引子:
最近一直在微軟TechNet中文論壇Windows Server System版塊活動,有網友問起如何限制客戶端 Windows Update 僅從公司內部 WSUS 服務器上更新,禁止從 Microsoft Update 網站上獲得更新。
他的問題如下:
1. 公司的筆記本加入域後,在公司可以自動從內部的WSUS服務器上下載更新;
2. 部分員工把筆記本帶回家使用並連上Internet,這些筆記本也會自動從 Microsfot Update 網站上下載其他更新(任務欄出現更新圖標);
3. 客戶端操作系統版本是 Windows XP。
Q:
如何限制客戶端 Windows Update 僅從公司內部 WSUS 服務器上更新?
A:
在組策略中啓用“關閉對所有 Windows Update 功能的訪問”設置,該設置的位置在:“計算機配置 -> 管理模板 -> 系統 -> Internet 通信管理 -> Internet 通信設置”,如下圖所示:
此設置允許您刪除對 Windows Update 的訪問。
如果啓用此設置,將刪除所有 Windows Update 功能。這包括阻止從“開始”菜單上的 Windows Update 超鏈接及 Internet Explorer 中的“工具”菜單訪問 Windows Update 網站 (http://windowsupdate.microsoft.com)。還會禁用 Windows 自動更新;Windows Update 既不會給您發送有關關鍵更新的通知,也不會給您發送關鍵更新。此設置還會阻止“設備管理器”自動安裝來自 Windows Update 網站的驅動程序更新。
如果禁用或不配置此設置,用戶將能夠訪問 Windows Update 網站以及啓用自動更新以接收來自 Windows Update 的通知和關鍵更新。
更多關於通過組策略配置 WSUS 客戶端的信息,請參考以下的文檔:
Configure Clients Using Group Policy:
http://technet.microsoft.com/zh-cn/library/cc708574(WS.10).aspx
備註:
Disable access to Windows Update
If this policy setting is enabled, all Windows Update features are removed. It blocks access to the Microsoft Update and Windows Update Web sites, and in Windows Vista will gray out the Check for updates option in the Windows Update application. The machine will not get automatic updates directly from Windows Update or Microsoft Update, but it can still get updates from a WSUS server. This setting overrides the user settings Remove links and access to Windows Update and Remove access to use all Windows Update features.
To disable access to Windows Update
1.In the Group Policy Object Editor, expand Computer Configuration, expand Administrative Templates, expand System, expand Internet Communication Management, and then click Internet Communication settings.
2.In the details pane, click Turn off access to all Windows Update features, and click Enabled.
3.Click OK.