Windows as a Service（3）——使用SCCM管理Windows10更新

System Center Configuration Manager（SCCM）為我們環(huán)境中的Windows 10客戶端管理和更新提供了一種簡單的機(jī)制，給予了我們管理Windows 10更新的最大控制權(quán)。要管理Windows 10功能更新，System Center ConfigurationManager 1511及更高版本包含一項(xiàng)稱為“服務(wù)計(jì)劃”的附加服務(wù)功能。

01創(chuàng)建一個GPO和目標(biāo)客戶端

2在Group Policy Management Console中，展開Forest Domains Contoso.com，右鍵單擊域名，然后單擊Create a GPO in this domain, and Link it here，在新建GPO對話框中，命名新的GPO。

導(dǎo)航到Windows update里，選擇Defer Windows Updates。

右鍵單擊Select when Feature Updates are received，點(diǎn)擊Edit編輯，啟用該功能。在選項(xiàng)下的Select the branch readiness levelfor the future updates that you want to receive中，選擇相應(yīng)的服務(wù)分支，點(diǎn)擊OK。

在Security Filtering中添加剛剛創(chuàng)建好的GPO。

至此，我們已經(jīng)成功創(chuàng)建并部署了GPO，指定哪些機(jī)器應(yīng)該位于CBB服務(wù)分支中。

02創(chuàng)建集合和其對應(yīng)的服務(wù)計(jì)劃打開SCCM，點(diǎn)擊Assets and Compliance，點(diǎn)擊Device collection，創(chuàng)建一個新的collection。

Tips：SCCM讀取客戶端的服務(wù)分支（0（CB），1（CBB）和2（LTSB）），并將該值存儲在OSBranch屬性中，我們將使用該屬性創(chuàng)建基于服務(wù)分支的集合。

點(diǎn)擊Next，在add rule那里點(diǎn)擊Query rule，進(jìn)行命名，點(diǎn)擊Edit Query Statement進(jìn)行規(guī)則編輯。
在條件選項(xiàng)卡上，單擊新建圖標(biāo)。在選擇屬性對話框中，從屬性類列表中選擇系統(tǒng)資源，因?yàn)槲覀儎?chuàng)建的是一個CB的集合，所以Value寫0。

在條件選項(xiàng)卡上，繼續(xù)單擊新建圖標(biāo)，創(chuàng)建額外的條件。

創(chuàng)建完所有條件后，看到的頁面如下：

點(diǎn)擊Summary后查看站點(diǎn)信息，點(diǎn)擊next完成創(chuàng)建。我們就成功創(chuàng)建了一個集合，其中包含CB服務(wù)分支中的所有托管的Windows 10客戶端。由于可用于CB和CBB的功能更新時間不同，因此我們可以根據(jù)客戶所在的服務(wù)分支來設(shè)置服務(wù)計(jì)劃。

在SCCM中，點(diǎn)擊Software Library，按照下圖的路徑，進(jìn)入Servicing Plan，創(chuàng)建一個新的服務(wù)計(jì)劃。

選擇服務(wù)計(jì)劃對應(yīng)的目標(biāo)集合。

進(jìn)行服務(wù)更新時間的配置。

在“部署計(jì)劃”頁面上，單擊“下一步”保留默認(rèn)設(shè)置（立即進(jìn)行更新，并要求在7天期限內(nèi)安裝）。

提示：這樣的配置，效果是當(dāng)配置的截止日期到達(dá)，將強(qiáng)制軟件更新和系統(tǒng)重啟，重啟的設(shè)備必須是工作站的設(shè)備。
創(chuàng)建部署包，指定部署包的來源路徑。

在分發(fā)節(jié)點(diǎn)頁面上，單擊添加 - >分發(fā)點(diǎn)，選擇相應(yīng)的域名作為分發(fā)點(diǎn)，然后單擊確定。

點(diǎn)擊總結(jié)查看配置。

我們現(xiàn)在已經(jīng)為WIN10Ring 2 Pilot Business用戶部署環(huán)創(chuàng)建了一個服務(wù)計(jì)劃。 默認(rèn)情況下，每次軟件更新時都會遵循此規(guī)則，我們可以通過編輯Evaluation Schedule來修改此計(jì)劃。

03啟用Client-Side Targeting一般情況下，組策略設(shè)置會廣泛部署到多臺計(jì)算機(jī)上。與這些設(shè)置不同，Client-Side Targeting允許管理員將特定安全組中的計(jì)算機(jī)自動添加到WSUS管理控制臺中的某個特殊的計(jì)算機(jī)組中。

創(chuàng)建方式類似第5步，創(chuàng)建一個新的GPO。

依次選擇ComputerConfiguration—>Policies—>AdministrativeTemplates—>Windows Components—>Windows Update。

右鍵點(diǎn)擊編輯Enable client-sidetargeting，啟用該功能。在Target group name for this computer中輸入相關(guān)的GPOName。這是WSUS中將要添加這些計(jì)算機(jī)的部署環(huán)的名稱。

在Group PolicyManagement里面，選擇WSUS –Client Targeting - WIN10 Ring 1 Pilot IT，點(diǎn)擊Security Filtering，移除AUTHENTICATED USERS，添加WIN10 Ring 1 Pilot IT組。

04創(chuàng)建和部署一個任務(wù)序列任務(wù)序列是按某種順序依次執(zhí)行的一系列步驟。它們是結(jié)構(gòu)化的，并且能夠根據(jù)特定條件邏輯確定某一步驟是否執(zhí)行。 因此，任務(wù)序列提供了一些獨(dú)特的服務(wù)計(jì)劃：在功能更新之前或之后執(zhí)行一些執(zhí)行額外的步驟。當(dāng)新功能更新可用于Windows 10時，發(fā)布的ISO也會更新。

通過任務(wù)序列，我們可以使用此更新的ISO將功能更新應(yīng)用于客戶端，這與傳統(tǒng)的就地升級過程是相同的。對于運(yùn)行Windows10 Enterprise LTSB的設(shè)備，這是對其進(jìn)行功能更新的唯一方法。

在創(chuàng)建任務(wù)序列的界面，選擇Upgrade an operating system fromupgrade package。

選擇升級包。

選擇軟件更新部署的條件。

一路next。

創(chuàng)建任務(wù)序列后，我們必須將其部署到集合中。

這一步驟過去使組織的環(huán)境癱瘓，因?yàn)樗鼈円馔獾仄仁拐麄€組織必須安裝操作系統(tǒng)任務(wù)序列。因此，在System Center Configuration Manager 1511及更高版本中，如果將任何任務(wù)序列或其他高風(fēng)險(xiǎn)部署給站點(diǎn)系統(tǒng)按，會出現(xiàn)一個警告框。此警告旨在最大限度地減少錯誤地將任務(wù)序列部署到不正確的設(shè)備。

我們以14天為例，在自動安裝前，我們講給用戶14天的時間來自行運(yùn)行任務(wù)序列。

對于用戶體驗(yàn)做更多的的配置。

System Center Configuration Manager給予了我們管理Windows 10更新的最大控制權(quán)。我們創(chuàng)建并部署了必要的GPO，將某些機(jī)器指定為CBB；創(chuàng)建適當(dāng)?shù)募弦怨芾聿渴瓠h(huán)的Windows 10更新；我們創(chuàng)建了服務(wù)計(jì)劃，在部署環(huán)接收更新時自動將Windows10功能更新部署到相應(yīng)的集合；最后，我們創(chuàng)建和部署升級包和任務(wù)序列將Windows 10功能更新部署到托管客戶端。