如果公司具备域环境的话，我们可以根据不同的计算机组的要求，来配置不同的WSUS的自动更新策略。比如测试机器链接一套GPO，生产服务器链接一套GPO，针对于测试环境和生产环境的服务器和客户端的策略都是不一样，可以进行自定义设置的。当然如果机器比较少，环境比较简单，也可以直接新建一个覆盖全域的GPO，来做WSUS的策略。

在我的一级WSUS服务器上，我新建了四个计算机组，这四个计算机组都对应到AD中相应的计算机的OU（关于计算机组的设置和客户端目标的设置将在下篇文章介绍），我们可以为域级别、测试计算机组OU和生产计算机组OU来制定不同的WSUS组策略。

首先我们来在default domain policy做一个影响全域计算机的自动更新策略。

在组策略管理控制台 (GPMC) 中，浏览到默认的default domain policy的 GPO，然后单击“编辑”。

在 GPMC 中，依次展开“计算机配置”、“策略”、“管理模本”和“Windows 组件”，然后单击“Windows Update”。

在详细信息窗格中，双击“配置自动更新”。

单击“已启用”，然后单击“配置自动更新”设置下的以下选项之一：

• 下载通知和安装通知。该选项会在你下载和安装更新之前通知登录的管理用户。

• 自动下载和通知安装。该选项将自动开始下载更新，然后在安装更新之前通知登录的管理用户。

• 自动下载和计划安装。该选项自动开始下载更新，然后在你指定的当天和时间安装更新。

• 允许本地管理员选择设置。该选项可让本地管理员使用控制面板中的自动更新来选择配置选项。例如，他们可以选择计划的安装时间。本地管理员不能仅用自动更新。

这里我选择3-自动下载并通知安装，然后单击“确定”。

在 Windows Update 详细信息窗格中，双击“指定 Intranet Microsoft 更新服务位置”。

单击“已启用”，然后在“设置 Intranet 更新服务以检测更新”框和“设置 Intranet 统计服务器”框中键入相同 WSUS 服务器的 URL例如，在这两个框中（其中服务器名称是 WSUS 服务器的名称），键入 ，然后单击“确定”。

当你键入 WSUS 服务器的 Intranet 地址时，确保指定准备使用哪个端口。默认情况下，WSUS 使用适用于 HTTP 的端口 8530 以及适用于 HTTPS 的端口 8531。例如，如果使用 HTTP，则应键入 。

可以设置“自动更新检测的频率”，默认是22小时，我们可以根据实际的需要来调整间隔。如图。

可以启用“对于已登录用户的计算机，计划的自动更新安装不执行重新启动”，这样的话，当计算机存在已登录的用户的时候，装完更新是否重启取决于用户的行为，计算机不会强制重启，如图。

对于某些不会中断windows服务，也不会需要重启服务器才生效的更新，我们可以配置启用“允许自动更新立即安装”，如图。

全域级别的组策略设置完成后，我们还可以针对测试组合生产组来配置不同的自动更新策略。

下面我们来为测试服务器组配置一个自定义的GPO，该GPO的优先级会高于默认的域组策略，所以该GPO所链接到的计算机OU内的计算机客户端都会优先应用该策略。

右击“测试服务器组”计算机OU，选择“在这个域中创建GPO并在此处链接”，如图。

输入新建的GPO的名称，如图。

然后我们右击新建的GPO，选择编辑，如图。

然后我们就可以为该GPO设置不同的自动更新策略了，所有链接到这个策略的计算机OU都会应用该策略。

一般来说：测试环境的服务器和客户端我们可以配置自动下载通知安装或者自动下载计划安装，对于生产环境的客户机我们可以设置自动下载并计划安装，对于生产服务器组，如果需要手动控制打补丁的行为和重启时间，我们可以配置自动下载并通知安装，具体要看需求。

下图是我为生产客户端计算机组设置的自动下载并计划安装的策略。

设置策略之后，客户端计算机几分钟后，计算机将出现在 WSUS 管理控制台中的“计算机”页上。对于配有基于域的组策略对象的客户端计算机，组策略将花费大约 20 分钟才能将新的策略设置应用于客户端计算机。默认情况下，组策略会在后台每隔 90 分钟更新一次，并将时间作 0 到 30 分钟的随机调整。如果你希望更快地更新组策略，可在客户端计算机上打开“命令提示符”窗口，并键入 gpupdate /force。