搭建WSUS服务器

大型企业，可以在局域网中，搭建WSUS Windows补丁更新服务器，让Windows终端都通过内网的WSUS服务器更新补丁，这样做有以下好处：

1. 管理员可以灵活控制终端补丁的更新，谁没更新，让谁更新，不让谁更新，何时更新都可以灵活控制。
2. 节省互联网带宽（这是废话），而且由于客户端都是从内网更新，所以下载速度快。
3. 因为受控，所以能够做到及时更新，提高安全性。

服务器配置

使最新版本的Windows服务器，如Windows server 2012 R2 安装WSUS服务。产品中选择企业网络有的项：

 

分类中，选择以下几项即可（对服务器的磁盘空间要求很大）：

注意：Windows Server 2012 R2（2016年）会把win10识别为vista，需要打个补丁。https://support.microsoft.com/en-us/help/3095113/update-to-enable-wsus-support-for-windows-10-feature-upgrades

 

配置Windows终端

在没有域环境的条件下，要想办法更改终端PC的组策略（或注册表），实现终端自动连接到WSUS。

本地计算机策略-计算机配置-管理模板-Windows组件-Windows更新，有四个地方需要配置，如下图：

 

 

1. 配置自动更新
   自动更新时间定为中午12点（12在注册表中对应为C)
2. 指定Intranet Microsoft更新服务位置
   http://***:8530
3. 允许非管理员接收更新通知
4. 允许客户端目标设置

其它保持默认即可。比如，自动更新频率，windows默认为22小时检测一次更新。

为终端制作静默执行程序

在没有域环境的场景下，一台台改组策略，太麻烦，改组策略本质上改的是注册表，我们制作一个静默执行程序，在用户终端运行一下即可。

制作方法如下：

修改完组策略后，注册表会自动生成对应项（在改组策略之前，注册表中可能没有这一项）：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate，打开注册表，将相关分支导出为.reg文件，内容如下：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://XXX:8530"
"WUStatusServer"="http://XXX:8530"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"=""
"ElevateNonAdmins"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"AutomaticMaintenanceEnabled"=dword:00000001
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000c

1. 使用工具“AUTOIT3”（网上自行搜索），配合“Reg2Au3”辅助程序（网上自行搜索），将.reg注册表文件先转化为au3文件，内容如下：
   #Region ;**** 参数创建于 ACNWrapper_GUI ****
   #PRE_Icon=..\..\图片\工作相关\bigger.ico
   #PRE_UseX64=n
   #PRE_Res_Comment=连接内网WSUS
   #PRE_Res_Fileversion=1.0
   #PRE_Res_Fileversion_AutoIncrement=p
   #PRE_Res_LegalCopyright=信息管理中心
   #PRE_Res_requestedExecutionLevel=None
   #EndRegion ;**** 参数创建于 ACNWrapper_GUI ****
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate', 'WUServer', 'REG_SZ', 'http://XXX:8530')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate', 'WUStatusServer', 'REG_SZ', 'http://XXX:8530')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate', 'TargetGroupEnabled', 'REG_DWORD', '0x00000001')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate', 'TargetGroup', 'REG_SZ', '')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate', 'ElevateNonAdmins', 'REG_DWORD', '0x00000001')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU', 'UseWUServer', 'REG_DWORD', '0x00000001')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU', 'NoAutoUpdate', 'REG_DWORD', '0x00000000')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU', 'AUOptions', 'REG_DWORD', '0x00000004')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU', 'AutomaticMaintenanceEnabled', 'REG_DWORD', '0x00000001')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU', 'ScheduledInstallDay', 'REG_DWORD', '0x00000000')
   RegWrite('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU', 'ScheduledInstallTime', 'REG_DWORD', '0x0000000c')
2. 在最上面加上以下代码
   #RequireAdmin
3. 将这个au3文件编译为exe程序。把这个程序在终端执行即可，执行完成后，注册表就自动更改了。