Windows as a Service（2）—— 使用WSUS管理Windows10更新

時間 2019-11-07

標籤 windows service 使用 wsus 管理 windows10 更新欄目 Windows 简体版

原文原文鏈接

前言

在上一篇Windows as a Service（1）—— Windows 10服務分支中，我和你們分享了Windows 10三個服務分支CB/CBB/LTSB的概念及不一樣，從這篇文檔開始，我將會爲你們分別講述使用不一樣的方法管理Windows 10更新的步驟。Windows Server Update Services (WSUS)是微軟提供給客戶免費將Windows10更新部署至運行了Windows 10操做系統的計算機上的方案。這一篇咱們將以WSUS爲主題，向你們介紹WSUS管理Windows 10更新的方法，我將從以下幾個步驟展開介紹：

建立計算機組
建立自動批准規則
Client-Side Targeting設置
配置GPOs
驗證策略的可行性

1.建立計算機組

咱們可使用「計算機組」來指定須要在特定時間進行質量和功能更新的計算機。這些組由WSUS控制，咱們可使用WSUS管理控制檯手動添加組，也能夠經過組策略自動填充組。不管選擇哪一種方法，都必須先在WSUS管理控制檯中建立組。html

在域控服務器DC上，點擊Tools—>Windows Server Update Services。數組

擴展DC，點擊Computers—>All Compters—>右鍵Add Computer Group—>爲組命名。安全

2.建立自動批准規則

在WSUS管理控制檯中，經過建立自動批准規則，能夠自動批准和設置特定機器的特定更新時間，與管理員每月手動審批質量更新或每一年屢次的更新功能相比，這種方法的耗時更少。服務器

在域控服務器DC上，點擊WSUS管理控制檯，點擊DC—>Option—> Automatic Approvals。app

在Update Rules 標籤下點擊New Rule新建一個規則，根據要求選擇相關性質。本示例選擇了三種：When an update is in a specific classification, When an update is in a specific product以及Set a deadline for the approval。在Step2更新各個性質的條件。dom

Tips： WSUS默認忽略CB或CBB現有的每個月，每週或天天的延期設置。也就是說，若是咱們正在爲WSUS管理的計算機使用Windows Update for Business，一旦WSUS批准更新，更新將安裝在計算機上，不會按照組策略的配置。ide

3.Client-Side Targeting 設置

使用組策略來指定目標客戶端，並根據Active Directory安全組自動將其添加到相應的WSUS部署環中，而避免手動操做，這個過程被稱爲client-side targeting。在啓用client-side targeting以前，必須將WSUS配置爲接受組策略，而不是默認的手動分配方法。工具

注意：Windows 10中的部署環(Deployment Ring)與大多數組織爲Windows系統主要版本升級而構建的部署組（Deployment Group）類似，它們只是將具備相同更新時間的機器劃分到一塊兒。使用Windows 10，咱們可使用不一樣的工具構建部署環。this

Tips：這個選項必須二選一，當咱們啓用WSUS以使用組策略進行組分配時，咱們不能再經過WSUS管理控制檯手動添加計算機；反之亦然。spa

4. 配置GPOs

使用WSUS管理使用Windows操做系統的計算機更新時，必須配置「Configure Automatic Updates」和「Intranet Microsoft Update Service Location Group Policy」。這樣作會使得WSUS管控和分發目標客戶端的更新、補丁。

在域控服務器上打開Server Manager ,點擊Tools > Group Policy Management.

展開Forest\Domains\Contoso.com，右鍵corp.contoso.com，點擊Create a GPO in this domain, and Link it here，爲其命名。

右鍵剛剛建立的GPO, 點擊Edit，按照如下路徑點擊Windows Update：Computer Configuration—>Policies—>Administrative Templates—>Windows Components—>Windows Update。

右鍵Configure Automatic Updates 設置，點擊Edit，開啓自動更新功能。在Options裏面選擇自動下載和提示安裝。

右鍵Specify intranet Microsoft update service location ，點擊Edit，啓用Specify intranet Microsoft update service location。設置Set the intranet update service for detecting updates 以及Set the intranet statistics server 的連接地址，全部更新都從該內網連接下載，而不是直接連接到公網上去。

將此GPO對應到正確的計算機安全組中，在Group Policy Management裏面，選擇WSUS – Auto Updates and Intranet Update Service Location ，點擊Security Filtering，移除AUTHENTICATED USERS,添加對應的組。

5.驗證策略的可行性

如今，咱們已經爲WIN10 Ring 1 Pilot IT部署環配置了自動更新，服務更新位置和 Client-Side Targeting，咱們必須驗證配置是否成功。

打開command prompt，輸入GPUPDATE /FORCE，等待更新完成。輸入gpresult /h results.html /f，運行完成後輸入results.html，在Edge中查看結果。在results.html文件的Applied GPOs部分，能夠看到以前建立和部署的WSUS – Client Targeting - WIN10 Ring 1 Pilot IT GPO。

OK,到此咱們就把使用WSUS管理Windows 10更新的話題說完了，但願對你有所幫助。

因爲本人文筆有限，才疏學淺，文中如有不正之處，還請多多指教。