定時,會允許本機系統管理員使用 Windows Update 控制台自行選取其設定選項。 不過,本機系統管理員不可將自動更新設定設定為 [停用]。
將這項設定設定為 [啟用] 後,請選取 [選項] 下方下列其中一個選項:
選項 行為 2 - 通知下載和自動安裝 當 Windows Update 發現適用於電腦的更新時,使用者便會收到更新已可供下載的通知。 然後,使用者可以執行 Windows Update 以下載並安裝任何可用的更新。 3 - 自動下載和通知安裝 這是預設設定。 Windows Update 會尋找適用的更新並在背景中安裝更新。 在此程序期間,使用者不會收到通知或遭到中斷。 下載完成時,使用者將會收到更新已可供安裝的通知。 然後,使用者可以執行 Windows Update 以安裝已下載的更新。 4 - 自動下載和排程安裝 您可以使用此群組原則選項來指定安裝排程。 若未指定排程,所有安裝的預設排程都是每天凌晨 3:00。 如果有任何更新需要重新啟動才能完成安裝,Windows 會自動重新啟動電腦。 如果使用者在 Windows 準備好重新啟動時已登入電腦,則使用者會收到通知,並且可以選擇延遲重新啟動。 從 Windows 8 開始,您可以將更新設定為在自動維護期間安裝,而不使用特定 Windows Update 排程。 自動維護會在電腦未使用時安裝更新,並且避免在電腦以電池電源執行時安裝更新。 如果自動維護無法在兩天內安裝更新,Windows Update 會立即安裝更新。 其後,使用者會收到關於擱置重新啟動的通知。 只有在不會意外遺失資料的情況下,才會重新啟動。
5 - 允許本機系統管理員選擇設定 此選項指定是否允許本機系統管理員使用「自動更新」控制台選擇設定選項。 例如,本機系統管理員可選擇排定的安裝時間。 本機系統管理員不可將自動更新的設定設定為 [停用]。 7 - 自動下載、通知安裝、通知重新啟動 這個選項僅適用於 Windows Server SKU、2016 版和更新版本。 有了這個選項,本機系統管理員可以使用 Windows Update 繼續進行安裝或手動重新開機。 Windows 會將適用的更新下載至裝置,並通知使用者更新已準備好可供安裝。 安裝更新後,系統就會通知使用者重新啟動裝置。
注意
Microsoft 會隨附 Windows Server OS,並將自動更新選項原則在登錄中設定為 3 。 這不會反映在 GPO 編輯器中。 如果系統管理員將自動更新選項原則設定為不同的設定,新設定將生效。 將 [自動更新選項] 原則設定為 [未設定] 會導致自動下載和安裝更新的行為。
延遲排程安裝的重新啟動
指定「自動更新」在繼續執行排定的重新啟動前所將等待的時間長度。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
只有在「自動更新」設定為執行排定的更新安裝時,此原則才適用。 如果「設定自動更新」原則設定停用,此原則就沒有效用。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定在安裝更新後,需經過預設的等待時間 15 分鐘,才會執行任何排定的重新啟動。 |
| 已啟用 | 指定在安裝完成後,必須經過指定的分鐘數後,才會執行排定的重新啟動。 |
| 停用 | 指定在安裝更新後,需經過預設的等待時間 15 分鐘,才會執行任何排定的重新啟動。 |
選項:此設定啟用時,您可以指定「自動更新」在繼續執行排定的重新啟動之前所等待的時間長度 (以分鐘為單位)。
不要將 [關閉 Windows] 對話方塊中的預設選項調整為 [安裝更新並關機]
此原則設定可讓您指定是否允許將 [安裝更新並關機] 選項作為 [關閉 Windows] 對話方塊中的預設選項。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
如果 PolicyName>電腦設定>原則>系統管理範本>Windows 元件>Windows Update>不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項原則設定已啟用,此原則設定將不會有任何效用。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定如果在使用者選取關機選項以關閉電腦時有更新可供安裝,則 [安裝更新並關機] 將是 [關閉 Windows] 對話方塊中的預設選項。 |
| 已啟用 | 如果您啟用此原則設定,則使用者上次的關機選項 (例如 [休眠] 或 [重新啟動]),將是 [關閉 Windows] 對話方塊中的預設選項,無論 [安裝更新並關機] 是否為 [您要電腦執行什麼工作?] 功能表中的可用選項。 |
| 停用 | 指定如果在使用者選取關機選項以關閉電腦時有更新可供安裝,則 [安裝更新並關機] 將是 [關閉 Windows] 對話方塊中的預設選項。 |
選項:此設定沒有任何選項。
不連接到任何 Windows Update 網際網路位置
即使 Windows Update 設定為從內部網路更新服務接收更新,它仍會定期從公用 Windows Update 服務接收資訊。 這相資訊可供未來與 Windows Update 連線,以及接收其他服務 (像是 Microsoft Update 或 Microsoft Store)。
注意
只在電腦設定為使用「指定內部網路 Microsoft 更新服務的位置」原則設定連線至內部網路更新服務,此原則才適用。
| 支援的項目 | 排除 |
|---|---|
| 從 Windows Server 2012 R2、Windows 8.1 或 Windows RT 8.1 開始,仍在 Microsoft 產品支援生命週期內的 Windows 作業系統。 | null |
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定電腦可以從公用更新服務接收資訊,例如 Windows Update 和 Microsoft Store。 |
| 已啟用 | 指定 Windows 不再連線到公用更新服務,例如 Windows Update 或 Microsoft Store。 這項設定會導致 Microsoft Store 應用程式大部分的功能停止運作。 使用 [設定] 應用程式或 [控制台] 搜尋更新的使用者只會看到來自內部網路更新服務的更新。 它們將不會與 [線上檢查 Windows Update 的更新] 選項共同出現。 使用 Windows Update Agent API 的程式無法搜尋內部網路更新服務以外任何服務的更新。 |
| 停用 | 指定電腦可以從公用更新服務擷取資訊。 |
選項:此設定沒有任何選項。
不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項
指定是否要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定如果在使用者選取關機選項以關閉電腦時有可用的更新,則 [安裝更新並關機] 將是 [關閉 Windows] 對話方塊中的可用選項。 本機系統管理員可以使用本機原則來變更此設定。 |
| 已啟用 | 指定如果即使在使用者選取關機選項以關閉電腦時有更新可供安裝,[安裝更新並關機] 也不會顯示為 [關閉 Windows] 對話方塊中的選項。 |
| 停用 | 指定如果在使用者選取關機選項以關閉電腦時有更新可供安裝,則 [安裝更新並關機] 選項將是 [關閉 Windows] 對話方塊中的預設選項。 |
選項:此設定沒有任何選項。
啟用用戶端目標
指定在 WSUS 主控台中設定用來從 WSUS 接收更新的目標群組名稱。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | Windows RT |
注意
只有將此電腦設定為支援 WSUS 中指定的目標群組名稱時,此原則才適用。 目標群組名稱若不存在於 WSUS 中,則會被忽略,直到它建立為止。 如果「指定內部網路 Microsoft 更新服務的位置」原則設定已停用或未設定,此原則就沒有效用。 Windows RT 上不支援此原則。 啟用此原則對於執行 Windows RT 的電腦不會有任何影響。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定不將目標群組資訊傳送至 WSUS。 本機系統管理員可以使用本機原則來變更此設定。 |
| 已啟用 | 指定將指定的目標群組資訊傳送至 WSUS,以使用它來決定應將哪些更新部署到這部電腦。 如果 WSUS 支援多個目標群組,且您已在 WSUS 的電腦群組清單中新增了目標群組名稱,則可以使用此原則來指定多個群組名稱 (以分號分隔)。 否則必須指定單一群組。 |
| 停用 | 指定不將目標群組資訊傳送至 WSUS。 |
選項:使用此空間來指定一或多個目標群組名稱。
啟用 Windows Update 電源管理,以自動喚醒電腦並安裝排定的更新
指定在有排定要安裝的更新時,Windows Update 是否會使用 Windows 電源管理或電源選項功能,自動將電腦從休眠狀態中喚醒。
只有在 Windows Update 設定為自動安裝更新時,電腦才會自動喚醒。 如果電腦在排定的安裝時間到達且有更新要套用時處於休眠狀態,Windows Update 將會使用 Windows 電源管理或電源選項功能自動喚醒電腦,以安裝更新。 在安裝期限到達時,Windows Update 也會喚醒電腦並安裝更新。
除非有要安裝的更新,否則不會喚醒電腦。 如果電腦使用電池電源,當 Windows Update 將其喚醒時,電腦將不會安裝更新。 電腦會在兩分鐘內自動回到休眠狀態。
| 支援的項目 | 排除 |
|---|---|
| 從 Windows Vista 和 Windows Server 2008 (包括 Windows 7) 開始,仍在 Microsoft 產品支援生命週期內的 Windows 作業系統。 | null |
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | Windows Update 不會將電腦從休眠狀態中喚醒以安裝更新。 本機系統管理員可以使用本機原則來變更此設定。 |
| 已啟用 | 在前述情況下,Windows Update 會將電腦從休眠狀態中喚醒以安裝更新。 |
| 停用 | Windows Update 不會將電腦從休眠狀態中喚醒以安裝更新。 |
選項:此設定沒有任何選項。
有使用者登入時不自動重新開機以完成排定的自動更新安裝
指定「自動更新」會等候任何登入的使用者重新啟動電腦以完成排定的安裝,而不是使電腦自動重新啟動。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
只有在「自動更新」設定為執行排定的更新安裝時,此原則才適用。 如果「設定自動更新」原則設定停用,此原則就沒有效用。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定「自動更新」會通知使用者電腦將在五分鐘內自動重新啟動以完成安裝。 |
| 已啟用 | 有些更新必須在電腦重新啟動後才會生效。 如果狀態設定為 [已啟用],且使用者已登入電腦,「自動更新」將不會在排定的安裝執行期間自動重新啟動電腦。 此時,「自動更新」會通知使用者重新啟動電腦。 |
| 停用 | 指定「自動更新」會通知使用者電腦將在五分鐘內自動重新啟動以完成安裝。 |
選項:此設定沒有任何選項。
再次提示排程安裝所需的重新啟動
指定「自動更新」在再次發出排定的重新啟動提示前所等待的時間長度。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | Windows RT |
重要
只有在「自動更新」設定為執行排定的更新安裝時,此原則才適用。 如果「設定自動更新」原則設定停用,此原則就沒有效用。
注意
此原則在執行 Windows RT 的電腦上沒有任何效用。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 排定的重新啟動會在重新啟動提示訊息關閉的十分鐘後執行。 本機系統管理員可以使用本機原則來變更此設定。 |
| 已啟用 | 指定在上一個重新啟動提示延期之後,排定的重新啟動將會在指定的分鐘數經過之後執行。 |
| 停用 | 排定的重新啟動會在重新啟動提示訊息關閉的十分鐘後執行。 |
選項:這項設定啟用時,您可以指定需經過多久的時間 (以分鐘為單位),才會再次對使用者發出排定的重新啟動提示。
重新排程已經排程好的自動更新安裝
指定在電腦啟動後,「自動更新」會等候多久的時間才會繼續執行先前錯過的排程安裝。
如果狀態設為 [未設定],則會在電腦下次啟動的一分鐘後執行先前錯過的排程安裝。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
只有在「自動更新」設定為執行排定的更新安裝時,此原則才適用。 如果「設定自動更新」原則設定停用,此原則就沒有效用。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定會在電腦下次啟動的一分鐘後執行先前錯過的排程安裝。 |
| 已啟用 | 指定先前未執行的排程安裝將會在電腦下次啟動後的指定分鐘數經過時執行。 |
| 停用 | 指定先前錯過的排程安裝將會與下一個排程安裝一起執行。 |
選項:此原則設定啟用時,您可以指定先前未執行的排程安裝將會在電腦下次啟動後的第幾分鐘執行。
指定近端內部網路 Microsoft 更新服務的位置
指定內部網路伺服器來裝載 Microsoft Update 的更新。 然後,您可以使用 WSUS 自動更新網路上的電腦。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | Windows RT |
此設定可讓您指定網路上要作為內部更新服務的 WSUS 伺服器。 WSUS 用戶端不會使用網際網路上的公用 Windows Update 和 Microsoft Update 服務,而是會搜尋此服務中是否有適用的更新。 啟用這個設定表示組織中的使用者不必通過防火牆就能取得更新, 您有機會在部署更新之前先加以測試。
若要使用此設定,您必須設定兩個伺服器名稱值:用戶端從中偵測和下載更新的伺服器,以及更新的工作站上傳統計資料的目標伺服器。 如果兩個服務設定在同一部伺服器上,則這些值不需要不同。
注意
Windows RT 上不支援此原則。 啟用此原則對於執行 Windows RT 的電腦不會有任何影響。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定用戶端將直接連線至網際網路上的 Windows Update 網站。 |
| 已啟用 | 指定用戶端會連線至指定的 WSUS 伺服器 (而不是 Windows Update),以搜尋和下載更新。 如果原則或使用者喜好設定未停用自動更新,自動更新會從指定的 WSUS 伺服器搜尋、下載和/或安裝更新,而非從 Windows Update。 在舊版 Windows 上,[Windows Update 設定] 頁面或 [Windows Update] 控制台頁面的使用者一般會看到更新來自指定的 WSUS 伺服器,而非來自 Windows Update。 使用者也會看到 [線上檢查 Windows Update 的更新] 選項,可供他們在網際網路上使用公用更新服務。 您可以使用 [不連接到任何 Windows Update 網際網路位置] 原則移除此選項。 使用 Windows Update Agent API 搜尋、下載和/或安裝更新的應用程式一般會針對指定的 WSUS 伺服器運作。 應用程式可以特別要求在網際網路上使用公用更新服務。 您可以使用 [不連接到任何 Windows Update 網際網路位置] 原則移除此選項。 |
| 停用 | 指定用戶端將直接連線至網際網路上的 Windows Update 網站。 |
選項:此原則設定啟用時,您必須指定 WSUS 用戶端在偵測更新時所使用的內部網路更新服務,以及更新的 WSUS 用戶端上傳統計資料的目標網際網路統計伺服器。 範例值:
| 設定選項: | 範例值: |
|---|---|
| 設定用來偵測更新的內部網路更新服務 | http://wsus01:8530 |
| 設定內部網路統計伺服器 | http://IntranetUpd01 |
透過自動更新安裝建議的更新
指定「自動更新」是否會從 WSUS 傳遞重要和建議的更新。
| 支援的項目 | 排除 |
|---|---|
| 從 Windows Vista 開始,仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定「自動更新」會繼續傳遞重要更新 (如果已進行此設定)。 |
| 已啟用 | 指定「自動更新」會從 WSUS 安裝建議的更新和重要更新。 |
| 停用 | 指定「自動更新」會繼續傳遞重要更新 (如果已進行此設定)。 |
選項:此設定沒有任何選項。
開啟軟體通知
此原則設定可讓您控制使用者是否會看到與 Microsoft Update 服務提供的精選軟體有關的詳細增強通知訊息。 增強通知訊息會傳達選用軟體的價值,並鼓勵使用者安裝及使用。 此原則設定適用於管理不嚴格、且允許使用者存取 Microsoft Update 服務的環境中。
如果您未使用 Microsoft Update 服務,「軟體通知」原則設定就沒有效用。
如果「設定自動更新」原則設定已停用或未設定,「軟體通知」原則設定就沒有效用。
| 支援的項目 | 排除 |
|---|---|
| 從 Windows Server 2008、Windows Vista 和 Windows 7 開始,仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
依預設會停用此原則設定。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 使用者的電腦若是執行 Windows 7,則不會收到選用應用程式的訊息。 使用者的電腦若是執行 Windows Vista,則不會收到選用應用程式或更新的訊息。 本機系統管理員可以使用控制台或本機原則來變更此設定。 |
| 已啟用 | 如果您啟用此原則設定,在有可用的精選軟體時,使用者的電腦上將會出現通知訊息。 使用者可選取通知以開啟 Windows Update,並取得軟體本身或加以安裝的詳細資訊。 使用者也可以選取 [關閉此訊息] 或 [以後再通知我],以適當地延遲通知。 在 Windows 7 中,此原則設定只會控制選用應用程式的詳細通知。 在 Windows Vista 中,此原則設定會控制選用應用程式和更新的詳細通知。 |
| 停用 | 指定執行 Windows 7 的使用者不會收到選用應用程式的詳細通知訊息。 也指定執行 Windows Vista 的使用者不會收到選用應用程式或選用更新的詳細通知訊息。 |
選項:此設定沒有任何選項。
電腦設定 > 維護排程器設定
如果您已在 [設定自動更新] 設定中選取了 [4 - 自動下載並排程安裝] 選項,則可以在群組原則管理主控台 (GPMC) 中為執行 Windows 8 和 Windows RT 的電腦指定維護排程器設定。 如果您未在 [設定自動更新] 設定中選取選項 4,就不需要為了自動更新設定這些設定。
維護排程器設定會位於下列路徑:電腦設定>原則>系統管理範本>Windows 元件>維護排程器。 群組原則的維護排程器延伸包含下列設定:
自動維護啟用界限
此原則可讓您設定「自動維護啟用界限」。
啟用界限是自動維護開始執行的每日排程時間。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
此設定與設定自動更新中的選項 4 有關。 如果您未在設定自動更新中選取選項 4,則不需要設定此設定。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 若未設定此原則設定,則會套用 [控制台]>[控制中心]>[自動維護] 中的用戶端電腦所指定的每日排程時間。 |
| 已啟用 | 若啟用此原則設定,將會覆寫 [控制台]>[控制中心]>[自動維護] (或某些用戶端版本中的 [維護]) 中的用戶端電腦上設定的任何預設或已修改的設定。 |
| 停用 | 如果您將此原則設定設為 [已停用],則會套用 [控制台]>[控制中心]>[自動維護] 所指定的每日排程時間。 |
自動維護隨機延遲
此原則設定可讓您設定自動維護啟用的隨機延遲。
維護隨機延遲是「自動維護」從其啟用界限起算的最大延遲時間長度。 此設定適用於隨機維護可能是效能需求的虛擬機器。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
此設定與設定自動更新中的選項 4 有關。 如果您未在設定自動更新中選取選項 4,則不需要設定此設定。
根據預設,在這項設定啟用時,定期維護隨機延遲會設定為 PT4H。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | [自動] 會套用四小時的隨機延遲。 |
| 已啟用 | 「自動維護」會從其啟用界限開始延遲最多達指定的時間長度。 |
| 停用 | 「自動維護」不會套用隨機延遲。 |
自動喚醒原則
此原則設定可讓您設定「自動維護」的喚醒原則。
喚醒原則會指定「自動維護」是否應對作業電腦發出每日排程維護的喚醒要求。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
如果作業電腦的電源喚醒原則已明確停用,此設定就沒有效用。 此設定與設定自動更新中的選項 4 有關。 如果您未在設定自動更新中選取選項 4,則不需要設定此設定。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 如果您未設定此原則設定,則會套用 [控制台] >[控制中心]>[自動維護] 中指定的喚醒設定。 |
| 已啟用 | 如果您啟用了此原則設定,「自動維護」會嘗試設定作業系統喚醒原則,並在需要時提出每日排程時間的喚醒要求。 |
| 停用 | 如果您停用此原則設定,則會套用 [控制台]>[動作中心]>[自動維護] 中指定的喚醒設定。 |
使用者設定 > Windows Update 原則設定
本節會詳細說明下列以使用者為基礎的原則設定:
- 不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項
- 不要將 [關閉 Windows] 對話方塊中的預設選項調整為 [安裝更新並關機]
- 移除對使用所有 Windows Update 功能的存取
在 GPMC 中,自動電腦更新的使用者設定會位於下列路徑:PolicyName>使用者設定>原則>系統管理範本>Windows 元件>Windows Update。 在選取 Windows Update 原則的 [設定] 索引標籤以依字母順序排序設定時,這些設定的列出順序將會與它們出現在群組原則中的電腦設定和使用者設定延伸中的順序相同。
注意
根據預設,除非另有註明,否則不會設定這些設定。
針對每項設定,您可以使用下列步驟來啟用、停用或瀏覽設定。
不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項
指定是否要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定如果在使用者選取關機選項以關閉電腦時有可用的更新,則 [安裝更新並關機] 選項會在 [關閉 Windows] 對話方塊中出現。 |
| 已啟用 | 指定如果即使在使用者選取關機選項以關閉電腦時有更新可供安裝,[安裝更新並關機] 也不會顯示為 [關閉 Windows] 對話方塊中的選項。 |
| 停用 | 指定如果在使用者選取關機選項以關閉電腦時有可用的更新,則 [安裝更新並關機] 選項會在 [關閉 Windows] 對話方塊中出現。 |
選項:此設定沒有任何選項。
不要將 [關閉 Windows] 對話方塊中的預設選項調整為 [安裝更新並關機]
指定是否允許 [安裝更新並關機] 選項作為 [關閉 Windows] 對話方塊中的預設選項。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
注意
如果 PolicyName>使用者設定>原則>系統管理範本>Windows 元件>Windows Update>不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項已啟用,此原則設定將不會有任何效用。
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 指定如果在使用者選取關機選項以關閉電腦時有更新可供安裝,則 [安裝更新並關機] 選項將是 [關閉 Windows] 對話方塊中的預設選項。 |
| 已啟用 | 指定使用者上次的關機選項 (例如 [休眠] 或 [重新啟動]) 是否為 [關閉 Windows] 對話方塊中的預設選項,無論 [安裝更新並關機] 是否為 [您要電腦執行什麼工作?] 功能表中的可用選項。 |
| 停用 | 指定如果在使用者選取關機選項以關閉電腦時有更新可供安裝,則 [安裝更新並關機] 選項將是 [關閉 Windows] 對話方塊中的預設選項。 |
選項:此設定沒有任何選項。
移除對使用所有 Windows Update 功能的存取
此設定可讓您移除對 Windows Update 的 WSUS 用戶端存取權。
| 支援的項目 | 排除 |
|---|---|
| 仍在 Microsoft 產品支援生命週期內的 Windows 作業系統 | null |
| 原則設定狀態 | 行為 |
|---|---|
| 未設定 | 使用者可以連線至 Windows Update 網站。 |
| 已啟用 | 所有 Windows Update 功能全都遭到移除。 這會封鎖從 [開始] 功能表或 [開始] 畫面上的 Windows Update 超連結以及 Internet Explorer 中的 [工具] 功能表對上的 Windows Update 網站 http://windowsupdate.microsoft.com 進行的存取。 Windows 自動更新也會停用。 使用者不會收到 Windows Update 的相關通知,也不會收到其重大更新。 此設定也會防止裝置管理員從 Windows Update 網站自動安裝驅動程式更新。 您可以設定下列其中一個通知選項: 0 - 不顯示任何通知 1 - 顯示需要重新啟動通知 |
| 停用 | 使用者可以連線至 Windows Update 網站。 |
選項:請參閱此設定在表格中列為 [已啟用] 的部分。
補充資訊
本節提供關於在群組原則中開啟和儲存 WSUS 設定的更多資訊,以及本文所用詞彙的定義。 熟悉舊版 WSUS (WSUS 3.2 和之前的版本) 的系統管理員,可參考一份摘要說明 WSUS 版本差異的表格。
存取群組原則中的 Windows Update 設定
下列程序說明如何使用群組原則物件 (GPO) 和其他群組原則設定。
注意
若要執行這些程序,您必須是 Domain Admins 群組的成員或具同等身分。
開啟群組原則物件
在網域控制站上,移至 [伺服器管理員]>[工具]>[群組原則管理]。 此時會開啟群組原則管理主控台。
在左窗格上,展開您的樹系。 例如,按兩下樹系:example.com。
在左窗格上按兩下 [網域],然後按兩下您要管理其群組原則物件的網域。 例如,按兩下 example.com。
執行下列其中一項動作:
若要開啟現有的網域層級 GPO 以進行編輯:
- 請按兩下您要管理的群組原則物件所屬的網域。
- 以滑鼠右鍵按一下您要管理的網域原則,然後按一下 [編輯]。 群組原則管理編輯器 (GPME) 會開啟。
若要建立新的群組原則物件並開啟以供編輯:
- 以滑鼠右鍵按一下要建立新群組原則物件的網域,然後選取 [在這個網域中建立 GPO 並連結到]。
- 在 [新增 GPO] 的 [名稱] 中,輸入新群組原則物件的名稱,然後選取 [確定]。
- 以滑鼠右鍵按一下您新的群組原則物件,然後選取 [編輯]。 GPME 隨即開啟。
開啟群組原則的 Windows Update 或維護排程器延伸
在群組原則管理編輯器中,執行下列其中一項:
展開電腦設定>原則>Administrative Templates>系統管理範本>Windows Update。
展開使用者設定>原則>Administrative Templates>系統管理範本>Windows Update。
展開電腦設定>原則>系統管理範本>Windows 元件>維護排程器。
如需群組原則的詳細資訊,請參閱群組原則概觀。
設定群組原則設定
開啟您想要的群組原則延伸之後,您可以使用下列步驟來啟用、停用或瀏覽設定:
按兩下您要檢視或修改的設定。
執行下列其中一項動作:
- 若要保留預設設定未指定的狀態,請選取 [未設定]。
- 若要啟用此設定,請選取 [已啟用]。
- 若要停用此設定,請選取 [已停用]。
在 [選項] 中,如果有列出任何選項,請保留預設值,或視需要加以修改。
執行下列其中一項動作:
- 若要儲存變更並繼續進行下一個設定,請選取 [套用],然後選取 [下一個設定]。
- 若要儲存變更並關閉對話方塊,選取 [確定]。
- 若要捨棄所有未儲存的變更並關閉對話方塊,請選取 [取消]。
變更為 WSUS
下表摘要說明 WSUS 的現行版本與舊版之間與本文章相關的主要差異。
| Windows Server 和 WSUS 版本 | 描述 |
|---|---|
| 使用 WSUS 6.0 的 Windows Server 2012 R2 和後續版本 | 從 Windows Server 2012 開始,WSUS 伺服器角色已與作業系統整合。 WSUS 用戶端的相關群組原則設定依預設會包含在群組原則中。 |
| 使用 WSUS 3.2 和更早版本的 Windows Server 2008 和更早版本的 Windows Server | 在使用 WSUS 3.2 版和更早版本的 Windows Server 2008 和更早版本的 Windows Server 中,管理 WSUS 用戶端的群組原則設定並未包含在作業系統中。 原則設定位於 WSUS 系統管理範本 wuau.adm 中。 在這些伺服器版本中,必須將 WSUS 系統管理範本新增至群組原則管理主控台中,才能設定 WSUS 用戶端設定。 |
詞彙和定義
本文使用下列詞彙:
| 詞彙 | 定義 |
|---|---|
| 自動更新 | 此詞彙用來說明 Windows Update 代理程式自動排程及下載更新的情形。 自動更新是內建於 Microsoft Windows Vista、Windows Server 2003、Windows XP 和 Windows 2000 SP3 作業系統中,用以從 Microsoft Update 或 Windows Update 取得更新的用戶端電腦元件。 |
| 自發伺服器 | 系統管理員可以在其上管理 WSUS 元件的下游 WSUS 伺服器。 |
| 下游伺服器 | 從另一個 WSUS 伺服器 (而非從 Microsoft Update 或 Windows Update) 取得更新的 WSUS 伺服器。 |
| 群組原則延伸 (也稱為群組原則的延伸) | 群組原則中的設定集合,控制 (套用原則的) 使用者和電腦如何設定及使用各項 Windows 服務和功能。 系統管理員可搭配使用 WSUS 與群組原則進行自動更新用戶端的用戶端設定,以利確保使用者無法停用或規避公司更新原則。 WSUS 不需要使用 Active Directory 或群組原則。 用戶端設定也可藉由使用本機群組原則或修改 Windows 登錄來套用。 |
| 內部更新服務 | 對使用一或多個 WSUS 伺服器來散發更新的網路基礎結構所做的一般參考。 |
| 複本伺服器 | 下游 WSUS 伺服器,該伺服器會鏡像與其連線之上游伺服器上的核准和設定。 您無法管理複本伺服器上的 WSUS。 |
| Microsoft Update | 這是一個 Microsoft 網際網路網站,可儲存和散發 Windows 電腦、裝置驅動程式、Windows 作業系統和其他 Microsoft 軟體產品的更新。 |
| Software Update Services (SUS) | WSUS 產品的前身。 |
| 更新 | 任何一組可安裝在電腦上,用以擴充功能或改善效能和安全性的軟體修訂、Hotfix、Service Pack、Feature Pack 和裝置驅動程式。 |
| 更新檔案 | 在電腦上安裝更新所需的檔案。 |
| 更新資訊或更新中繼資料 | 更新的相關資訊,不同於更新套件中的二進位檔案。 例如,中繼資料可提供更新屬性的資訊,因此您能夠了解更新的用途。 中繼資料也包含 Microsoft 軟體授權條款。 為更新下載的中繼資料套件,通常會比更新檔案套件小得多。 |
| 更新來源 | WSUS 伺服器進行同步處理以取得更新檔案的位置。 此位置可以是 Microsoft Update 或上游 WSUS 伺服器。 |
| 上游伺服器 | 提供更新檔案給另一部下游 WSUS 伺服器的 WSUS 伺服器。 |
| Windows Server Update Services (WSUS) | 在公司網路的一或多部 Windows Server 電腦上執行的伺服器角色程式。 WSUS 基礎結構可讓您管理網路上要為電腦安裝的更新。 您可以使用 WSUS,在發行前核准或拒絕更新、強制更新在指定的日期進行安裝,以及取得網路上每一部電腦所需更新的相關詳細報表。 您可以將 WSUS 設定為自動核准特定類別的更新,包括重大更新、安全性更新、Service Pack 和驅動程式。 WSUS 也可讓您核准僅供偵測的更新,而讓您能夠了解哪些電腦需要特定的更新,而不需實際安裝更新。 在 WSUS 實作中,網路中至少要有一部 WSUS 伺服器能夠連線至 Microsoft Update,以取得可用的更新。 系統管理員可根據網路安全性和設定,決定有多少部伺服器可以直接連線至 Microsoft Update。 您可以設定 WSUS 伺服器透過網際網路從 Microsoft Update、Windows Update 或 Microsoft Store 取得更新。 |
| Windows Update | 這是一個 Microsoft 網際網路網站,可儲存和散發 Windows 電腦、裝置驅動程式和 Windows 作業系統的更新。 Windows Update 也是在 Windows 電腦上執行的服務名稱,會偵測、下載和安裝更新。 視電腦和原則設定之不同,Windows Update 代理程式可從下列來源下載更新: - Microsoft Update 未在以 WSUS 為基礎的環境中受到管理的電腦,通常會使用 Windows Update 透過網際網路直接連線至 Windows Update、Microsoft Update 或 Microsoft Store 以取得更新。 |
| WSUS 用戶端 | 從 WSUS 內部網路更新服務接收更新的電腦。 如果以群組原則設定控制使用者與「自動更新」的互動,WSUS 用戶端則是 WSUS 環境中的電腦使用者。 |