Windows as a Service(2)—— 使用WSUS管理Windows10更新

作者:杏彩

Hello 小伙伴们,这是这个系列的第三篇文章,我已经和大家分享了有关于Windows 10服务分支以及利用WSUS管理更新的方式,有兴趣的小伙伴们可以参考下面的链接:

前言


Windows as a Service(1)—— Windows 10服务分支

Windows as a Service(2)—— 使用WSUS管理Windows10更新

我们趁热打铁,继续聊聊使用SCCM管理Windows 10更新的方法。System Center Configuration Manager(SCCM)为我们环境中的Windows 10客户端管理和更新提供了一种简单的机制,给予了我们管理Windows 10更新的最大控制权。要管理Windows 10功能更新,System Center Configuration Manager 1511及更高版本包含一项称为“服务计划”的附加服务功能。那具体怎么操作呢?这篇文档将从以下几步来分享:

  1. 创建一个GPO和目标客户端2

  2. 创建集合和其对应的服务计划

  3. 启用Client-Side Targeting

  4. 创建和部署一个任务序列

---------------------------------华丽的分割线-------------------------------------------

 

在上一篇Windows as a Service(1)—— Windows 10服务分支中,我和大家分享了Windows 10三个服务分支CB/CBB/LTSB的概念及不同,从这篇文档开始,我将会为大家分别讲述使用不同的方法管理Windows 10更新的步骤。Windows Server Update Services (WSUS)是微软提供给客户免费将Windows10更新部署至运行了Windows 10操作系统的计算机上的方案。这一篇我们将以WSUS为主题,向大家介绍WSUS管理Windows 10更新的方法,我将从如下几个步骤展开介绍:

 

  1. 创建计算机组
  2. 创建自动批准规则
  3. Client-Side Targeting设置
  4. 配置GPOs
  5. 验证策略的可行性

 

1.创建一个GPO和目标客户端2


在Group Policy Management Console中,展开Forest Domains Contoso.com,右键单击域名,然后单击Create a GPO in this domain, and Link it here,在新建GPO对话框中,命名新的GPO。

图片 1

导航到Windows update里,选择Defer Windows Updates。

图片 2

右键单击Select when Feature Updates are received,点击Edit编辑,启用该功能。在选项下的Select the branch readiness level for the future updates that you want to receive中,选择相应的服务分支,点击OK。

图片 3

在Security Filtering中添加刚刚创建好的GPO。

图片 4

至此,我们已经成功创建并部署了GPO,指定哪些机器应该位于CBB服务分支中。

 

1.创建计算机组


我们可以使用“计算机组”来指定需要在特定时间进行质量和功能更新的计算机。这些组由WSUS控制,我们可以使用WSUS管理控制台手动添加组,也可以通过组策略自动填充组。无论选择哪种方法,都必须先在WSUS管理控制台中创建组。

在域控服务器DC上,点击Tools—>Windows Server Update Services。

图片 5

扩展DC,点击Computers—>All Compters—>右键Add Computer Group—>为组命名。

图片 6

 

2.创建集合和其对应的服务计划


打开SCCM,点击Assets and Compliance,点击Device collection,创建一个新的collection。

Tips:SCCM读取客户端的服务分支(0(CB),1(CBB)和2(LTSB)),并将该值存储在OSBranch属性中,我们将使用该属性创建基于服务分支的集合。

图片 7

图片 8

图片 9

点击Next,在add rule那里点击Query rule,进行命名,点击Edit Query Statement进行规则编辑。

图片 10

图片 11

在条件选项卡上,单击新建图标图片 12。在选择属性对话框中,从属性类列表中选择系统资源,因为我们创建的是一个CB的集合,所以Value写0。

图片 13

在条件选项卡上,继续单击新建图标,创建额外的条件。

图片 14

创建完所有条件后,看到的页面如下:

图片 15

点击Summary后查看站点信息,点击next完成创建。我们就成功创建了一个集合,其中包含CB服务分支中的所有托管的Windows 10客户端。由于可用于CB和CBB的功能更新时间不同,因此我们可以根据客户所在的服务分支来设置服务计划。

在SCCM中,点击Software Library,按照下图的路径,进入Servicing Plan,创建一个新的服务计划。

图片 16

选择服务计划对应的目标集合。

图片 17

进行服务更新时间的配置。

图片 18

图片 19

在“部署计划”页面上,单击“下一步”保留默认设置(立即进行更新,并要求在7天期限内安装)。

图片 20

提示:这样的配置,效果是当配置的截止日期到达,将强制软件更新和系统重启,重启的设备必须是工作站的设备。

创建部署包,指定部署包的来源路径。

图片 21

在分发节点页面上,单击添加 - >分发点,选择相应的域名作为分发点,然后单击确定。

图片 22

点击总结查看配置。

图片 23

我们现在已经为WIN10 Ring 2 Pilot Business用户部署环创建了一个服务计划。 默认情况下,每次软件更新时都会遵循此规则,我们可以通过编辑Evaluation Schedule来修改此计划。

图片 24

 

2.创建自动批准规则


在WSUS管理控制台中,通过创建自动批准规则,可以自动批准和设置特定机器的特定更新时间,与管理员每个月手动审批质量更新或每年多次的更新功能相比,这种方法的耗时更少。

在域控服务器DC上,点击WSUS管理控制台,点击DC—>Option—> Automatic Approvals。

图片 25

在Update Rules 标签下点击New Rule新建一个规则,根据要求选择相关性质。本示例选择了三种:When an update is in a specific classification, When an update is in a specific product以及Set a deadline for the approval。 在Step2更新各个性质的条件。

图片 26

Tips: WSUS默认忽略CB或CBB现有的每月,每周或每天的延期设置。也就是说,如果我们正在为WSUS管理的计算机使用Windows Update for Business, 一旦WSUS批准更新,更新将安装在计算机上,不会按照组策略的配置。

 

3.启用Client-Side Targeting


一般情况下,组策略设置会广泛部署到多台计算机上。与这些设置不同,Client-Side Targeting允许管理员将特定安全组中的计算机自动添加到WSUS管理控制台中的某个特殊的计算机组中。

创建方式类似第5步,创建一个新的GPO。

图片 27

依次选择Computer Configuration—>Policies—>Administrative Templates—>Windows Components—>Windows Update。

图片 28

右键点击编辑Enable client-side targeting,启用该功能。在Target group name for this computer中输入相关的GPO Name。这是WSUS中将要添加这些计算机的部署环的名称。

图片 29

在Group Policy Management里面,选择WSUS – Client Targeting - WIN10 Ring 1 Pilot IT ,点击Security Filtering,移除AUTHENTICATED USERS,添加WIN10 Ring 1 Pilot IT组。

图片 30

 

3.Client-Side Targeting 设置


使用组策略来指定目标客户端,并根据Active Directory安全组自动将其添加到相应的WSUS部署环中,而避免手动操作,这个过程被称为client-side targeting。在启用client-side targeting之前,必须将WSUS配置为接受组策略,而不是默认的手动分配方法。

注意:Windows 10中的部署环(Deployment Ring)与大多数组织为Windows系统主要版本升级而构建的部署组(Deployment Group)相似,它们只是将具有相同更新时间的机器划分到一起。使用Windows 10,我们可以使用不同的工具构建部署环。

图片 31

Tips:这个选项必须二选一,当我们启用WSUS以使用组策略进行组分配时,我们不能再通过WSUS管理控制台手动添加计算机;反之亦然。

 

本文由杏彩发布,转载请注明来源

关键词: