将软件更新部署到产品环境中所必需的第一步是向客户端计算机通告软件更新。滚动可以是分阶段的，也可以使所有的客户端在同一部署期间收到更新。
　　
　　开放式滚动
　　如果不要求分阶段滚动，则应该执行以下过程。
　　
　　• 实现开放式滚动
　　1.在 SUS 父上审批更新。这将使更新可用于使用 SUS 父获取更新的客户端，如下图所示。
　　　
　　在 SUS 父服务器上审批更新
　　2.如果将自动更新客户端配置为可在有新的更新时通知本地管理员，SUS 客户端将在下一个检测周期内或在本地管理员提示时开始新批准的更新。
　　
　　SUS 客户端每隔 17 到 22 小时轮询 SUS 服务器一次，查找新的更新。假设有一个新的更新已被批准，并且已到本地 SUS 服务器上，则将自动该新更新，并向已登录的用户（如果该用户具有本地管理员权限）发送通知，告知他们新的更新可用。完成时，将根据为该自动更新客户端选择的安装选项执行安装。
　　
　　注意：如果选择了通知下载和通知安装的选项，将不会自动下载更新。已登录的本地管理员必须请求下载，才能实际执行下载。
　　
　　自动更新安装选项包括:
　　
　　• 预定安装：
　　更新将自在预定的安装时间安装，除非本地管理员已提前安装。在预定的时间，计算机必须处于联机状态，才能进行安装。但是，“重新安排自动更新预定安装”GPO 设置允许错过预定安装时间的计算机在自动更新服务重新启动时执行安装。
　　
　　• 通知安装：
　　本地管理员（登录后）将收到更新可以进行安装的通知。管理员可以立即安装更新，也可以将安装推迟到更加合适的时间。没有本地管理员权限的用户将无法了解即将发布的更新。
　　
　　如果要安装的更新需要重新启动，本地管理员可以将重新启动时间延迟到一个更加合适的时间。他们应该了解在重新启动之前不能下载或安装任何其他更新。
　　
　　如果启用“预定的安装”选项和“不要自动重新启动预定的自动更新安装”GPO 设置，系统将提示具有计算机重新启动权限的用户以及具有本地管理员权限的用户在执行安装后重新启动。仅当没有其他用户使用远程桌面工具（如终端服务）交互式登录到计算机时，才可以进行重新启动。
　　
　　SUS 子服务器在下一个同步时间间隔中同步更新审批，并以前面提到的方式使更新可用于它们的客户端。
　　
　　具有本地管理员权限的用户将通过任务栏图标（如下图所示）得到有关任何等待预定安装时间的更新的通知。他们能够强制立即执行安装（仍登录时），或等待在预定的安装时间自动执行安装。
　　　
　　向已登录用户通知新的更新
　　假设已启用“不要重新启动预定的自动更新安装”策略设置，则对于没有这些权限的用户，唯一的通知消息就是指示更新已安装，并且需要重新启动计算机，如下图所示。
　　
　　不自动重新启动 SUS 客户端
　　
　　如果不是这种情况，则自动更新客户端将通知用户系统将在 5 分钟之内关闭，并且它将在这段时间过去后自动重新启动系统。
　　
　　分阶段滚动
　　如果要通过分阶段滚动发布更新，应执行以下过程。
　　
　　• 实现分阶段滚动
　　1.在父 SUS 服务器上审批更新。
　　
　　2.在由该服务器支持的客户端上成功部署更新后，应当在下一个滚动阶段中在支持客户端的 SUS 子服务器上启用审批列表同步。
　　
　　例如，如果将影响所有 XP 客户端的更新首先发布到 Seattle 客户端，那么在部署完成后，对于 Cambridge 中的客户端来说，SUS 管理员将首先在 Seattle SUS 服务器上审批更新，然后客户端将开始下载并安装该更新。在 Seattle 部署完毕后，SUS 管理员将在 Cambridge SUS 服务器上启用审批列表同步，该同步操作在滚动准备阶段处于禁用状态。成功同步审批列表后，在 Seattle 服务器上批准的更新将可用于由 Cambridge 服务器支持的客户端。
　　
　　紧急变更请求
　　某些情况下，您可能需要避免在“SUS 服务器管理”页上获得更新的批准与在目录服务器上部署更新之间的时间延迟。对于可以防止对关键性服务器的性破坏的更新，应当尽快部署，而不应等到下一个预定安装时间再进行部署。
　　
　　以下过程给出了发布软件更新并强制关键性服务器安装该更新所需的步骤。也可以为应用到工作站的软件更新采用类似的过程。
　　
　　注意：此过程只能在具有足够的可用网络带宽的业务场所成功实现，足够的带宽可以使软件更新文件和更新的审批列表用于 SUS 服务器。
　　
　　• 使用 SUS 和组策略快速部署更新
　　1.将临时组策略对象 (GPO) 分配到组织单元 (OU) 结构的适当部分，并使用筛选功能确保将该策略应用于适当的计算机。请注意，此临时 SUS GPO 的优先级应高于通常使用的 SUS GPO。应当将此 GPO 中的策略设置配置为可禁用自动更新客户端，并将计算机的默认组策略刷新时间间隔更改为 5 分钟。
　　2.强制域控制器复制，以便所有域控制器都具有新组策略对象的副本。
　　3.等待 120 分钟，使 OU 内的所有客户端刷新组策略。
　　4.修正新 GPO 策略中的策略设置，以便自动更新客户端得到启用，并设置为自动下载和自动安装。将自动安装设置为在当前时间 1 小时后进行。
　　5.强制域控制器复制，以便所有域控制器都具有已更改的组策略对象的副本。
　　6.等待大约 5 分钟，以使所有的 SUS 客户端刷新已更新的 SUS GPO 设置。GPO 生效后，自动更新客户端应当开始从 SUS　服务器下载新的更新。达到指定的时间后，安装就会开始。
　　7.更新程序成功安装在所有目标计算机后，应删除用于进行所有更改的临时 GPO。服务器在刷新它们的组策略设置后就会恢复已有的自动更新下载和安装选项。
　　
　　注意：仅在更新对业务运行十分关键时，才应该考虑此过程。一般情况下，管理员应等待标准的 SUS 安装计划。
　　
--------------------next---------------------