Я пытаюсь использовать групповую политику с WSUS, чтобы предотвратить установку таких вещей, как Silverlight, если это не требуется. Мне нужны группы компьютеров для каждого программного обеспечения (чтобы компьютер попал в несколько групп таргетинга), и они будут назначаться объектами групповой политики.
Проблема в том, что настройки таргетинга на стороне клиента из нескольких объектов групповой политики переопределяют объединение.
Кто-нибудь знает какой-нибудь простой способ добиться этого без экспоненциального взрыва GPO?
Как вы подозреваете, нет простого способа добиться этого без экспоненциального роста числа объектов групповой политики. Или вручную назначая группы, что, вероятно, тоже не вариант для вас.
Попробуйте взглянуть на своих клиентов с точки зрения ролей, а не «какое программное обеспечение установлено?» и / или "где эта машина?" В конце концов, физическое местоположение клиента, вероятно, не имеет значения с точки зрения того, какие обновления он получает. Например, обычно на всех рабочих станциях бухгалтерского учета установлен набор программного обеспечения (или может быть стандартный набор), а на всех рабочих станциях управления установлен набор программного обеспечения. Это становится двумя целевыми группами в WSUS, и обновления применяются в зависимости от того, какое программное обеспечение, как вы уже знаете, входит в каждую группу по ролям.
Было бы здорово, если бы слияние было возможно, но я не могу найти простое решение вашей проблемы даже с помощью фильтрации WMI.
Это не лучший ответ, но я чувствую, что он лучше, чем те два, что есть у вас здесь.
Глядя на ваш вопрос, я понимаю, что вы хотите, чтобы определенные компьютеры входили в несколько групп компьютеров WSUS. В этом случае вам понадобится один объект групповой политики для отправки нескольких групп компьютеров, а не несколько объектов групповой политики для отправки отдельных групп компьютеров, в противном случае параметр (раздел реестра) будет перезаписан.
Вы можете указать несколько компьютерных групп для одного GPO, их нужно разделять точкой с запятой. Вот описание, которое я только что извлек из настройки групповой политики:
«Если служба обновлений Майкрософт в интрасети поддерживает несколько целевых групп, в этой политике можно указать несколько имен групп, разделенных точкой с запятой. В противном случае необходимо указать одну группу».
Пример:
Рабочие станции; Лондон; Лондонские рабочие станции
В WSUS: выберите Параметры> Компьютеры.
Выберите вариант назначения групп вручную.
Это позволяет вручную управлять назначением компьютеров с помощью WSUS.