1. 概述
WSUS 更新规则(Update Rules)用于自动审批特定类型的更新,减少管理员手动审批的工作量。合理的审批策略可以确保关键更新及时部署,同时避免不必要的更新影响生产环境。
2. 创建更新规则
1
打开 WSUS 管理控制台,展开服务器节点,点击"选项"
2
在右侧选项列表中点击"自动审批"
3
点击"新建规则",打开规则创建向导
4
配置规则条件:选择更新分类(如"关键更新"、"安全更新")、产品(如"Windows Server 2019")
5
选择目标计算机组,设置审批动作("安装"或"未许可")
6
输入规则名称,点击"确定"保存规则
PowerShell
# 获取 WSUS 服务器对象
$wsus = Get-WsusServer
# 创建自动审批规则(示例:自动审批关键更新到测试组)
$rule = $wsus.CreateInstallApprovalRule("自动审批-关键更新")
# 设置规则条件
$criteria = New-Object Microsoft.UpdateServices.Administration.UpdateApprovalRuleCriteria
$criteria.Categories.AddRange(@("Critical Updates", "Security Updates"))
$criteria.Products.AddRange(@("Windows Server 2019"))
# 设置目标组
$targetGroup = $wsus.GetComputerTargetGroups() | Where-Object { $_.Name -eq "测试服务器组" }
$rule.SetComputerTargetGroups(@($targetGroup))
# 保存规则
$rule.Save()
Write-Host "自动审批规则创建成功"3. 审批策略
常见的审批策略包括:
- 立即审批:关键安全更新在同步后立即审批
- 延迟审批:非关键更新延迟 7-14 天审批,观察社区反馈
- 分组审批:测试组先审批,验证无误后再审批生产组
- 例外管理:特定更新手动排除,避免已知问题更新
4. 自动审批规则
建议的自动审批规则配置:
| 规则名称 | 更新分类 | 目标组 | 动作 |
|---|---|---|---|
| 关键更新-测试 | 关键更新 | 测试服务器组 | 安装 |
| 安全更新-生产 | 安全更新 | 生产服务器组 | 安装 |
| 定义更新-全部 | 定义更新 | 所有计算机 | 安装 |
5. 常见问题
Q1:自动审批规则不生效?
检查规则是否启用,目标组是否存在,以及更新同步是否成功。规则仅在同步后对新更新生效。
Q2:如何暂停自动审批?
在 WSUS 控制台中,右键点击规则选择"禁用",或删除规则。禁用后规则保留但不再自动审批。