一、工具介绍

WSUS Package Publisher 是一款可集成到 WSUS 服务中的应用程序，能帮你向客户端发布自定义更新 —— 无论是 MSI、MSP 格式的安装包，还是 EXE 格式的可执行文件，都能轻松推送。

和 PDQ Deploy、System Center Configuration Manager 这类付费工具不同，咱们接下来要聊的 WSUS Package Publisher（后文简称 WPP）是完全免费的，你可以在公众号后台回复 wpp 来获取此软件。

1. 为什么要部署 WSUS Package Publisher？

当你管理着一定规模的PC 终端时，通常会用一个基准镜像来部署机器，里面预装了某个时间点的软件版本。

对于 Windows 系统和微软系软件（比如 Office），你大概率会通过 WSUS（Windows Server Update Service，Windows 服务器更新服务）推送更新。但问题来了：其他软件的更新该怎么处理？像 企业微信 或 google浏览器 这类需要频繁更新的软件，又该如何高效管理？这正是企业 IT 管理中常遇到的头疼事儿……

而 WPP 的价值就在于此！它能帮你给客户端已安装的软件推送更新，甚至还能直接用来安装新应用。

随着各类应用的更新越来越频繁，而且不同软件的更新周期各不相同，这类工具就变得必不可少了。尤其是在部署安全漏洞补丁时，WPP 能派上大用场。同时，借助它还能及时获取 bug 修复和新功能，让软件始终保持最佳状态。

2. WSUS Package Publisher 是如何工作的？

WSUS Package Publisher（简称 WPP）是一款可以与 WSUS（Windows Server Update Services）无缝配合的工具。它直接集成在 WSUS 服务之上，利用其现有的数据库和核心功能——例如客户端设备分组和更新推送机制——使你能够通过 Windows Update 渠道分发自己定制的软件更新。

这意味着，你可以像推送 Windows 系统更新一样，为常用软件（如 Java、Flash Player 或 Adobe Reader）制作并发布更新包。终端用户在接收这些更新时，体验与普通 Windows 更新完全一致，整个过程自动、无感知。

使用 WPP 创建更新包非常简单：只需准备好软件的安装文件（MSI、MSP 或 EXE 格式），即可借助其内置的打包工具生成更新包，并选择推送给一个或多个设备组。WPP 提供两种打包模式：一种是适合大部分用户的“标准”模式，操作直观；另一种是“高级”模式，为有一定技术基础的管理员提供更细致的自定义选项。

建议将 WPP 安装在运行 WSUS 的 Windows Server 上，以获得最佳兼容性。不过它也自带独立控制台，实际上也支持安装在 Windows 客户端操作系统中，方便远程管理。

二、WPP 的安装步骤

在安装之前，请确保满足以下两个条件：

1. 确保你已拥有一台正常运行的 WSUS 服务器（WPP 需依赖其运行）；

2. 该服务器上已安装 .NET Framework 4.0 或更高版本。

第一步：下载安装文件
请下载 WPP 的压缩包。（可以在公众号后台回复 wpp 来获取此软件。）

第二步：解压文件（无需安装）
WPP 无需运行安装程序，只需将下载的压缩包解压到目标文件夹即可。
建议将其解压至系统常用程序目录，例如：C:Program FilesWSUS Package Publisher，以便于日后查找和管理。

第三步：启动应用程序
解压完成后，进入目录，双击运行 Wsus Package Publisher.exe。程序启动后，你将看到类似下图的主界面。

由于 WPP 与 WSUS 安装在同一台服务器上，配置参数将自动填充，无需手动输入。若安装在不同服务器，则需通过“工具”（Tools）→“设置”（Settings）手动配置服务器连接信息。

点击“连接/重新加载”（Connect/Reload）按钮，即可建立与 WSUS 服务器的连接。

点击 Connect/Reload 进行服务器链接，此时会提示需要证书。

我们点击 Tools → Certificate 来创建证书

点击 Generate the 以创建自签名证书。现在需要将该证书另存为文件，因为之后要通过组策略对象（GPO）将其分发到客户端工作站。要执行此操作，请点击 Save the，并将其命名为 WPP之类的名称进行保存。

注意： 如果WPP界面中的 Save the 按钮呈灰色，那么需要重启WSUS服务或服务器，然后在WPP中点击“连接/重新加载”以刷新与服务器的连接。之后，返回证书管理器，该按钮应该就可以使用了。

我们需要检查一下证书是否已经成功创建，打开 mmc 来添加证书组件

点击 文件 → 添加/删除管理单元

点击 证书 → 添加 → 选择 计算机帐户，选择本地计算机后点击完成

在证书树形结构中，您应该有一个名为 WSUS 的文件夹，里面包含一个 证书 子文件夹，顺利的话，WPP证书应该会显示在右侧：WPP自签名证书。

三、通过组策略分发证书

在你的域控制器上，打开组策略管理控制台 —— 接下来要做的就是创建或编辑一个 GPO，让 WPP 证书能成功推送到所有客户端。

依次展开：
计算机配置 → 策略 → Windows 设置 → 安全设置 → 公钥策略

找到证书后，记得把它导入到这两个存储位置：

• 第一个是 “受信任的发布者”：它负责给更新包 “签名”，确保客户端信任这些补丁；
• 第二个是 “受信任的根证书颁发机构”：这是证书的 “源头信任”，让整个验证链条更靠谱～

五、通过组策略配置允许本地更新

还有个关键设置得改：通过组策略调整 Windows Update 的参数，让系统允许部署非微软签名的更新。这步超重要 —— 不管是 WSUS Package Publisher 签名的更新，还是一些常用软件的更新，都得靠它才能顺利部署！

依次展开：
计算机配置 → 策略 → 管理模板 → Windows 组件 → Windows 更新 → 管理 Windows Server 更新服务提供的更新，并启用 允许来自内联网 Microsoft 更新服务位置的签名内容 选项。

看到这里，你已经掌握了 WSUS Package Publisher 的核心安装和配置逻辑。作为一款完全免费的工具，它用最简单的方式解决了企业 IT 管理中的一大痛点 ——告别杂乱的软件更新流程，让所有应用更新像 Windows 系统补丁一样自动化、规范化。

想象一下，当企业微信发布安全补丁、Chrome 推出功能更新时，你不再需要手动下载安装包、逐台设备推送，甚至不用担心员工忽略更新提醒。通过 WPP 与 WSUS 的联动，更新包会自动出现在客户端的 Windows 更新队列中，后台静默安装、无需人工干预，既保证了软件安全性，又减少了 IT 团队的重复劳动。

当然，工具的价值需要结合实际场景发挥。后续我们会继续分享「如何用 WPP 创建第一个更新包」「不同格式安装文件的打包技巧」「设备分组与更新优先级设置」等实战内容，帮你把这款工具用得更溜～

如果你在安装过程中遇到证书创建失败、组策略配置报错等问题，欢迎在评论区留言，我们会优先解答高频问题；如果觉得这篇内容对你有帮助，也别忘了点赞 + 在看，分享给身边的 IT 同行～

最后再提醒一句：还没获取 WPP 安装包的小伙伴，直接在公众号后台回复 wpp 就能领到啦，赶紧动手试试，让你的企业软件管理效率再上一个台阶！