Hello
小伙伴们,那是以此连串的第三篇小说,我早已和大家大饱眼福了有关于Windows
10服务支行以及使用WSUS管理更新的方法,有趣味的同伴们可以参见上边的链接:

Hello
小伙伴们,那是那个体系的第三篇文章,我早已和我们大饱眼福了有关于Windows
10劳务支行以及选拔WSUS管理更新的方式,有趣味的同伴们得以参照下边的链接:

Windows as a 瑟维斯(3)——使用SCCM管理Windows10翻新。前言


前言


Windows as a Service(1)—— Windows 10劳务支行

Windows as a Service(2)——
使用WSUS管理Windows10更新

大家乘机,继续聊天使用SCCM管理Windows
10更新的方法。System Center Configuration
Manager(SCCM)为大家环境中的Windows
10客户端管住和换代提供了一种不难的体制,给予了俺们管理Windows
10更新的最大控制权。要治本Windows 10作用更新,System Center
Configuration Manager
1511及更高版本包括一项称为“服务陈设”的增大服务成效。那现实怎么操作呢?那篇文档将从以下几步来享受:

  1. 创立一个GPO和对象客户端2

  2. 创设集合和其对应的劳务布置

  3. 启用Client-Side Targeting

  4. 创设和布局一个任务种类

———————————华丽的分割线——————————————-

 

Windows as a Service(1)—— Windows 10劳务支行

Windows as a Service(2)——
使用WSUS管理Windows10更新

大家乘机,继续聊天使用SCCM管理Windows
10更新的点子。System Center Configuration
Manager(SCCM)为大家条件中的Windows
10客户端管住和更新提供了一种不难的体制,给予了大家管理Windows
10更新的最大控制权。要管理Windows 10效用更新,System Center
Configuration Manager
1511及更高版本包罗一项称为“服务安插”的附加服务职能。那现实怎么操作呢?这篇文档将从以下几步来享受:

  1. 开创一个GPO和对象客户端2

  2. 创办集合和其相应的劳动陈设

  3. 启用Client-Side Targeting

  4. 创造和配备一个职务连串

———————————华丽的分割线——————————————-

 

在上一篇Windows as a Service(1)—— Windows 10服务支行中,我和我们享受了Windows 10七个劳务支行CB/CBB/LTSB的概念及不一致,从那篇文档开首,我将会为大家各自讲述使用差别的法子管理Windows 10更新的步子。Windows Server Update 瑟维斯s (WSUS)是微软提需求客户免费将Windows10更新配备至运行了Windows 10操作系统的电脑上的方案。这一篇我们将以WSUS为大旨,向我们介绍WSUS管理Windows 10更新的措施,我将从如下多少个步骤举办介绍:

 

  1. 创办计算机组
  2. 创建机关批准规则
  3. Client-Side Targeting设置
  4. 配置GPOs
  5. 证实策略的取向

 

在上一篇Windows as a Service(1)—— Windows 10劳务支行中,我和大家大快朵颐了Windows 10七个劳务支行CB/CBB/LTSB的概念及分歧,从那篇文档起始,我将会为我们各自讲述使用差别的艺术管理Windows 10更新的步子。Windows Server Update Services (WSUS)是微软提需求客户免费将Windows10创新配备至运行了Windows 10操作系统的总计机上的方案。这一篇大家将以WSUS为宗旨,向大家介绍WSUS管理Windows 10更新的办法,我将从如下多少个步骤举行介绍:

 

  1. 创设总括机组
  2. 创制机关批准规则
  3. Client-Side Targeting设置
  4. 配置GPOs
  5. 注解策略的主旋律

 

1.创立一个GPO和目的客户端2


在Group Policy Management
Console中,展开Forest \ Domains \
Contoso.com,右键单击域名,然后单击Create a GPO in this domain, and Link
it here,在新建GPO对话框中,命名新的GPO。

澳门金沙国际 1

导航到Windows update里,选择Defer
Windows Updates。

澳门金沙国际 2

右键单击Select when Feature Updates are
received,点击Edit编辑,启用该效用。在选项下的Select the branch
readiness level for the future updates that you want to
receive中,拔取相应的劳动支行,点击OK。

澳门金沙国际 3

在Security
Filtering中拉长刚刚创立好的GPO。

澳门金沙国际 4

迄今,大家早就打响创建并安插了GPO,指定哪些机器应该置身CBB服务支行中。

 

1.开立一个GPO和目的客户端2


在Group Policy Management
Console中,展开Forest \ Domains \
Contoso.com,右键单击域名,然后单击Create a GPO in this domain, and Link
it here,在新建GPO对话框中,命名新的GPO。

澳门金沙国际 5

导航到Windows update里,选择Defer
Windows Updates。

澳门金沙国际 6

右键单击Select when Feature Updates are
received,点击Edit编辑,启用该功能。在选项下的Select the branch
readiness level for the future updates that you want to
receive中,拔取相应的劳动支行,点击OK。

澳门金沙国际 7

在Security
Filtering中添加刚刚创立好的GPO。

澳门金沙国际 8

从那之后,大家早已打响创建并安插了GPO,指定哪些机器应该置身CBB服务支行中。

 

1.创造计算机组


咱俩得以选用“总括机组”来指定需求在特定时刻展开质量和意义更新的微机。这么些组由WSUS控制,我们能够运用WSUS管理控制台手动添加组,也可以经过组策略自动填充组。无论选用哪一种艺术,都无法不先在WSUS管理控制武汉成立组。

在域控服务器DC上,点击Tools—>Windows
Server Update 瑟维斯s。

澳门金沙国际 9

壮大DC,点击Computers—>All
Compters—>右键Add Computer Group—>为组命名。

澳门金沙国际 10

 

1.创制总结机组


我们可以运用“总括机组”来指定必要在一定时刻开展质量和功能更新的微机。那个组由WSUS控制,大家得以拔取WSUS管理控制台手动添加组,也得以通过组策略自动填充组。无论选取哪个种类办法,都不可以不先在WSUS管理控制德雷斯顿创设组。

在域控服务器DC上,点击Tools—>Windows
Server Update Services。

澳门金沙国际 11

恢宏DC,点击Computers—>All
Compters—>右键Add Computer Group—>为组命名。

澳门金沙国际 12

 

2.开立集合和其相应的劳动安排


开拓SCCM,点击Assets and
Compliance,点击Device collection,创造一个新的collection。

Tips:SCCM读取客户端的劳动支行(0(CB),1(CBB)和2(LTSB)),并将该值存储在OSBranch属性中,我们将采纳该属性创立基于服务支行的集合。

澳门金沙国际 13

澳门金沙国际 14

澳门金沙国际 15

点击Next,在add rule那里点击Query
rule,进行命名,点击Edit Query Statement进行平整编辑。

澳门金沙国际 16

澳门金沙国际 17

在标准选项卡上,单击新建图标澳门金沙国际 18。在选拔属性对话框中,从属性类列表中拔取系统资源,因为我们创造的是一个CB的集合,所以Value写0。

澳门金沙国际 19

在标准化选项卡上,继续单击新建图标,创制额外的条件。

澳门金沙国际 20

始建完所有规则后,看到的页面如下:

澳门金沙国际 21

点击Summary后翻看站点新闻,点击next完结创造。大家就打响创办了一个聚集,其中饱含CB服务支行中的所有托管的Windows
10客户端。由于可用于CB和CBB的职能更新时间不一,因而大家可以依照客户所在的劳务支行来设置服务安排。

在SCCM中,点击Software
Library,按照下图的门路,进入Servicing
Plan,创造一个新的劳务安插。

澳门金沙国际 22

慎选服务安顿对应的目的集合。

澳门金沙国际 23

进行劳动立异时间的布局。

澳门金沙国际 24

澳门金沙国际 25

在“布署安排”页面上,单击“下一步”保留默许设置(立即展开立异,并须要在7天期限内安装)。

澳门金沙国际 26

提醒:那样的布置,效果是当配置的收尾日期到达,将强制软件更新和种类重启,重启的装备必须是工作站的设施。

开创布局包,指定安插包的发源路径。

澳门金沙国际 27

在散发节点页面上,单击添加 –
>分发点,采用相应的域名作为分发点,然后单击确定。

澳门金沙国际 28

点击统计查看配置。

澳门金沙国际 29

咱俩前天早就为WIN10 Ring 2 Pilot
Business用户陈设环创立了一个劳务安插。
默许景况下,每回软件更新时都会根据此规则,大家能够透过编制伊娃luation
Schedule来修改此布署。

澳门金沙国际 30

 

2.创造集合和其相应的劳务陈设


开拓SCCM,点击Assets and
Compliance,点击Device collection,创造一个新的collection。

Tips:SCCM读取客户端的劳动支行(0(CB),1(CBB)和2(LTSB)),并将该值存储在OSBranch属性中,我们将应用该属性创造基于服务支行的汇集。

澳门金沙国际 31

澳门金沙国际 32

澳门金沙国际 33

点击Next,在add rule那里点击Query
rule,举行命名,点击Edit Query Statement举行平整编辑。

澳门金沙国际 34

澳门金沙国际 35

在规则选项卡上,单击新建图标澳门金沙国际 36。在挑选属性对话框中,从属性类列表中精选系统资源,因为大家创造的是一个CB的集结,所以Value写0。

澳门金沙国际 37

在规范选项卡上,继续单击新建图标,创造额外的尺度。

澳门金沙国际 38

成立完所有条件后,看到的页面如下:

澳门金沙国际 39

点击Summary后翻看站点新闻,点击next完结成立。大家就水到渠成开创了一个会师,其中含有CB服务支行中的所有托管的Windows
10客户端。由于可用来CB和CBB的法力更新时间各异,由此大家得以根据客户所在的劳动支行来安装服务布署。

在SCCM中,点击Software
Library,根据下图的路径,进入Servicing
Plan,创制一个新的服务安顿。

澳门金沙国际 40

挑选服务陈设对应的目标集合。

澳门金沙国际 41

进展服务立异时间的配备。

澳门金沙国际 42

澳门金沙国际 43

在“陈设安排”页面上,单击“下一步”保留默许设置(登时展开更新,并须要在7天期限内安装)。

澳门金沙国际 44

提醒:那样的安插,效果是当配置的完成日期到达,将强制软件更新和系统重启,重启的设施必须是工作站的设备。

创造布局包,指定安顿包的来源路径。

澳门金沙国际 45

在散发节点页面上,单击添加 –
>分发点,选用相应的域名作为分发点,然后单击确定。

澳门金沙国际 46

点击总计查看配置。

澳门金沙国际 47

咱俩现在已经为WIN10 Ring 2 Pilot
Business用户安插环创造了一个劳动安顿。
默许景况下,每一回软件更新时都会鲁人持竿此规则,大家得以由此编制伊娃luation
Schedule来修改此布置。

澳门金沙国际 48

 

2.创办机关批准规则


在WSUS管理控制麦德林,通过创办机关批准规则,可以自行批准和设置一定机器的一定更新时间,与领队每个月手动审批质量更新或每年多次的翻新功效比较,那种艺术的耗时更少。

在域控服务器DC上,点击WSUS管理控制台,点击DC—>Option—>
Automatic Approvals。

澳门金沙国际 49

在Update Rules 标签下点击New
Rule新建一个条条框框,依据须求选用有关性质。本示例采纳了三种:When an update
is in a specific classification, When an update is in a specific
product以及Set a deadline for the approval。
在Step2更新种种性质的规则。

澳门金沙国际 50

Tips:
WSUS默许忽略CB或CBB现有的每月,每一周或每一天的推迟设置。也就是说,若是大家正在为WSUS管理的微处理器应用Windows
Update for Business,
一旦WSUS批准更新,更新将设置在处理器上,不会按照组策略的安排。

 

2.创制机关批准规则


在WSUS管理控制马尔默,通过制造机关批准规则,可以自动批准和安装一定机器的特定更新时间,与协会者每个月手动审批质量更新或每年很多次的更新成效比较,那种措施的耗时更少。

在域控服务器DC上,点击WSUS管理控制台,点击DC—>Option—>
Automatic Approvals。

澳门金沙国际 51

在Update Rules 标签下点击New
Rule新建一个条条框框,按照必要采取有关性质。本示例拔取了三种:When an update
is in a specific classification, When an update is in a specific
product以及Set a deadline for the approval。
在Step2更新种种性质的原则。

澳门金沙国际 52

Tips:
WSUS默许忽略CB或CBB现有的每月,每一周或每一天的延期设置。也就是说,即使我们正在为WSUS管理的处理器应用Windows
Update for Business,
一旦WSUS批准更新,更新将设置在电脑上,不会根据组策略的配置。

 

3.启用Client-Side Targeting


貌似景色下,组策略设置会常见安排到多台统计机上。与这个设置不一样,Client-Side
Targeting允许管理员将一虞诩全组中的总括机自动添加到WSUS管理控制苏州的某个特殊的计量机组中。

始建方式接近第5步,成立一个新的GPO。

澳门金沙国际 53

次第选用Computer
Configuration—>Policies—>Administrative Templates—>Windows
Components—>Windows Update。

澳门金沙国际 54

右键点击编辑Enable client-side
targeting,启用该意义。在Target group name for this
computer中输入相关的GPO
Name。那是WSUS中就要添加这几个电脑的配置环的称呼。

澳门金沙国际 55

在Group Policy Management里面,选择WSUS
– Client Targeting – WIN10 Ring 1 Pilot IT ,点击Security
Filtering,移除AUTHENTICATED USERS,添加WIN10 Ring 1 Pilot IT组。

澳门金沙国际 56

 

3.启用Client-Side Targeting


貌似景观下,组策略设置会常见陈设到多台总括机上。与这个设置分歧,Client-Side
Targeting允许管理员将一虞诩全组中的总括机自动添加到WSUS管理控制布里斯托的某个特殊的持筹握算机组中。

创建形式接近第5步,成立一个新的GPO。

澳门金沙国际 57

逐一采纳Computer
Configuration—>Policies—>Administrative Templates—>Windows
Components—>Windows Update。

澳门金沙国际 58

右键点击编辑Enable client-side
targeting,启用该意义。在Target group name for this
computer中输入相关的GPO
Name。那是WSUS中即将添加这个总括机的布局环的名目。

澳门金沙国际 59

在Group Policy Management里面,选择WSUS
– Client Targeting – WIN10 Ring 1 Pilot IT ,点击Security
Filtering,移除AUTHENTICATED USERS,添加WIN10 Ring 1 Pilot IT组。

澳门金沙国际 60

 

3.Client-Side Targeting 设置


接纳组策略来指定目的客户端,并按照Active
Directory安全组自动将其添加到相应的WSUS安插环中,而幸免手动操作,这些历程被称为client-side
targeting。在启用client-side
targeting从前,必须将WSUS配置为接受组策略,而不是默许的手动分配办法。

只顾:Windows 10中的安顿环(Deployment
Ring)与一大半团社团为Windows系统主要版本升级而创设的安顿组(Deployment
Group)相似,它们只是将有着同样更新时间的机器划分到手拉手。使用Windows
10,大家可以利用分化的工具打造布署环。

澳门金沙国际 61

Tips:这几个选项必须二选一,当大家启用WSUS以利用组策略举行组分配时,大家不可能再通过WSUS管理控制台手动添加计算机;反之亦然。

 

3.Client-Side Targeting 设置


动用组策略来指定目的客户端,并依照Active
Directory安全组自动将其添加到相应的WSUS布署环中,而幸免手动操作,这些历程被称为client-side
targeting。在启用client-side
targeting之前,必须将WSUS配置为接受组策略,而不是默许的手动分配情势。

留神:Windows 10中的安排环(Deployment
Ring)与一大半公司为Windows系统主要版本升级而营造的安排组(Deployment
Group)相似,它们只是将有着相同更新时间的机器划分到一块。使用Windows
10,大家得以利用差距的工具创设布置环。

澳门金沙国际 62

Tips:那一个选项必须二选一,当大家启用WSUS以使用组策略举行组分配时,大家无法再经过WSUS管理控制台手动添加计算机;反之亦然。

 

4.创建和配备一个职责系列


任务体系是按某种顺序依次执行的一多级步骤。
它们是结构化的,并且可以基于特定条件逻辑确定某一步骤是还是不是执行。
由此,任务连串提供了一些特种的劳务安排:在功效更新以前或未来执行一些推行额外的步调。当新功用更新可用以Windows
10时,公布的ISO也会更新。
通过任务系列,大家得以采取此更新的ISO将作用更新应用于客户端,那与观念的当庭升级历程是一致的。对于运行Windows
10 Enterprise LTSB的装置,那是对其展开职能更新的绝无仅有办法。

澳门金沙国际 63

在开创职分体系的界面,选取Upgrade an
operating system from upgrade package。

澳门金沙国际 64

澳门金沙国际 65

分选升级包。

澳门金沙国际 66

慎选软件更新配备的规范。

澳门金沙国际 67

一路next。

澳门金沙国际 68

创建任务连串后,大家必须将其安顿到聚集中。

澳门金沙国际 69

这一步骤过去使集体的条件瘫痪,因为它们意外地强求所有团队必须安装操作系统职分体系。
由此,在System Center Configuration Manager
1511及更高版本中,尽管将其他职务连串或其余危机安插给站点系统按,会出现一个警告框。此警告意在最大限度地缩减不当地将职分种类布署到不正确的配备。

澳门金沙国际 70

澳门金沙国际 71

澳门金沙国际 72

俺们以14天为例,在自行安装前,大家讲给用户14天的日子来自行运行任务连串。

澳门金沙国际 73

对此用户体验做越来越多的的配备。

澳门金沙国际 74

澳门金沙国际 75

 

4.开立和布局一个任务连串


职责连串是按某种顺序依次执行的一多重步骤。
它们是结构化的,并且能够基于特定条件逻辑确定某一手续是不是实施。
因而,职分体系提供了部分非正规的劳务布署:在职能更新此前或之后执行一些履行额外的步子。当新职能更新可用于Windows
10时,公布的ISO也会更新。
通过义务连串,大家得以应用此更新的ISO将功效更新应用于客户端,那与观念的当庭升级历程是千篇一律的。对于运行Windows
10 Enterprise LTSB的设施,那是对其开展职能更新的绝无仅有格局。

澳门金沙国际 76

在创制职务连串的界面,拔取Upgrade an
operating system from upgrade package。

澳门金沙国际 77

澳门金沙国际 78

分选升级包。

澳门金沙国际 79

选料软件更新配备的规范。

澳门金沙国际 80

一路next。

澳门金沙国际 81

开创任务系列后,大家亟须将其配置到聚集中。

澳门金沙国际 82

这一步骤过去使集体的环境瘫痪,因为它们竟然地强求所有集团必须安装操作系统义务连串。
因而,在System Center Configuration Manager
1511及更高版本中,假设将其余任务连串或任何危机陈设给站点系统按,会晤世一个警告框。此警告目的在于最大限度地收缩不当地将职责系列计划到不正确的配备。

澳门金沙国际 83

澳门金沙国际 84

澳门金沙国际 85

俺们以14天为例,在自行安装前,大家讲给用户14天的时间来自行运行任务体系。

澳门金沙国际 86

对此用户体验做越多的的配备。

澳门金沙国际 87

澳门金沙国际 88

 

 

 

结语


System Center Configuration
Manager给予了大家管理Windows
10更新的最大控制权。大家成立并安顿了必需的GPO,将一些机器指定为CBB;创造适当的会面以管理安排环的Windows
10立异;我们创设了劳动安顿,在配置环接收更新时自动将Windows10功力更新配备到对应的集结;最后,大家创制和布置升级包和职责体系将Windows
10效应更新配备到托管客户端。

结语


System Center Configuration
Manager给予了大家管理Windows
10更新的最大控制权。我们创造并配备了不可或缺的GPO,将一些机器指定为CBB;成立适当的聚众以管理计划环的Windows
10翻新;大家创制了劳务布署,在陈设环接收更新时自动将Windows10功能更新配备到相应的会合;最终,大家创造和布署升级包和义务种类将Windows
10功力更新配备到托管客户端。

4. 配置GPOs


动用WSUS管理使用Windows操作系统的电脑更新时,必须布置“Configure
Automatic Updates”和“Intranet Microsoft Update 瑟维斯 Location Group
Policy”。 那样做会使得WSUS管控和散发目标客户端的革新、补丁。

在域控服务器上开辟Server Manager
,点击Tools > Group Policy Management.

澳门金沙国际 89

展开Forest\Domains\Contoso.com,右键corp.contoso.com,点击Create
a GPO in this domain, and Link it here,为其取名。

澳门金沙国际 90

右键刚刚创造的GPO,
点击Edit,按照以下路径点击Windows Update:Computer
Configuration—>Policies—>Administrative Templates—>Windows
Components—>Windows Update。

澳门金沙国际 91

右键Configure Automatic Updates
设置,点击Edit,开启自动更新效用。在Options里面选取自行下载和提醒安装。

澳门金沙国际 92

右键Specify intranet Microsoft update
service location ,点击Edit,启用Specify intranet Microsoft update
service location。设置Set the intranet update service for detecting
updates 以及Set the intranet statistics server
的链接地址,所有更新都从该内网链接下载,而不是直接链接到公网上去。

澳门金沙国际 93

将此GPO对应到正确的微处理器安全组中,在Group
Policy Management里面,拔取WSUS – Auto Updates and Intranet Update
Service Location ,点击Security Filtering,移除AUTHENTICATED
USERS,添加对应的组。

澳门金沙国际 94

4. 配置GPOs


行使WSUS管理使用Windows操作系统的处理器更新时,必须配备“Configure
Automatic Updates”和“Intranet Microsoft Update Service Location Group
Policy”。 那样做会使得WSUS管控和分发目标客户端的更新、补丁。

在域控服务器上开拓Server Manager
,点击Tools > Group Policy Management.

澳门金沙国际 95

展开Forest\Domains\Contoso.com,右键corp.contoso.com,点击Create
a GPO in this domain, and Link it here,为其取名。

澳门金沙国际 96

右键刚刚创建的GPO,
点击Edit,根据以下路径点击Windows Update:Computer
Configuration—>Policies—>Administrative Templates—>Windows
Components—>Windows Update。

澳门金沙国际 97

右键Configure Automatic Updates
设置,点击Edit,开启自动更新功能。在Options里面接纳自行下载和唤醒安装。

澳门金沙国际 98

澳门金沙国际,右键Specify intranet Microsoft update
service location ,点击Edit,启用Specify intranet Microsoft update
service location。设置Set the intranet update service for detecting
updates 以及Set the intranet statistics server
的链接地址,所有更新都从该内网链接下载,而不是直接链接到公网上去。

澳门金沙国际 99

将此GPO对应到正确的微处理器安全组中,在Group
Policy Management里面,接纳WSUS – Auto Updates and Intranet Update
Service Location ,点击Security Filtering,移除AUTHENTICATED
USERS,添加对应的组。

澳门金沙国际 100

 

 

5.验证策略的可行性


前天,大家早已为WIN10 Ring 1 Pilot
IT布置环配置了自动更新,服务立异地点和 Client-Side
Targeting,大家务必声明配置是不是成功。

澳门金沙国际 101

开辟command prompt,输入GPUPDATE
/FORCE,等待更新落成。 输入gpresult /h results.html
/f,运行成功后输入results.html,在Edge中查阅结果。在results.html文件的Applied
GPOs部分,可以看来后面创制和配备的WSUS – Client Targeting – WIN10 Ring 1
Pilot IT GPO。

澳门金沙国际 102

澳门金沙国际 103

 

OK,到此大家就把施用WSUS管理Windows
10更新的话题说完了,希望对你有着帮衬。

出于自身文笔有限,才疏学浅,文中若有不正之处,还请多多指教。

5.验证策略的动向


前些天,大家已经为WIN10 Ring 1 Pilot
IT陈设环配置了自动更新,服务革新地点和 Client-Side
Targeting,我们不可以不讲明配置是不是中标。

澳门金沙国际 104

打开command prompt,输入GPUPDATE
/FORCE,等待更新完毕。 输入gpresult /h results.html
/f,运行完结后输入results.html,在Edge中查阅结果。在results.html文件的Applied
GPOs部分,可以见到往日创造和安插的WSUS – Client Targeting – WIN10 Ring 1
Pilot IT GPO。

澳门金沙国际 105

澳门金沙国际 106

 

OK,到此大家就把施用WSUS管理Windows
10更新的话题说完了,希望对你持有辅助。

是因为我文笔有限,才疏学浅,文中若有不正之处,还请多多指教。

相关文章