前言


前言


Hello
小伙伴们,那是以此种类的第三篇小说,我早已和豪门大饱眼福了有关于Windows
10服务支行以及接纳WSUS管理更新的方法,有趣味的小伙伴们方可参见上面的链接:

Hello
小伙伴们,那是其一连串的第三篇小说,我已经和豪门享受了有关于Windows
10劳动支行以及选用WSUS管理更新的艺术,有趣味的伙伴们得以参照下边的链接:

在上一篇Windows as a Service(1)—— Windows 10劳动支行中,我和我们大快朵颐了Windows 10多个服务支行CB/CBB/LTSB的概念及差异,从那篇文档先河,我将会为大家各自讲述使用不一致的方法管理Windows 10更新的步子。Windows Server Update Services (WSUS)是微软提须要客户免费将Windows10立异配备至运行了Windows 10操作系统的处理器上的方案。这一篇大家将以WSUS为宗旨,向大家介绍WSUS管理Windows 10更新的法门,我将从如下多少个步骤举办介绍:

 

  1. 创造总结机组
  2. 开创机关批准规则
  3. Client-Side Targeting设置
  4. 配置GPOs
  5. 申明策略的方向

 

在上一篇Windows as a Service(1)—— Windows 10服务支行中,我和豪门大快朵颐了Windows 10多少个劳务支行CB/CBB/LTSB的定义及分化,从那篇文档初步,我将会为我们各自讲述使用分裂的点子管理Windows 10更新的手续。Windows Server Update Services (WSUS)是微软提需求客户免费将Windows10更新配备至运行了Windows 10操作系统的处理器上的方案。这一篇我们将以WSUS为主旨,向大家介绍WSUS管理Windows 10更新的不二法门,我将从如下多少个步骤举办介绍:

 

  1. 创制统计机组
  2. 始建机关批准规则
  3. Client-Side Targeting设置
  4. 配置GPOs
  5. 表达策略的趋势

 

Windows as a Service(1)—— Windows 10劳务支行

Windows as a Service(2)——
使用WSUS管理Windows10更新

咱俩乘机,继续聊天使用SCCM管理Windows
10更新的主意。System Center Configuration
Manager(SCCM)为大家条件中的Windows
10客户端管住和革新提供了一种简易的机制,给予了俺们管理Windows
10更新的最大控制权。要管制Windows 10效应更新,System Center
Configuration Manager
1511及更高版本包罗一项称为“服务安顿”的附加服务职能。这现实怎么操作呢?那篇文档将从以下几步来分享:

  1. 创设一个GPO和目的客户端2

  2. 创设集合和其对应的劳务陈设

  3. 启用Client-Side Targeting

  4. 成立和布局一个职分连串

———————————华丽的分割线——————————————-

 

Windows as a Service(1)—— Windows 10劳务支行

Windows as a Service(2)——
使用WSUS管理Windows10更新

俺们乘机,继续聊天使用SCCM管理Windows
10更新的不二法门。System Center Configuration
Manager(SCCM)为大家环境中的Windows
10客户端管住和翻新提供了一种简单的编制,给予了俺们管理Windows
10更新的最大控制权。要治本Windows 10职能更新,System Center
Configuration Manager
1511及更高版本包蕴一项称为“服务布置”的增大服务成效。那现实怎么操作呢?这篇文档将从以下几步来分享:

  1. 始建一个GPO和目的客户端2

  2. 开创集合和其对应的劳务安插

  3. 启用Client-Side Targeting

  4. 创办和配置一个职务连串

———————————华丽的分割线——————————————-

Windows as a Service(2)—— 使用WSUS管理Windows10翻新。 

1.创造统计机组


俺们得以选择“计算机组”来指定需求在特定时间进行品质和效率更新的电脑。那几个组由WSUS控制,大家能够利用WSUS管理控制台手动添加组,也可以因此组策略自动填充组。无论采纳哪个种类方法,都必须先在WSUS管理控制夏洛特创造组。

在域控服务器DC上,点击Tools—>Windows
Server Update 瑟维斯s。

澳门金沙国际 1

壮大DC,点击Computers—>All
Compters—>右键Add Computer Group—>为组命名。

澳门金沙国际 2

 

1.创办总括机组


大家能够使用“计算机组”来指定要求在一定时刻进行品质和职能更新的微处理器。这几个组由WSUS控制,大家得以选拔WSUS管理控制台手动添加组,也足以通过组策略自动填充组。无论选用哪个种类办法,都无法不先在WSUS管理控制斯科普里创造组。

在域控服务器DC上,点击Tools—>Windows
Server Update 瑟维斯s。

澳门金沙国际 3

增添DC,点击Computers—>All
Compters—>右键Add Computer Group—>为组命名。

澳门金沙国际 4

 

1.创设一个GPO和对象客户端2


在Group Policy Management
Console中,展开Forest \ Domains \
Contoso.com,右键单击域名,然后单击Create a GPO in this domain, and Link
it here,在新建GPO对话框中,命名新的GPO。

澳门金沙国际 5

导航到Windows update里,选择Defer
Windows Updates。

澳门金沙国际 6

右键单击Select when Feature Updates are
received,点击Edit编辑,启用该意义。在选项下的Select the branch
readiness level for the future updates that you want to
receive中,拔取相应的劳动支行,点击OK。

澳门金沙国际 7

在Security
Filtering中添加刚刚创立好的GPO。

澳门金沙国际 8

由来,大家早就成功开创并配备了GPO,指定哪些机器应该放在CBB服务支行中。

 

1.创办一个GPO和对象客户端2


在Group Policy Management
Console中,展开Forest \ Domains \
Contoso.com,右键单击域名,然后单击Create a GPO in this domain, and Link
it here,在新建GPO对话框中,命名新的GPO。

澳门金沙国际 9

导航到Windows update里,选择Defer
Windows Updates。

澳门金沙国际 10

右键单击Select when Feature Updates are
received,点击Edit编辑,启用该功用。在选项下的Select the branch
readiness level for the future updates that you want to
receive中,接纳相应的劳务支行,点击OK。

澳门金沙国际 11

在Security
Filtering中足够刚刚创制好的GPO。

澳门金沙国际 12

由来,我们已经成功开创并配备了GPO,指定哪些机器应该放在CBB服务支行中。

 

2.创设机关批准规则


在WSUS管理控制长沙,通过创办机关批准规则,可以自行批准和设置一定机器的特定更新时间,与管理人每个月手动审批质量更新或每年多次的翻新功效相比较,那种措施的耗时更少。

在域控服务器DC上,点击WSUS管理控制台,点击DC—>Option—>
Automatic Approvals。

澳门金沙国际 13

在Update Rules 标签下点击New
Rule新建一个平整,根据要求选取有关性质。本示例选取了三种:When an update
is in a specific classification, When an update is in a specific
product以及Set a deadline for the approval。
在Step2更新各类性质的尺度。

澳门金沙国际 14

Tips:
WSUS默许忽略CB或CBB现有的每月,周周或每一天的推移设置。也就是说,假使大家正在为WSUS管理的总结机应用Windows
Update for Business,
一旦WSUS批准更新,更新将安装在微机上,不会规行矩步组策略的布署。

 

2.创制机关批准规则


在WSUS管理控制夏洛特,通过创办机关批准规则,可以活动批准和设置一定机器的特定更新时间,与指挥者每个月手动审批质量更新或每年数十次的革新成效比较,那种方式的耗时更少。

在域控服务器DC上,点击WSUS管理控制台,点击DC—>Option—>
Automatic Approvals。

澳门金沙国际 15

在Update Rules 标签下点击New
Rule新建一个条条框框,根据须求选用有关性质。本示例接纳了二种:When an update
is in a specific classification, When an update is in a specific
product以及Set a deadline for the approval。
在Step2更新各种性质的准绳。

澳门金沙国际 16

Tips:
WSUS默认忽略CB或CBB现有的每月,每一周或每一天的延迟设置。也就是说,假使大家正在为WSUS管理的微处理器应用Windows
Update for Business,
一旦WSUS批准更新,更新将设置在处理器上,不会根据组策略的安排。

 

2.成立集合和其对应的劳动陈设


打开SCCM,点击Assets and
Compliance,点击Device collection,创设一个新的collection。

Tips:SCCM读取客户端的服务支行(0(CB),1(CBB)和2(LTSB)),并将该值存储在OSBranch属性中,我们将运用该属性创立基于服务支行的集合。

澳门金沙国际 17

澳门金沙国际 18

澳门金沙国际 19

点击Next,在add rule那里点击Query
rule,举行命名,点击Edit Query Statement进行平整编辑。

澳门金沙国际 20

澳门金沙国际 21

在标准选项卡上,单击新建图标澳门金沙国际 22。在选用属性对话框中,从属性类列表中选择系统资源,因为大家创制的是一个CB的集合,所以Value写0。

澳门金沙国际 23

在口径选项卡上,继续单击新建图标,成立额外的基准。

澳门金沙国际 24

开创完所有标准后,看到的页面如下:

澳门金沙国际 25

点击Summary后翻看站点音信,点击next达成成立。大家就马到成功开创了一个集结,其中饱含CB服务支行中的所有托管的Windows
10客户端。由于可用以CB和CBB的效能更新时间分歧,因而我们可以根据客户所在的服务支行来设置服务安排。

在SCCM中,点击Software
Library,根据下图的门径,进入Servicing
Plan,成立一个新的服务安排。

澳门金沙国际 26

分选服务陈设对应的对象集合。

澳门金沙国际 27

进展服务立异时间的计划。

澳门金沙国际 28

澳门金沙国际 29

在“布署陈设”页面上,单击“下一步”保留默许设置(立时开展翻新,并需要在7天期限内安装)。

澳门金沙国际 30

提拔:那样的配备,效果是当配置的竣事日期到达,将胁制软件更新和系统重启,重启的设施必须是工作站的设备。

创制布局包,指定布置包的根源路径。

澳门金沙国际 31

在散发节点页面上,单击添加 –
>分发点,拔取相应的域名作为分发点,然后单击确定。

澳门金沙国际 32

点击总计查看配置。

澳门金沙国际 33

咱们今天早已为WIN10 Ring 2 Pilot
Business用户安插环创立了一个劳务计划。
默许情形下,每一趟软件更新时都会鲁人持竿此规则,大家能够通过编制伊娃luation
Schedule来修改此陈设。

澳门金沙国际 34

 

2.创建集合和其相应的劳务布署


开拓SCCM,点击Assets and
Compliance,点击Device collection,创设一个新的collection。

Tips:SCCM读取客户端的劳动支行(0(CB),1(CBB)和2(LTSB)),并将该值存储在OSBranch属性中,大家将使用该属性创建基于服务支行的会聚。

澳门金沙国际 35

澳门金沙国际 36

澳门金沙国际 37

点击Next,在add rule那里点击Query
rule,进行命名,点击Edit Query Statement进行平整编辑。

澳门金沙国际 38

澳门金沙国际 39

在标准选项卡上,单击新建图标澳门金沙国际 40。在选拔属性对话框中,从属性类列表中选用系统资源,因为大家创立的是一个CB的汇集,所以Value写0。

澳门金沙国际 41

在口径选项卡上,继续单击新建图标,创造额外的规则。

澳门金沙国际 42

创办完所有条件后,看到的页面如下:

澳门金沙国际 43

点击Summary后翻看站点音讯,点击next完毕成立。大家就打响开创了一个集结,其中饱含CB服务支行中的所有托管的Windows
10客户端。由于可用于CB和CBB的作用更新时间不一,因而大家能够依照客户所在的劳务支行来设置服务安排。

在SCCM中,点击Software
Library,根据下图的路径,进入Servicing
Plan,创立一个新的劳务安排。

澳门金沙国际 44

慎选服务安排对应的靶子集合。

澳门金沙国际 45

举办服务立异时间的布局。

澳门金沙国际 46

澳门金沙国际 47

在“安顿布署”页面上,单击“下一步”保留默许设置(登时展开立异,并须求在7天期限内安装)。

澳门金沙国际 48

澳门金沙国际,提示:那样的配置,效果是当配置的甘休日期到达,将要挟软件更新和种类重启,重启的配备必须是工作站的配备。

创制布局包,指虞诩顿包的根源路径。

澳门金沙国际 49

在散发节点页面上,单击添加 –
>分发点,选取相应的域名作为分发点,然后单击确定。

澳门金沙国际 50

点击总计查看配置。

澳门金沙国际 51

俺们明日已经为WIN10 Ring 2 Pilot
Business用户布置环创制了一个劳务布署。
默许景况下,每一趟软件更新时都会根据此规则,我们可以透过编制伊娃luation
Schedule来修改此计划。

澳门金沙国际 52

 

3.Client-Side Targeting 设置


拔取组策略来指定目的客户端,并按照Active
Directory安全组自动将其添加到相应的WSUS布署环中,而防止手动操作,这些历程被称为client-side
targeting。在启用client-side
targeting此前,必须将WSUS配置为接受组策略,而不是默许的手动分配情势。

注意:Windows 10中的安顿环(Deployment
Ring)与半数以上团队为Windows系统主要版本升级而打造的陈设组(Deployment
Group)相似,它们只是将持有相同更新时间的机械划分到一块儿。使用Windows
10,我们可以运用分裂的工具营造布置环。

澳门金沙国际 53

Tips:这些选项必须二选一,当我们启用WSUS以应用组策略进行组分配时,我们不可以再经过WSUS管理控制台手动添加计算机;反之亦然。

 

3.Client-Side Targeting 设置


使用组策略来指定目的客户端,并依照Active
Directory安全组自动将其添加到相应的WSUS安插环中,而幸免手动操作,这一个进度被叫做client-side
targeting。在启用client-side
targeting在此以前,必须将WSUS配置为接受组策略,而不是默许的手动分配办法。

留意:Windows 10中的布署环(Deployment
Ring)与半数以上团体为Windows系统首要版本升级而打造的安插组(Deployment
Group)相似,它们只是将装有相同更新时间的机器划分到一同。使用Windows
10,大家得以行使不一致的工具营造计划环。

澳门金沙国际 54

Tips:那几个选项必须二选一,当大家启用WSUS以利用组策略举办组分配时,我们不可能再通过WSUS管理控制台手动添加总括机;反之亦然。

 

3.启用Client-Side Targeting


相似意况下,组策略设置会普遍计划到多台统计机上。与这一个设置不一样,Client-Side
Targeting允许管理员将一定安全组中的总计机自动添加到WSUS管理控制毕尔巴鄂的某个特殊的计量机组中。

始建方式接近第5步,创立一个新的GPO。

澳门金沙国际 55

次第选拔Computer
Configuration—>Policies—>Administrative Templates—>Windows
Components—>Windows Update。

澳门金沙国际 56

右键点击编辑Enable client-side
targeting,启用该功用。在Target group name for this
computer中输入相关的GPO
Name。这是WSUS中就要添加那一个总括机的安插环的名号。

澳门金沙国际 57

在Group Policy Management里面,选择WSUS
– Client Targeting – WIN10 Ring 1 Pilot IT ,点击Security
Filtering,移除AUTHENTICATED USERS,添加WIN10 Ring 1 Pilot IT组。

澳门金沙国际 58

 

3.启用Client-Side Targeting


相似意况下,组策略设置会广阔安顿到多台统计机上。与这个设置差别,Client-Side
Targeting允许管理员将一虞诩全组中的计算机自动添加到WSUS管理控制长沙的某个特殊的推测机组中。

创建格局接近第5步,创设一个新的GPO。

澳门金沙国际 59

各样拔取Computer
Configuration—>Policies—>Administrative Templates—>Windows
Components—>Windows Update。

澳门金沙国际 60

右键点击编辑Enable client-side
targeting,启用该功效。在Target group name for this
computer中输入相关的GPO
Name。那是WSUS中即将添加那几个总计机的配备环的称谓。

澳门金沙国际 61

在Group Policy Management里面,选择WSUS
– Client Targeting – WIN10 Ring 1 Pilot IT ,点击Security
Filtering,移除AUTHENTICATED USERS,添加WIN10 Ring 1 Pilot IT组。

澳门金沙国际 62

 

 

 

4.成立和布局一个职务种类


任务连串是按某种顺序依次执行的一多元步骤。
它们是结构化的,并且能够根据特定条件逻辑确定某一手续是还是不是推行。
由此,任务种类提供了有的特种的劳动布置:在听从更新从前或之后执行一些履行额外的步骤。当新作用更新可用于Windows
10时,发布的ISO也会更新。
通过职责系列,大家得以拔取此更新的ISO将功用更新应用于客户端,那与观念的当庭升级进度是同样的。对于运行Windows
10 Enterprise LTSB的设备,这是对其开展功用更新的绝无仅有方法。

澳门金沙国际 63

在开创义务系列的界面,选择Upgrade an
operating system from upgrade package。

澳门金沙国际 64

澳门金沙国际 65

慎选升级包。

澳门金沙国际 66

选料软件更新配备的条件。

澳门金沙国际 67

一路next。

澳门金沙国际 68

创造职务体系后,大家亟须将其配备到集结中。

澳门金沙国际 69

这一步骤过去使公司的环境瘫痪,因为它们竟然地强求所有集体必须设置操作系统职务连串。
因而,在System Center Configuration Manager
1511及更高版本中,即便将其余职责连串或任何风险布置给站点系统按,会并发一个警告框。此警告目的在于最大限度地回落不当地将义务种类计划到不科学的设备。

澳门金沙国际 70

澳门金沙国际 71

澳门金沙国际 72

俺们以14天为例,在机动安装前,大家讲给用户14天的时间来自行运行职责体系。

澳门金沙国际 73

对此用户体验做越来越多的的布署。

澳门金沙国际 74

澳门金沙国际 75

 

4.创制和布署一个职务序列


职分系列是按某种顺序依次执行的一文山会海步骤。
它们是结构化的,并且可以基于特定条件逻辑确定某一手续是还是不是推行。
由此,任务系列提供了有些与众分裂的服务布置:在效劳更新从前或以后执行一些执行额外的手续。当新功能更新可用来Windows
10时,揭橥的ISO也会更新。
通过职务种类,大家可以动用此更新的ISO将成效更新应用于客户端,那与历史观的当庭升级过程是一模一样的。对于运行Windows
10 Enterprise LTSB的设备,那是对其开展效用更新的绝无仅有方式。

澳门金沙国际 76

在开创义务连串的界面,选拔Upgrade an
operating system from upgrade package。

澳门金沙国际 77

澳门金沙国际 78

挑选升级包。

澳门金沙国际 79

选拔软件更新配备的标准化。

澳门金沙国际 80

一路next。

澳门金沙国际 81

创造职务种类后,我们不可能不将其安顿到集结中。

澳门金沙国际 82

这一步骤过去使集体的环境瘫痪,因为它们竟然地强求所有集团必须安装操作系统任务种类。
因而,在System Center Configuration Manager
1511及更高版本中,若是将此外义务体系或任何危害布署给站点系统按,会产出一个警告框。此警告目的在于最大限度地减弱不当地将职务种类陈设到不科学的装置。

澳门金沙国际 83

澳门金沙国际 84

澳门金沙国际 85

咱俩以14天为例,在活动安装前,大家讲给用户14天的时日来自行运行职务种类。

澳门金沙国际 86

对于用户体验做更加多的的配置。

澳门金沙国际 87

澳门金沙国际 88

 

4. 配置GPOs


使用WSUS管理使用Windows操作系统的计算机更新时,必须布署“Configure
Automatic Updates”和“Intranet Microsoft Update Service Location Group
Policy”。 那样做会使得WSUS管控和分发目的客户端的更新、补丁。

在域控服务器上开拓Server Manager
,点击Tools > Group Policy Management.

澳门金沙国际 89

展开Forest\Domains\Contoso.com,右键corp.contoso.com,点击Create
a GPO in this domain, and Link it here,为其命名。

澳门金沙国际 90

右键刚刚创立的GPO,
点击Edit,依据以下路径点击Windows Update:Computer
Configuration—>Policies—>Administrative Templates—>Windows
Components—>Windows Update。

澳门金沙国际 91

右键Configure Automatic Updates
设置,点击Edit,开启自动更新作用。在Options里面选用自动下载和提醒安装。

澳门金沙国际 92

右键Specify intranet Microsoft update
service location ,点击Edit,启用Specify intranet Microsoft update
service location。设置Set the intranet update service for detecting
updates 以及Set the intranet statistics server
的链接地址,所有更新都从该内网链接下载,而不是直接链接到公网上去。

澳门金沙国际 93

将此GPO对应到正确的电脑安全组中,在Group
Policy Management里面,拔取WSUS – Auto Updates and Intranet Update
Service Location ,点击Security Filtering,移除AUTHENTICATED
USERS,添加对应的组。

澳门金沙国际 94

4. 配置GPOs


行使WSUS管理使用Windows操作系统的微机更新时,必须配备“Configure
Automatic Updates”和“Intranet Microsoft Update Service Location Group
Policy”。 那样做会使得WSUS管控和分发指标客户端的翻新、补丁。

在域控服务器上开辟Server Manager
,点击Tools > Group Policy Management.

澳门金沙国际 95

展开Forest\Domains\Contoso.com,右键corp.contoso.com,点击Create
a GPO in this domain, and Link it here,为其命名。

澳门金沙国际 96

右键刚刚成立的GPO,
点击Edit,依据以下路径点击Windows Update:Computer
Configuration—>Policies—>Administrative Templates—>Windows
Components—>Windows Update。

澳门金沙国际 97

右键Configure Automatic Updates
设置,点击Edit,开启自动更新作用。在Options里面选用自动下载和提示安装。

澳门金沙国际 98

右键Specify intranet Microsoft update
service location ,点击Edit,启用Specify intranet Microsoft update
service location。设置Set the intranet update service for detecting
updates 以及Set the intranet statistics server
的链接地址,所有更新都从该内网链接下载,而不是直接链接到公网上去。

澳门金沙国际 99

将此GPO对应到正确的处理器安全组中,在Group
Policy Management里面,选取WSUS – Auto Updates and Intranet Update
Service Location ,点击Security Filtering,移除AUTHENTICATED
USERS,添加对应的组。

澳门金沙国际 100

结语


System Center Configuration
Manager给予了我们管理Windows
10更新的最大控制权。我们创建并配备了不可或缺的GPO,将某些机器指定为CBB;创制适当的会见以管理计划环的Windows
10翻新;大家成立了服务安插,在布署环接收更新时自动将Windows10功力更新配备到相应的集结;最终,大家创造和布局升级包和职分种类将Windows
10效能更新配备到托管客户端。

结语


System Center Configuration
Manager给予了我们管理Windows
10更新的最大控制权。大家创造并安排了要求的GPO,将一些机器指定为CBB;创造适当的聚众以管理安插环的Windows
10更新;大家成立了服务安插,在安顿环接收更新时自动将Windows10职能更新配备到对应的汇集;最终,我们创制和配置升级包和天职连串将Windows
10效果更新配备到托管客户端。

 

 

5.验证政策的倾向


近来,大家早就为WIN10 Ring 1 Pilot
IT安插环配置了自动更新,服务革新地点和 Client-Side
Targeting,大家务必表明配置是不是成功。

澳门金沙国际 101

打开command prompt,输入GPUPDATE
/FORCE,等待更新完结。 输入gpresult /h results.html
/f,运行完结后输入results.html,在Edge中查阅结果。在results.html文件的Applied
GPOs部分,可以看看之前创造和安排的WSUS – Client Targeting – WIN10 Ring 1
Pilot IT GPO。

澳门金沙国际 102

澳门金沙国际 103

 

OK,到此我们就把施用WSUS管理Windows
10更新的话题说完了,希望对你持有帮助。

是因为我文笔有限,才疏学浅,文中若有不正之处,还请多多指教。

5.验证策略的可行性


今昔,我们已经为WIN10 Ring 1 Pilot
IT陈设环配置了自动更新,服务创新地点和 Client-Side
Targeting,我们无法不评释配置是不是成功。

澳门金沙国际 104

打开command prompt,输入GPUPDATE
/FORCE,等待更新完毕。 输入gpresult /h results.html
/f,运行已毕后输入results.html,在Edge中查看结果。在results.html文件的Applied
GPOs部分,可以见到此前创设和布局的WSUS – Client Targeting – WIN10 Ring 1
Pilot IT GPO。

澳门金沙国际 105

澳门金沙国际 106

 

OK,到此我们就把施用WSUS管理Windows
10更新的话题说完了,希望对你持有协理。

是因为我文笔有限,才疏学浅,文中若有不正之处,还请多多指教。

相关文章