Compartilhar via

Implantar atualizações do cliente Windows usando o Windows Server Update Services (WSUS)

Procurando informações de consumidor? Consulte Windows Update: perguntas frequentes

WSUS é uma função do Windows Server disponível nos sistemas operacionais Windows Server. Ele fornece um único hub para atualizações do Windows em uma organização. O WSUS permite que as empresas não só adiem as atualizações, mas também as aprovem seletivamente, escolham quando são entregues e determinem que dispositivos individuais ou grupos de dispositivos as recebem. O WSUS fornece controlo adicional sobre Windows Update políticas de cliente, mas não fornece todas as opções de agendamento e a flexibilidade de implementação que Microsoft Configuration Manager proporciona.

Quando escolhe o WSUS como a origem das atualizações do Windows, utiliza Política de Grupo para apontar dispositivos cliente Windows para o servidor WSUS para as atualizações. A partir daí, as atualizações são baixadas periodicamente no servidor WSUS e gerenciadas, aprovadas e implantadas por meio do console de administração do WSUS ou da Política de Grupo, simplificando o gerenciamento de atualizações para empresas. Se estiver atualmente a utilizar o WSUS para gerir as atualizações do Windows no seu ambiente, pode continuar a fazê-lo no Windows 11.

Observação

O WSUS foi preterido e já não está a adicionar novas funcionalidades. No entanto, continua a ser suportado para implementações de produção e recebe atualizações de segurança e qualidade de acordo com o ciclo de vida do produto. Para obter mais informações, consulte Funcionalidades removidas ou já não desenvolvidas no Windows Server.

Requisitos para a manutenção do cliente Windows com o WSUS

Para poder utilizar o WSUS para gerir e implementar atualizações de funcionalidades do Windows, tem de utilizar um WSUS suportado numa versão suportada do sistema operativo:

  • Função WSUS no Windows Server 2016
  • Função WSUS no Windows Server 2019
  • Função WSUS no Windows Server 2022
  • Função WSUS no Windows Server 2025

Para obter mais informações sobre a implementação da função WSUS, veja Descrição geral do Windows Server Update Services (WSUS).

Escalabilidade do WSUS

Para usar o WSUS para gerenciar todas as atualizações do Windows, algumas organizações talvez precisem acessar o WSUS em uma rede de perímetro ou podem ter algum outro cenário complexo. O WSUS é altamente escalonável e configurável para organizações de qualquer tamanho ou layout de site. Para obter informações específicas sobre o dimensionamento do WSUS, incluindo upstream e configuração do servidor a jusante, sucursais, balanceamento de carga do WSUS e outros cenários complexos, veja Implementar Windows Server Update Services.

Configurar as atualizações automáticas e atualizar o local do serviço

Ao usar o WSUS para gerenciar atualizações em dispositivos cliente Windows, comece configurando as definições de Política de Grupo Configurar Atualizações Automáticas e Local do Serviço de Atualização na Intranet da Microsoft para seu ambiente. Isso força os clientes afetados a contatar o servidor WSUS para que ele possa gerenciá-los. O processo a seguir descreve como especificar essas configurações e implantá-las em todos os dispositivos do domínio.

Para definir as configurações de Política de Grupo Configurar Atualizações Automáticas e Local do Serviço de Atualização na Intranet da Microsoft para seu ambiente

  1. Abra a Consola de Gestão do Política de Grupo (gpmc.msc).

  2. Expanda Forest\Domains\Your_Domain.

  3. Clique com o botão direito do rato Your_Domain e, em seguida, selecione Criar um GPO neste domínio e Ligue-o aqui.

    Crie um GPO neste exemplo de domínio na IU.

    Observação

    Neste exemplo, as configurações de Política de Grupo Configurar Atualizações Automáticas e Local do Serviço de Atualização na Intranet da Microsoft são especificadas para todo o domínio. Isto não é um requisito; pode direcionar estas definições para qualquer grupo de segurança através da Filtragem de Segurança ou de uma UO específica.

  4. Na caixa de diálogo Novo GPO, atribua o nome WSUS - Auto Atualizações e Localização do Serviço de Atualização da Intranet ao novo GPO.

  5. Clique com o botão direito do rato no GPO WSUS - Auto Atualizações e Localização do Serviço de Atualização da Intranet e, em seguida, selecione Editar.

  6. No Editor de Gerenciamento de Política de Grupo, vá até Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Update.

  7. Clique com o botão direito do rato na definição Configurar Atualizações Automático e, em seguida, selecione Editar.

    Configure a Atualizações Automática na IU.

  8. Na caixa de diálogo Configurar Atualizações Automáticas, selecione Habilitar.

  9. Em Opções, na lista Configurar atualização automática, selecione3 - Transferência automática e notificação para instalação e, em seguida, selecione OK.

    Selecione Transferência automática e notifique para instalar na IU.

    Importante

    • Utilize Regedit.exe para marcar que a seguinte chave não está ativada, uma vez que pode interromper a conectividade da Loja Windows: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations
    • Existem três outras definições para transferência automática de atualizações e datas e horas de instalação. Isso é simplesmente a opção que este exemplo usa. Para obter mais exemplos de como controlar as atualizações automáticas e outras políticas relacionadas, consulte Configurar atualizações automáticas usando a Política de Grupo.

  10. Clique com o botão direito do rato na definição Especificar localização do serviço de atualização da Microsoft na intranet e, em seguida, selecione Editar.

  11. Na caixa de diálogo Especificar o local do serviço de atualização na intranet da Microsoft, selecione Habilitar.

  12. Em Opções, em Definir o serviço de atualização da intranet para detetar atualizações e Definir as opções do servidor de estatísticas da intranet , escreva http://Your_WSUS_Server_FQDN:PortNumbere, em seguida, selecione OK.

    Defina o servidor de estatísticas da intranet na IU.

    Observação

    • A URL http://Your_WSUS_Server_FQDN:PortNumber na imagem a seguir é apenas um exemplo. Em seu ambiente, certifique-se de usar o nome do servidor e o número da porta para sua instância do WSUS.
    • A porta HTTP padrão para o WSUS é 8530, e a porta HTTPS padrão é 8531. (As outras opções são 80 e 443; não são suportadas outras portas.)

Como os clientes do Windows atualizarem suas políticas de computador (a atualização da Política de Grupo padrão é definida em 90 minutos e quando o computador é reiniciado), computadores começarão a aparecer no WSUS. Agora que os clientes estão se comunicando com o servidor WSUS, crie grupos de computadores que se alinhem com seus anéis de implantação.

Criar grupos de computadores no Console de Administração do WSUS

Você pode usar grupos de computadores para direcionar um subconjunto de dispositivos que tenham atualizações específicas de qualidade e recursos. Esses grupos representam seus anéis de implantação, como controlado pelo WSUS. Você pode preencher os grupos manualmente usando o Console de Administração do WSUS ou automaticamente por meio da Política de Grupo. Independentemente do método escolhido, você deve primeiro criar os grupos no Console de Administração do WSUS.

Para criar grupos de computadores no Console de Administração do WSUS

  1. Abra o Console de Administração do WSUS.

  2. Aceda a Server_Name\Computadores\Todos os Computadores e, em seguida, selecione Adicionar Grupo de Computadores.

    Adicionar Grupo de Computadores na IU de Administração do WSUS.

  3. Escreva Ring 2 Pilot Business Users para o nome e, em seguida, selecione Adicionar.

  4. Repita essas etapas para os grupos Anel 3 – Grande Parte da TI e Anel 4 – Grande Parte dos Usuários Comerciais. Quando tiver terminado, deverão existir três grupos de cadências de implementação.

Agora que os grupos foram criados, adicione os computadores aos grupos de computadores que se alinham com os anéis de implantação desejados. Você pode fazer isso por meio da Política de Grupo ou manualmente usando o Console de Administração do WSUS.

Usar o Console de Administração do WSUS para preencher anéis de implantação

Adicionar computadores a grupos de computadores no Console de Administração do WSUS é simples, mas pode demorar muito mais do que gerenciar a associação ao grupo por meio da Política de Grupo, especialmente se você tiver muitos computadores para adicionar. A adição de computadores a grupos de computadores no Console de Administração do WSUS é chamada de direcionamento no lado do servidor.

Neste exemplo, você adiciona computadores a grupos de computadores de duas maneiras diferentes: atribuindo manualmente computadores não atribuídos e procurando por vários computadores.

Atribuir manualmente computadores não atribuídos a grupos

Quando novos computadores se comunicam com o WSUS, eles aparecem no grupo Computadores Não Atribuídos. Nele, você pode usar o procedimento a seguir para adicionar computadores aos seus grupos corretos. Para estes exemplos, você deve usar dois computadores Windows 10 (WIN10-PC1 e WIN10-PC2) para adicionar aos grupos de computadores.

Para atribuir computadores manualmente

  1. No Console de Administração do WSUS, acesse Nome_Servidor\Computadores\Todos os Computadores\Computadores Não Atribuídos.

    Aqui, você pode ver os novos computadores que receberam o GPO criado na seção anterior e começaram a se comunicar com o WSUS. Este exemplo tem apenas dois computadores; Consoante a forma como implementou a sua política, provavelmente terá muitos computadores aqui.

  2. Selecione ambos os computadores, clique com o botão direito do rato na seleção e, em seguida, selecione Alterar Associação.

    Selecione Alterar Associação na IU.

  3. Na caixa de diálogo Definir Associação a Grupos de Computadores , selecione a cadência de implementação Tocar 2 Utilizadores Empresariais Piloto e, em seguida, selecione OK.

    Como eles foram atribuídos a um grupo, os computadores não estão mais no grupo Computadores Não Atribuídos. Se selecionar o grupo de computadores Ring 2 Pilot Business Users , verá os dois computadores aí.

Procurar por vários computadores para adicionar a grupos

Outra maneira de adicionar vários computadores a um anel de implantação no Console de Administração do WSUS é usar o recurso de pesquisa.

Para procurar por vários computadores

  1. Na Consola de Administração do WSUS, aceda a Server_Name\Computadores\Todos os Computadores, clique com o botão direito do rato em Todos os Computadores e, em seguida, selecione Procurar.

  2. Na caixa de pesquisa, digite WIN10.

  3. Nos resultados da pesquisa, selecione os computadores, clique com o botão direito do rato na seleção e, em seguida, selecione Alterar Associação.

    Selecione Alterar Associação para procurar vários computadores na IU.

  4. Selecione a cadência de implementação Ring 3 Broad IT e, em seguida, selecione OK.

Agora você pode ver esses computadores no grupo de computadores Anel 3 – Grande Parte da TI.

Usar a Política de Grupo para preencher anéis de implantação

A Consola de Administração do WSUS fornece uma interface amigável a partir da qual pode gerir atualizações de qualidade e funcionalidades do Windows. No entanto, quando você precisa adicionar muitos computadores seus anéis de implantação do WSUS corretos, pode ser demorado fazer isso manualmente no Console de Administração do WSUS. Nesses casos, considere usar a Política de Grupo para direcionar os computadores corretos, adicionando-os automaticamente ao anel de implantação do WSUS correto com base em um grupo de segurança do Active Directory. Esse processo é chamado de direcionamento no lado do cliente. Antes de habilitar o direcionamento no lado do cliente na Política de Grupo, você deve configurar o WSUS para aceitar a atribuição do computador da Política de Grupo.

Para configurar o WSUS para permitir o direcionamento no lado do cliente da Política de Grupo

  1. Abra a Consola de Administração do WSUS, aceda a Server_Name\Opções e, em seguida, selecione Computadores.

    Selecione Comptuers na Consola de Administração do WSUS.

  2. Na caixa de diálogo Computadores, selecione Utilizar Política de Grupo ou definições de registo em computadores e, em seguida, selecione OK.

    Observação

    Essa opção é exclusivamente um caso em que uma escolha exclui a outra. Ao habilitar o WSUS usar a Política de Grupo para atribuição de grupo, você não pode mais adicionar manualmente computadores por meio do Console de Administração do WSUS até alterar a opção novamente.

Agora que o WSUS está pronto para o direcionamento no lado do cliente, conclua as seguintes etapas para usar a Política de Grupo para configurar o direcionamento no lado do cliente:

Para configurar o direcionamento no lado do cliente

Dica

Ao usar o direcionamento no lado do cliente, considere dar aos grupos de segurança os mesmos nomes de seus anéis de implantação. Ao fazê-lo, simplifica o processo de criação de políticas e ajuda a garantir que não adiciona computadores às cadências incorretas.

  1. Abra a Consola de Gestão do Política de Grupo (gpmc.msc).

  2. Expanda Forest\Domains\Your_Domain.

  3. Clique com o botão direito do rato Your_Domain e, em seguida, selecione Criar um GPO neste domínio e Ligue-o aqui.

  4. Na caixa de diálogo Novo GPO , escreva WSUS - Filtragem de Cliente - Toque 4 Utilizadores Empresariais Gerais para o nome do novo GPO.

  5. Clique com o botão direito do rato no GPO WSUS – Filtragem de Cliente – Cadência 4 Utilizadores Empresariais Abrangentes e, em seguida, selecione Editar.

    Selecione a cadência WSUS 4 e edite na política de grupo.

  6. No Editor de Gerenciamento de Política de Grupo, vá até Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Update.

  7. Clique com o botão direito do rato em Ativar filtragem do lado do cliente e, em seguida, selecione Editar.

  8. Na caixa de diálogo Habilitar destino do lado do cliente, selecione Habilitar.

  9. Na caixa Nome do grupo de destino para este computador, digite Anel 4 – Grande Parte dos Usuários Comerciais. Esse é o nome do anel de implantação no WSUS ao qual esses computadores serão adicionados.

    Introduza o nome da cadência de implementação do WSUS.

Aviso

O nome do grupo de destino tem de corresponder ao nome do grupo de computadores.

  1. Feche o Editor de Gerenciamento de Política de Grupo.

Agora, está pronto para implementar este GPO no grupo de segurança do computador correto para a cadência de implementação Ring 4 Broad Business Users .

Para definir o escopo do GPO para um grupo

  1. No GPMC, selecione a política WSUS – Segmentação de Clientes – Cadência 4 Utilizadores Empresariais Abrangentes .

  2. Selecione o separador Âmbito .

  3. Em Filtragem de Segurança, remova o grupo de segurança padrão USUÁRIOS AUTENTICADOS e adicione o grupo Anel 4 – Grande Parte dos Usuários Comerciais.

    Remova o grupo de segurança UTILIZADORES AUTENTICADOS predefinido na política de grupo.

Da próxima vez que os clientes do grupo de segurança Ring 4 Broad Business Users receberem a política de computador e contactarem o WSUS, serão adicionados à cadência de implementação Ring 4 Broad Business Users .

Aprovar e implantar atualizações de recursos automaticamente

Para clientes que devem ter as atualizações de funcionalidades aprovadas assim que estiverem disponíveis, pode configurar regras de Aprovação Automática no WSUS.

Observação

O WSUS respeita o ramo de manutenção do dispositivo cliente. Se aprovar uma atualização de funcionalidades enquanto esta ainda estiver num ramo, como o Insider Preview, o WSUS irá instalar a atualização apenas em dispositivos que estejam nesse ramo de manutenção. Quando a Microsoft lançar a compilação para o Canal de Disponibilidade Geral, os dispositivos no mesmo serão instalados. Windows Update definições do ramo de políticas de cliente não se aplicam a atualizações de funcionalidades através do WSUS.

Para configurar uma regra de Aprovação Automática para atualizações de funcionalidades do cliente Windows e aprová-las para a cadência de implementação de TI Da Cadência 3 Este exemplo utiliza Windows 10, mas o processo é o mesmo para Windows 11.

  1. Na Consola de Administração do WSUS, aceda a Atualizar Serviços\Server_Name\Opções e, em seguida, selecione Aprovações Automáticas.

  2. No separador Atualizar Regras , selecione Nova Regra.

  3. Na caixa de diálogo Adicionar Regra, marque as caixas de seleção Quando uma atualização está em uma classificação específica, Quando uma atualização está em um produto específico e Definir um prazo final para a aprovação.

    Selecione as caixas de marcar de atualização e prazo na Consola de Administração do WSUS.

  4. Na área Editar as propriedades, selecione qualquer classificação. Limpe tudo exceto Atualizações e, em seguida, selecione OK.

  5. Na área Editar as propriedades, selecione a ligação de qualquer produto . Desmarque todas as caixas de marcar exceto Windows 10 e, em seguida, selecione OK.

    O Windows 10 está em Todos os Produtos\Microsoft\Windows.

  6. Na área Editar as propriedades , selecione a ligação todos os computadores . Desmarque todas as caixas de marcar do grupo de computadores, exceto Tocar 3 Broad IT e, em seguida, selecione OK.

  7. Deixe o prazo definido para 7 dias após a aprovação às 03:00.

  8. No Passo 3: especifique uma caixa de nome, escreva Windows 10 Atualizar Aprovação automática para Ring 3 Broad IT e, em seguida, selecione OK.

    Introduza o nome da implementação do anel 3.

  9. Na caixa de diálogo Aprovações Automáticas , selecione OK.

    Observação

    O WSUS não honra as definições de diferimento de mês/semana/dia existentes. Dito isto, se estiver a utilizar Windows Update políticas de cliente para um computador para o qual o WSUS também está a gerir atualizações, quando o WSUS aprovar a atualização, esta será instalada no computador, independentemente de ter configurado Política de Grupo aguardar.

Agora, sempre que as atualizações de funcionalidades do cliente Windows forem publicadas no WSUS, serão automaticamente aprovadas para a cadência de implementação ring 3 Broad IT com um prazo de instalação de 1 semana.

Aviso

A regra de aprovação automática é executada após a sincronização. Isto significa que a próxima atualização para cada versão do cliente Windows será aprovada. Se selecionar Executar Regra, todas as atualizações possíveis que satisfaçam os critérios serão aprovadas, incluindo potencialmente atualizações mais antigas que não pretende – o que pode ser um problema quando os tamanhos de transferência são muito grandes.

Aprovar e implantar atualizações de recursos manualmente

Você também pode aprovar atualizações manualmente e definir prazos para instalação no Console de Administração do WSUS. Poderá ser melhor aprovar manualmente as regras de atualização após a atualização da implementação piloto.

Para simplificar o processo de aprovação manual, comece por criar uma vista de atualização de software que contenha apenas Windows 10 (neste exemplo) atualizações. O processo é o mesmo para Windows 11 atualizações.

Observação

Se aprovar mais do que uma atualização de funcionalidades para um computador, pode ocorrer um erro com o cliente. Aprovar apenas uma atualização de funcionalidades por computador.

Para aprovar e implantar atualizações de recursos manualmente

  1. Na Consola de Administração do WSUS, aceda a Atualizar Serviços\Server_Name\Atualizações. No painel Ação , selecione Nova Vista de Atualização.

  2. Na caixa de diálogo Adicionar Modo de Exibição de Atualização, selecione As atualizações estão em uma classificação específica e As atualizações são para um produto específico.

  3. Em Passo 2: Editar as propriedades, selecione qualquer classificação. Desmarque todas as caixas de marcar exceto Atualizações e, em seguida, selecione OK.

  4. Em Passo 2: Editar as propriedades, selecione qualquer produto. Desmarque todas as caixas de marcar exceto Windows 10 e, em seguida, selecione OK.

    O Windows 10 está em Todos os Produtos\Microsoft\Windows.

  5. Na caixa Passo 3: Especificar um nome, escreva Todos os Windows 10 Atualizações e, em seguida, selecione OK.

    Introduza Todas as Atualizações de Windows 10 para o nome na consola de administração do WSUS.

Agora que tem a vista Todas as Atualizações do Windows 10, conclua os seguintes passos para aprovar manualmente uma atualização para a cadência de implementação Utilizadores do Ring 4 Broad Business:

  1. Na Consola de Administração do WSUS, aceda a Atualizar Serviços\Server_Name\Atualizações\Todas as Atualizações de Windows 10.

  2. Clique com o botão direito do rato na atualização de funcionalidades que pretende implementar e, em seguida, selecione Aprovar.

    Aprove a funcionalidade que pretende implementar na consola de administração do WSUS.

  3. Na caixa de diálogo Aprovar Atualizações, na lista Anel 4 – Grande Parte dos Usuários Comerciais, selecione Aprovado para Instalação.

    Selecione Aprovar para instalação na consola de administração do WSUS.

  4. Na caixa de diálogo Aprovar Atualizações, na lista Ring 4 Broad Business Users, selecione Prazo, selecione Uma Semana e, em seguida, selecione OK.

    Selecione um prazo de uma semana na consola de administração do WSUS.

  5. Se a caixa de diálogo Termos de Licenciamento para Software Microsoft for aberta, selecione Aceitar.

    Se a implantação for bem-sucedida, você deverá receber um relatório de progresso bem-sucedido.

    Uma implementação com êxito de exemplo.

  6. Na caixa de diálogo Progresso da Aprovação , selecione Fechar.

  • Last updated on