首页 » WSUS 更新服务 » WSUS 计算机与组管理

WSUS 计算机与组管理

WSUS 更新服务 · 第 3 篇 · 适用于 Windows Server 2019 / 2022 / 2025

📑 目录

  1. 计算机组概述
  2. 创建计算机组
  3. 分配计算机到组
  4. 配置组策略指向 WSUS
  5. 常见问题

1. 计算机组概述

WSUS 使用计算机组来管理不同类别的计算机,实现分批审批和部署更新。

默认组结构

推荐分组策略

2. 创建计算机组

1

打开WSUS 管理控制台 → 展开 WSUS01 → 点击"计算机" → 右键"所有计算机" → 选择"添加计算机组"

2

输入组名称:Test-Computers(测试组)→ 点击"添加"

3

重复上述步骤创建:Production-Standard(标准生产组)和 Production-Critical(关键生产组)

4

在"选项" → "计算机"中,确认计算机分配方式为"使用服务器管理器中的计算机组"(手动分配)或"使用组策略或注册表设置"(GPO 自动分配)

PowerShell - 创建计算机组
# 获取 WSUS 服务器对象
$wsus = Get-WsusServer

# 创建计算机组
$wsus | Add-WsusComputerGroup -Name "Test-Computers"
$wsus | Add-WsusComputerGroup -Name "Production-Standard"
$wsus | Add-WsusComputerGroup -Name "Production-Critical"

# 查看所有计算机组
$wsus.GetComputerTargetGroups() |
    Select-Object Name

3. 分配计算机到组

1

在 WSUS 管理控制台 → "计算机" → 点击"未分配的计算机" → 查看尚未分组的计算机列表

2

选择一台或多台计算机(按住 Ctrl 多选)→ 右键 → 选择"更改成员身份"

3

在弹出的对话框中,勾选目标组(如 Test-Computers)→ 点击"确定"

4

在对应的计算机组节点中确认计算机已成功加入

PowerShell - 分配计算机
# 获取计算机和目标组
$wsus = Get-WsusServer
$computer = Get-WsusComputer | Where-Object {$_.FullDomainName -match "TEST-PC01"}
$group = $wsus.GetComputerTargetGroups() | Where-Object {$_.Name -eq "Test-Computers"}

# 添加计算机到组
$computer | Add-WsusComputer -TargetGroupName "Test-Computers"

# 批量分配(所有 Win10 客户端到生产组)
Get-WsusComputer | Where-Object {$_.OSDescription -match "Windows 10"} |
    Add-WsusComputer -TargetGroupName "Production-Standard"

4. 配置组策略指向 WSUS

1

在 DC01 域控制器打开组策略管理gpmc.msc)→ 创建新 GPO:WSUS-Client-Settings

2

编辑 GPO → 导航到计算机配置管理模板Windows 组件Windows Update

3

启用"配置自动更新" → 选择模式 4 - 自动下载并计划安装 → 设置计划安装日期为"每天",计划安装时间为 03:00

4

启用"指定 Intranet Microsoft 更新服务位置" → 设置检测更新服务:http://wsus01.iehang.cn:8530 → 设置统计服务器:http://wsus01.iehang.cn:8530

5

启用"允许客户端目标" → 输入目标组名称:Production-Standard(与 WSUS 中的计算机组名称一致)

6

将 GPO 链接到对应的 OU → 在客户端运行 gpupdate /force → 运行 wuauclt /detectnow 强制向 WSUS 报告

PowerShell - GPO 配置(注册表方式验证)
# 在客户端验证 WSUS GPO 是否生效
Get-ItemProperty "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate" |
    Select-Object WUServer, WUStatusServer, TargetGroupEnabled, TargetGroup

# 强制客户端向 WSUS 报告
Start-Process wuauclt -ArgumentList "/detectnow /reportnow"

# 检查 Windows Update 服务状态
Get-Service wuauserv

5. 常见问题

Q1:客户端不在 WSUS 中显示

确认 GPO 已应用(gpresult /r),WSUS 服务器地址正确,客户端运行 wuauclt /detectnow 后等待 10-20 分钟。

Q2:客户端目标组不生效

确认 GPO 中"允许客户端目标"已启用且组名与 WSUS 中完全一致(区分大小写)。