在许多中小企业、独立服务器或云环境中,并不会部署 Active Directory 域控。但即便 没有 AD,你仍然可以通过本地组策略或 PowerShell 脚本,实现 WSUS 无 AD 环境客户端配置,并使客户端成功接入 WSUS、按分组管理补丁,实现规范化的补丁维护。
本文将详细介绍如何在 无 AD 环境中快速上线 WSUS 客户端,并展示两种完全可行的方案:
- 本地组策略方式(适合少量设备)
- PowerShell 自动化脚本方式(推荐:适合批量服务器)
在开始配置客户端前:请确保 WSUS 服务器已正确部署
在开始执行 WSUS 客户端配置 之前,请确保你已经拥有一台安装完成并能够正常同步补丁的 WSUS 服务器。如果你对 WSUS 服务端部署流程尚未熟悉,可以参考以下文章:
该指南涵盖 WSUS 安装、更新分类配置、同步源设定等关键步骤,为客户端加入 WSUS 奠定稳定基础。
一、为什么无 AD 环境中仍然需要 WSUS 客户端管理?
即使在没有 AD 的情况下,你仍然可能需要通过 WSUS 对客户端进行集中化管理,原因包括:
- 让所有客户端 统一接收系统补丁
- 避免每台机器单独访问公网更新
- 满足部分企业 内网安全要求
- 能对客户端进行 按分组管理补丁
- 通过脚本实现 快速部署与批量自动化
无 AD 环境中,客户端不会自动从域策略接收更新配置。因此你需要通过 本地组策略 或 PowerShell 脚本 来写入客户端配置。
二、方案 1:通过本地组策略(Local Group Policy)配置 WSUS 客户端
本方法适用于:
- 客户端数量少
- 需要可视化操作
- 无需大规模自动化
2.1 打开本地组策略编辑器
通过开始菜单输入:
gpedit.msc即可打开本地组策略编辑器
2.2 编辑客户端 Windows Update 组策略
进入路径:
计算机配置 ➜ 管理模板 ➜ Windows 组件 ➜ Windows 更新
以下几个策略是 WSUS 无 AD 环境客户端配置的核心。
策略1:配置自动更新
配置详细解析:
此设置允许你指定是否在此计算机上启用自动更新。如果启用该服务,则必须在组策略设置中选择四个选项之一:
2 = 在下载和安装任何更新之前通知。
当 Windows 找到适用于此计算机的更新时,系统将通知用户更新已准备好下载。转到 Windows 更新后,用户可以下载并安装任何可用更新。
3 = (默认设置)自动下载更新并在准备好安装时通知
Windows 查找适用于该计算机的更新,并在后台下载它们(在此过程中,用户不会收到通知或被打扰)。下载完成后,将通知用户更新已准备好进行安装。在转到 Windows 更新后,用户可以安装它们。
4 = 自动下载更新并按下面指定的计划进行安装。
选择“自动”作为计划的安装时间时,Windows 将自动检查、下载和安装更新。除非通过组策略进行配置,否则,设备将按照 Windows 默认设置重新启动。(适用于 Windows 10 版本 1809 及更高版本)
5 = 允许本地管理员选择自动更新应通知并安装更新的配置模式。(此选项尚未传递到任何 Win 10 版本)
如果选择此选项,则本地管理员将可以使用 Windows 更新控制面板选择所选的配置选项。本地管理员将无法禁用自动更新的配置。
7 = 安装任何更新之前通知并在重启之前通知。(仅限 Windows Server)
如果选择 Windows Server 2016 中的此选项(仅适用于服务器 SKU 设备),则将允许本地管理员使用 Windows 更新继续手动进行安装或重新启动。
如果将此策略的状态设置为“已禁用”,则必须手动下载并安装 Windows 更新中可用的任何更新。若要执行此操作,请使用“开始”搜索 Windows 更新。
如果状态设置为“未配置”,则不在组策略级别指定自动更新的使用。但管理员仍然可以通过控制面板配置自动更新。
策略2:指定 Intranet Microsoft 更新服务位置(重点)
在这里填写你的 WSUS 地址,例如:
http://10.228.22.30:8530此策略是 让客户端接入 WSUS 的关键配置。
配置详细解析:
指定一个 Intranet 服务器,用于托管来自 Microsoft 更新的更新。然后,可以使用此更新服务自动更新网络上的计算机。
此设置可让你在网络上指定一台服务器充当内部更新服务。自动更新客户端将搜索此服务,找到适用于网络上计算机的更新。
若要使用此设置,必须设置两个服务器名称值: 自动更新客户端从中检测和下载更新的服务器,以及更新的工作站将统计信息上载到其中的服务器。可以将两个值设为同一台服务器。
如果状态设置为“已启用”,自动更新客户端会连接到指定的 Intranet Microsoft 更新服务(或备用下载服务器)而不是 Windows 更新,以搜索和下载更新。
策略3:对于有已登陆用户的计算机,计划的自动更新安装不执行重新启动
减少计划任务自动安装补丁导致的意外重启。
配置详细解析:
指定为了完成计划的安装,自动更新将等待任何登录的用户重新启动计算机,而不是自动使计算机重新启动。
如果将状态设置为“已启用”,并且用户已登录到此计算机,则自动更新不会在计划的安装过程中自动重新启动计算机,而是自动更新通知用户重新启动计算机。
策略4:允许自动更新立即安装
允许安装无需重启的补丁立即生效。
配置详细解析:
指定自动更新是否应自动安装某些既不中断 Windows 服务的更新,也不需要重启动 Windows 的更新。
如果将状态设置为“启用”,则在下载并可以安装这些更新装时,自动更新将立即安装它们。
如果将状态设置为“禁用”,将不会立即安装这些更新。
策略5:不要连接任何 Windows 更新 Internet 位置(可选)
建议在安全管控要求高的环境中启用。
配置详细解析:
客户端被强制仅从指定的内部 WSUS 服务器获取更新,完全阻断对微软 Internet 更新的访问。
即使 WSUS 不可用,客户端也不会主动连接微软服务器,仅提示 “无法获取更新”,需人工排查 WSUS 问题。
满足严格管控需求:确保所有补丁均经过企业内部验证,避免外部补丁带来的兼容性或安全风险。
策略6:允许客户端目标设置
该设置允许 WSUS 根据客户端上报的组名进行自动分组,是 无 AD 环境中自动分组的唯一方式。
配置详细解析:
计算机会自动划分到 WSUS 中对应的同名计算机组中。
强制刷新策略
组策略完成后,如果需要尽快看到效果的话,需要在终端命令中输入命令来强制更新组策略
gpupdate /force
另外,需要手动触发一次Windows 更新动作,此时我们就可以在WSUS服务器上看到客户端的上线信息了。
三、方案 2:通过 PowerShell 脚本自动化配置 WSUS 客户端(推荐!)
如果你的环境中存在大量服务器、批量云主机,或需要快速部署,PowerShell 自动化 是最优方案。
此方法:
- 不依赖 AD
- 支持批量部署
- 自动写入全部 WSUS 必需配置
- 自动触发扫描并上报
- 可自动加入 WSUS 指定分组
3.1 PowerShell 脚本结构说明
此脚本包含以下功能点:
| 功能 | 是否支持 |
|---|---|
| 设置 WSUS URL | ✔️ |
| 启用客户端分组 | ✔️ |
| 自定义分组名称 | ✔️ |
| 强制立即检测更新 | ✔️ |
| 强制客户端向 WSUS 报到 | ✔️ |
| 批量自动化部署 | ✔️ |
3.2 WSUS 无 AD 环境客户端配置脚本(完整版)
您需要回复本文后才能查看完整内容
3.3 使用脚本后的预期效果
- 客户端将在数秒内出现在 WSUS 控制台
- 自动加入脚本中定义的分组
- 补丁扫描与上报立即生效
- 无需重启系统
- 无需 AD 域控参与
此方式是 生产环境中最推荐的 WSUS 无 AD 环境客户端配置方案。
五、常见问题(FAQ)
Q1:无 AD 环境是否影响 WSUS 正常使用?
A:不会。 WSUS 不依赖 AD,AD 只是简化 GPO 推送。如果使用本地策略或 PowerShell,完全可以替代。
Q2:修改 WSUS 客户端设置是否需要重启?
A:不需要。 大多数情况下只需要执行检测命令即可立即生效。
Q3:客户端已经配置,但没有出现在 WSUS 中怎么办?
可能原因有:
- WSUS 目录被代理或防火墙拦截
- WSUS URL 填写错误(HTTP/HTTPS)
- 端口填写不正确(默认 8530 / 8531)
- 组策略未成功写入注册表
- 客户端未执行检测命令(脚本可解决)
Q4:是否可以将脚本做成 .bat 批处理?
可以。 PowerShell 脚本可由批处理触发,适合在大规模环境中使用。
六、结语:无 AD 环境中,PowerShell 是最快的 WSUS 客户端接入方案
无论你管理的是:
- 小规模测试环境
- 高强度生产服务器
- 云主机集群
- 没有域控的独立网络
本篇文章提供的 本地组策略配置方法 与 PowerShell 自动化脚本方案 都能帮助你高效完成 WSUS 无 AD 环境客户端配置,让补丁管理更加安全、规范、可控。
参考链接:
技术交流
此文章为原创文章,作者:PANGSHARE,如若转载,请与我联系并注明出处:https://www.pangshare.com/wsus-client-setup-without-ad/
微信扫一扫 
