Мы используем последнюю версию WSUS server 3.0 sp-something-or-other. Добавьте шаблон администратора в групповую политику домена, чтобы, так сказать, собрать всех в пул.
Теперь по разным причинам у меня есть два сервера, которые мне нужно удалить из семейства WSUS. Им нужно вернуться к получению обновлений от Microsoft.
Я создал новое подразделение («Серверы без WSUS»). Я создал новый объект групповой политики как копию политики домена по умолчанию («не WSUS») и удалил этот шаблон администратора wsus.
Удалил 2 сервера из WSUS. Тем не менее, их продолжают добавлять. Ясно, что я упускаю здесь какой-то шаг - есть идеи?
При написании этого я заметил, что в моем подразделении «Не WSUS-серверы» «Наследование групповой политики» перечислены мои не WSUS GPO, а затем под ним - политика домена по умолчанию. Это то, что меня сбивает с толку?
(можете ли вы сказать, что я не мастер GPO? ;-))
Я бы использовал мастер моделирования групповой политики, чтобы точно определить, какая политика применяется к подразделению. Кроме того, похоже, что вы привязываете политику домена по умолчанию к подразделению ... вам НЕ нужно этого делать (политики проходят через AD, а «ближайшие» политики имеют наивысший приоритет).
Также помните, что обработка политики занимает некоторое время. Вы можете захотеть бежать gpupdate / force на ваших серверах.
С настройками WSUS на уровне домена по умолчанию и без политики WSUS, определенной для нового подразделения, настройки, которые вы получите на этих ПК, будут настройками WSUS, и это правильное поведение в соответствии с правилами GPO. Что вам нужно сделать, так это создать новое подразделение в структуре AD, переместить в него все компьютеры (кроме контроллеров домена, конечно), определить политику WSUS в этом подразделении, и тогда все должно работать так, как вы хотите.