1.dc、ex、mom等重要伺服器在使用wsus時，可以再獨立分開設立一個群組
讓wsus在套用的時候，不要強制直接套用更新；可設定為篩選後，再決定要不要套用更新

2.未加入網域的電腦，則是直接手動修改本機群組原則中的sus選項即可套用更新
而在dmz區的電腦因為幾乎和公司電腦網路隔離，直接設定讓該區的電腦自動做更新即可
如果是為了更新又開了port與內部網路溝通的話，那就失去dmz區域的意義了

3.正常來講應該沒有這類的考量存在。
微軟的更新會變更系統檔案版本、修改某些功能性、修改某些系統程序或是關閉某些服務
所以ap之所以可能會受到影響，是因為ap中的程式碼可能存取到被更新的檔案

程式設計人員應該在所有更新前後做測試之後
再把微軟的更新套用至所有ap主

只要是微軟的主機系統都需要更新除了一些有特殊AP的主機才決定要不要更新
在DMZ或其他不在網域內請自行更新

最好再加上安全性的更新
這樣比較安全

關於第一個問題：基本上我的考量是主機是否有直接對外聯網，公司內有沒有架設防火牆，公司內使用私人電腦的多寡。
如果主機有直接聯外網，防火牆功能不夠強大，私人電腦很多，那就把所有的重大更新跟安全性更新裝上去，其他就不用裝了
第二個問題請看下方的註冊表：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://WSUS server IP :port"
"WUStatusServer"="http://WSUS server IP :port"
"ElevateNonAdmins"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"RescheduleWaitTime"=dword:00000001
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000004
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
內容主要就是告知WSUS主機是哪台，使用哪個port，以及更新之後是否要重新開機

第三個問題的回答同問題一