Мы рассматриваем возможность внедрения WSUS в работу. Самый большой вопрос - использование групп. Если компьютер входит в две разные группы, и одна группа одобрена для обновления, а другая нет, будет ли эта машина одобрена для этого обновления? Большинство продуктов от Microsoft используют философию «максимально ограничительного», но я не могу найти доказательств этого в WSUS.
Группы компьютеров WSUS - это не то же самое, что группы AD. В WSUS компьютер может одновременно принадлежать только к одной группе. Итак, группа: компьютер - это 1: M (один ко многим)
Это отличается от AD, где Группа: Компьютер имеет значение M: M (Многие ко многим). Вы можете объединить несколько компьютеров в группу, и любой компьютер может одновременно входить в несколько групп.
Предостережения:
Группы WSUS, несмотря на вышесказанное, находятся в иерархии. Если вы одобряете обновление «вверх по дереву», оно обычно наследуется дочерним группам и в конечном итоге будет одобрено для всех компьютеров ниже. Однако при желании это можно контролировать в WSUS для каждого обновления.
Систему можно настроить так: членство в группе AD. приводит к Приложение групповой политики WSUS, которое затем приводит к компьютер помещается в определенную целевую группу. В конечном итоге будет применена только 1 целевая группа WSUS, и это определяется обычным порядком наследования групповой политики.