二 组策略或注册表设置

　　到目前为止，我们部署了WSUS服务器，创建了计算机组。但客户机如何知道哪台计算机是自己需要的WSUS服务器，客户机应该加入哪个计算机组呢？这些设置可以通过组策略或注册表来完成（其实两者是一样的，组策略不过是提供了一个友好的修改注册表的界面）。

　　1） 用组策略设置

　　如果在域环境下，用组策略是效率最高的方法。我们只要部署一个域级别的组策略，就可以轻松完成WSUS设置。在域控制器Florence上依次点击 开始－程序－管理工具－Active Directory用户和计算机，右键点击wsustest.com域，选择属性。在属性中切换到组策略标签，如下图所示，选择默认组策略"Default Domain Policy"，点击编辑按钮。（图6）

　　在组策略编辑器中展开 计算机配置－管理模板－Windows组件－Windows Update，如下图所示，在此我们可以进行WSUS相关策略的设置（图7）

　　编辑"配置自动更新"策略，如下图所示，在此策略中我们选择启用自动更新，并且将自动更新模式配置为自动下载并通知安装，在此模式下客户机会自动下载补丁但在安装补丁前会通知用户。（图8）

　　编辑"指定Intranet Microsoft更新服务位置"策略，如下图所示，在此策略中可以设定WSUS更新服务器和统计服务器。Intranet更新服务器提供补丁下载，Intranet统计服务器提供报表统计，在此例中我们用一台服务器同时提供这两种服务。我们描述服务器可以使用Netbios名称，完全合格域名或IP。（图9）

　　编辑"允许客户端目标设置"策略，如下图所示，在此策略中我们可以设置客户机加入的WSUS计算机组，我们将计算机的目标组设置为刚创建的"ITET"（图10）

　　完成上述设置后，基本已经可以满足WSUS实验需求，其他策略我们就不一一列举了。

　　2） 用注册表设置

　　如果部署环境是在工作组中，那么就没有域环境这么方便了。虽然我们可以编辑每台计算机的本地安全策略，但这么做对一名管理员的耐心是一个极大的考验。在这种情况下，管理员一般会采用导入/导入注册表的方法来进行设置。具体是这样的，先在一台模板计算机上编辑好本机的组策略，设置方法如前文介绍。然后用regedit打开模板计算机的注册表，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate，如下图所示，我们看到注册表中已经设好了WSUS服务器的名称，计算机加入的目标组等参数。我们现在要做的就是把这些注册表设置导出成文件，然后在其他的计算机上进行导入操作。我们在WindowsUpdate上点击右键，选择"导出"（图11）

　　如下图所示，我们选择将Windowsupdate分支导出成文件，文件名为C:\WSUS.REG。（图12）

　　然后我们只需将WSUS.REG文件利用电子邮件或文件服务器分发给其他用户，每个用户双击此注册表文件进行导入操作即可。