群組原則、WSUS
群組原則跟WSUS
該不該用?要怎麼設?那些電腦要?那些電腦不用?
這是個很重要的問題…
並不是說通通鎖定?或通通不鎖定就可以…
群組原則,一個很方便的工具,可以從伺服器端派出指令,讓加入網域中的電腦通通依照資安政策來走
派送安裝軟體(須MSI檔)、鎖定電腦功能…通通很好用
不過其缺點是…
須事先測試該功能不會影響到使用者的正常操作,即使你很確定那功能沒問題也最好測一下
還有設定上不可以有錯誤,否則不套用的問題會讓你抓半天
最後則是…連線速度要夠,低於一定程度不會運作
WSUS
架設好之後,更改群組原則中的更新相關設定及路徑後即可使用
好處是可以讓更新改由內部伺服器派送,使網路流量降低(超過十台最好就架它)不然同一時間在更新有時會拖累整個網路速度。
同時它可以讓IT決定那些更新要丟、那些不用丟,不會再跟未架之前一樣,啥通通要做,往往造成更新很…慢!
缺點是IT要時時調整相關(不調也行…)以及最好不要跟某些重要的伺服器架設在一起(要看硬體的規格,尤其是RAM)它還滿吃資源的…(測過一台舊的2G ram伺服器架2008r2加它慢到爆…)