ConfigMgr 2012 - 如何在不强制安装的情况下自动向计算机提供更新？

Question

我正在使用具有软件更新点功能的 System Center Configuration Manager 2012；但是，在这种环境下，补丁必须严格手动进行，因为服务器重启需要由不同的人批准和安排；因此，我需要使用 ConfigMgr 的 SUP，就像使用具有自动批准但手动安装的普通 WSUS 服务器一样。

我创建了一些自动部署规则来自动下载和部署关键更新，并“尽快”安装；但是，我还配置了这些规则，以便在达到截止日期时不执行任何操作，并且即使需要也不执行系统重新启动：

此外，我已将设备集合配置为这些规则部署更新的位置没有任何有效的维护窗口。

但是，我遇到的情况与我预期的完全相反：只要 ADR 处理了新更新，软件中心就会自动将它们安装在所有系统上，随后计算机将重新启动。

为什么会这样？我是不是有什么问题，或者只是 ConfigMgr 2012 没有表现得像它应该的那样？

Answer 1

我知道这个问题有点老了，但这里发布了一些不实之词。SCCM 2012 的运作方式没有任何问题，问题在于对它如何部署软件和更新的误解。引用微软的话是不公平的，因为他们说它的行为是“按设计”的，你只能在很远的将来设定一个截止日期。这实际上是设计使然，但基于您的设计。您没有设置维护窗口，所以当然更新会在截止日期到来时立即应用。这就是它默认所做的。在这种类型的设计中，您必须将截止日期设置在很远的将来以避免安装开始。然而，这不是做你想做的事情的唯一方法，也不是最简单的方法。

您是否知道可以逆转 SCCM 的默认行为“除非另有说明，否则一切都会发生”？

为此，请创建一个新集合（命名为任何有意义的东西，例如“手动部署”）并将“所有系统”集合包含在其成员中。然后在其上获取属性，并使用过去的任何生效日期设置维护时段，例如 01/01/2013 从上午 12:00 到上午 12:05，并将重复计划设置为无。您将收到有关未设置重复的警告，但仍然单击“确定”。从那时起，SCCM 环境中的每台设备都将自动设置一个过期的维护窗口，如果没有新的维护窗口，或者在进行部署时选中覆盖维护窗口框，就不能再安装任何东西。这与其之前的行为相反，因为它现在不会运行任何安装或更新，直到明确告知。

这非常强大，但需要注意的是，您现在可以完全手动控制何时可以运行安装以及何时可以进行重新启动——就像您想要的那样。现在这些复选框有了意义。例如，如果您有自动部署规则，如端点保护定义，您需要确保它们可以在维护窗口之外安装，除非您喜欢每天登录服务器来应用它们。即使允许安装在维护时段之外运行，您也可以选择禁止重新启动。一个好处是您可以轻松部署任何内容，并在选择手动安装的任务和截止日期时简单地使用“尽快”，如果您对维护窗口设置很聪明，您可以部署一次补丁，但通过使用具有新维护窗口的其他集合来安排实际安装和重新启动。请记住，维护时段在所有集合中都是累积的，因此请相应地设计您的环境。