引子:
最近一直在微软TechNet中文论坛Windows Server System版块活动,有网友问起如何限制客户端 Windows Update 仅从公司内部 WSUS 服务器上更新,禁止从 Microsoft Update 网站上获得更新。

他的问题如下:

1. 公司的笔记本加入域后,在公司可以自动从内部的WSUS服务器上下载更新;
2. 部分员工把笔记本带回家使用并连上Internet,这些笔记本也会自动从 Microsfot Update 网站上下载其他更新(任务栏出现更新图标);
3. 客户端操作系统版本是 Windows XP。

Q:
如何限制客户端 Windows Update 仅从公司内部 WSUS 服务器上更新?

A:
在组策略中启用“关闭对所有 Windows Update 功能的访问”设置,该设置的位置在:“计算机配置 -> 管理模板 -> 系统 -> Internet 通信管理 -> Internet 通信设置”,如下图所示:


此设置允许您删除对 Windows Update 的访问。

如果启用此设置,将删除所有 Windows Update 功能。这包括阻止从“开始”菜单上的 Windows Update 超链接及 Internet Explorer 中的“工具”菜单访问 Windows Update 网站 (http://windowsupdate.microsoft.com)。还会禁用 Windows 自动更新;Windows Update 既不会给您发送有关关键更新的通知,也不会给您发送关键更新。此设置还会阻止“设备管理器”自动安装来自 Windows Update 网站的驱动程序更新。

如果禁用或不配置此设置,用户将能够访问 Windows Update 网站以及启用自动更新以接收来自 Windows Update 的通知和关键更新。

更多关于通过组策略配置 WSUS 客户端的信息,请参考以下的文档:

Configure Clients Using Group Policy:
http://technet.microsoft.com/zh-cn/library/cc708574(WS.10).aspx


备注:

Disable access to Windows Update

If this policy setting is enabled, all Windows Update features are removed. It blocks access to the Microsoft Update and Windows Update Web sites, and in Windows Vista will gray out the Check for updates option in the Windows Update application. The machine will not get automatic updates directly from Windows Update or Microsoft Update, but it can still get updates from a WSUS server. This setting overrides the user settings Remove links and access to Windows Update and Remove access to use all Windows Update features.

To disable access to Windows Update

1.In the Group Policy Object Editor, expand Computer Configuration, expand Administrative Templates, expand System, expand Internet Communication Management, and then click Internet Communication settings.
2.In the details pane, click Turn off access to all Windows Update features, and click Enabled.
3.Click OK.