Windows as a Service（3）——使用SCCM管理Windows10更新

標籤：規則   工作站   .com   ica   就地升級   使用者   作業系統   html   圖片   

Hello 小夥伴們，這是這個系列的第三篇文章，我已經和大家分享了有關於Windows 10維護分支以及利用WSUS管理更新的方式，有興趣的小夥伴們可以參考下面的連結：

Windows as a Service（1）—— Windows 10維護分支

Windows as a Service（2）—— 使用WSUS管理Windows10更新

我們趁熱打鐵，繼續聊聊使用SCCM管理Windows 10更新的方法。System Center Configuration Manager（SCCM）為我們環境中的Windows 10用戶端管理和更新提供了一種簡單的機制，給予了我們管理Windows 10更新的最大控制權。要管理Windows 10功能更新，System Center Configuration Manager 1511及更高版本包含一項稱為“服務方案”的附加服務功能。那具體怎麼操作呢？這篇文檔將從以下幾步來分享：

1. 建立一個GPO和勘探端2

2. 建立集合和其對應的服務方案

3. 啟用Client-Side Targeting

4. 建立和部署一個工作順序

---------------------------------華麗的分割線-------------------------------------------

 

1.建立一個GPO和勘探端2

在Group Policy Management Console中，展開Forest \ Domains \ Contoso.com，按右鍵網域名稱，然後單擊Create a GPO in this domain, and Link it here，在建立GPO對話方塊中，命名新的GPO。

導航到Windows update裡，選擇Defer Windows Updates。

按右鍵Select when Feature Updates are received，點擊Edit編輯，啟用該功能。在選項下的Select the branch readiness level for the future updates that you want to receive中，選擇相應的維護分支，點擊OK。

在Security Filtering中添加剛剛建立好的GPO。

至此，我們已經成功建立並部署了GPO，指定哪些機器應該位於CBB維護分支中。

 

2.建立集合和其對應的服務方案

開啟SCCM，點擊Assets and Compliance，點擊Device collection，建立一個新的collection。

Tips：SCCM讀取用戶端的維護分支（0（CB），1（CBB）和2（LTSB）），並將該值儲存在OSBranch屬性中，我們將使用該屬性建立基於維護分支的集合。

點擊Next，在add rule那裡點擊Query rule，進行命名，點擊Edit Query Statement進行規則編輯。

在條件選項卡上，單擊建立表徵圖。在選擇屬性對話方塊中，從屬性類列表中選擇系統資源，因為我們建立的是一個CB的集合，所以Value寫0。

在條件選項卡上，繼續單擊建立表徵圖，建立額外的條件。

建立完所有條件後，看到的頁面如下：

點擊Summary後查看網站資訊，點擊next完成建立。我們就成功建立了一個集合，其中包含CB維護分支中的所有託管的Windows 10用戶端。由於可用於CB和CBB的功能更新時間不同，因此我們可以根據客戶所在的維護分支來設定服務方案。

在SCCM中，點擊Software Library，按照的路徑，進入Servicing Plan，建立一個新的服務方案。

選擇服務方案對應的目的地組合。

進行服務更新時間的配置。

在“部署計劃”頁面上，單擊“下一步”保留預設設定（立即進行更新，並要求在7天期限內安裝）。

提示：這樣的配置，效果是當配置的到期日到達，將強制軟體更新和系統重啟，重啟的裝置必須是工作站的裝置。

建立部署套件，指定部署套件的來源路徑。

在分發節點頁面上，單擊添加 - >發佈點，選擇相應的網域名稱作為發佈點，然後單擊確定。

點擊總結查看配置。

我們現在已經為WIN10 Ring 2 Pilot Business使用者部署環建立了一個服務方案。 預設情況下，每次軟體更新時都會遵循此規則，我們可以通過編輯Evaluation Schedule來修改此計劃。

 

3.啟用Client-Side Targeting

一般情況下，組原則設定會廣泛部署到多台電腦上。與這些設定不同，Client-Side Targeting允許管理員將特定安全性群組中的電腦自動添加到WSUS管理主控台中的某個特殊的電腦群組中。

建立方式類似第5步，建立一個新的GPO。

依次選擇Computer Configuration—>Policies—>Administrative Templates—>Windows Components—>Windows Update。

右鍵點擊編輯Enable client-side targeting，啟用該功能。在Target group name for this computer中輸入相關的GPO Name。這是WSUS中將要添加這些電腦的部署環的名稱。

在Group Policy Management裡面，選擇WSUS – Client Targeting - WIN10 Ring 1 Pilot IT ，點擊Security Filtering，移除AUTHENTICATED USERS，添加WIN10 Ring 1 Pilot IT組。

 

4.建立和部署一個工作順序

工作順序是按某種順序依次執行的一系列步驟。 它們是結構化的，並且能夠根據特定條件邏輯確定某一步驟是否執行。 因此，工作順序提供了一些獨特的服務方案：在功能更新之前或之後執行一些執行額外的步驟。當新功能更新可用於Windows 10時，發布的ISO也會更新。 通過工作順序，我們可以使用此更新的ISO將功能更新應用於用戶端，這與傳統的就地升級過程是相同的。對於運行Windows 10 Enterprise LTSB的裝置，這是對其進行功能更新的唯一方法。

在建立工作順序的介面，選擇Upgrade an operating system from upgrade package。

選擇升級包。

選擇軟體更新部署的條件。

一路next。

建立工作順序後，我們必須將其部署到集合中。

這一步驟過去使組織的環境癱瘓，因為它們意外地迫使整個組織必須安裝作業系統工作順序。 因此，在System Center Configuration Manager 1511及更高版本中，如果將任何工作順序或其他高風險部署給站台系統按，會出現一個警告框。此警告旨在最大限度地減少錯誤地將工作順序部署到不正確的裝置。

我們以14天為例，在自動安裝前，我們講給使用者14天的時間來自行運行工作順序。

對於使用者體驗做更多的的配置。

 

結語

System Center Configuration Manager給予了我們管理Windows 10更新的最大控制權。我們建立並部署了必要的GPO，將某些機器指定為CBB；建立適當的集合以管理部署環的Windows 10更新；我們建立了服務方案，在部署環接收更新時自動將Windows10功能更新部署到相應的集合；最後，我們建立和部署升級包和工作順序將Windows 10功能更新部署到託管用戶端。

Windows as a Service（3）——使用SCCM管理Windows10更新