Windows as a Service（3）——使用SCCM管理Windows10更新

Hello 小伙伴們，這是這個系列的第三篇文章，我已經和大家分享了有關於Windows 10服務分支以及利用WSUS管理更新的方式，有興趣的小伙伴們可以參考下麵的鏈接：

Windows as a Service（1）—— Windows 10服務分支

Windows as a Service（2）—— 使用WSUS管理Windows10更新

我們趁熱打鐵，繼續聊聊使用SCCM管理Windows 10更新的方法。System Center Configuration Manager（SCCM）為我們環境中的Windows 10客戶端管理和更新提供了一種簡單的機制，給予了我們管理Windows 10更新的最大控制權。要管理Windows 10功能更新，System Center Configuration Manager 1511及更高版本包含一項稱為“服務計劃”的附加服務功能。那具體怎麼操作呢？這篇文檔將從以下幾步來分享：

1. 創建一個GPO和目標客戶端2

2. 創建集合和其對應的服務計劃

3. 啟用Client-Side Targeting

4. 創建和部署一個任務序列

---------------------------------華麗的分割線-------------------------------------------

1.創建一個GPO和目標客戶端2

在Group Policy Management Console中，展開Forest \ Domains \ Contoso.com，右鍵單擊功能變數名稱，然後單擊Create a GPO in this domain, and Link it here，在新建GPO對話框中，命名新的GPO。

導航到Windows update里，選擇Defer Windows Updates。

右鍵單擊Select when Feature Updates are received，點擊Edit編輯，啟用該功能。在選項下的Select the branch readiness level for the future updates that you want to receive中，選擇相應的服務分支，點擊OK。

在Security Filtering中添加剛剛創建好的GPO。

至此，我們已經成功創建並部署了GPO，指定哪些機器應該位於CBB服務分支中。

2.創建集合和其對應的服務計劃

打開SCCM，點擊Assets and Compliance，點擊Device collection，創建一個新的collection。

Tips：SCCM讀取客戶端的服務分支（0（CB），1（CBB）和2（LTSB）），並將該值存儲在OSBranch屬性中，我們將使用該屬性創建基於服務分支的集合。

點擊Next，在add rule那裡點擊Query rule，進行命名，點擊Edit Query Statement進行規則編輯。

在條件選項卡上，單擊新建圖標。在選擇屬性對話框中，從屬性類列表中選擇系統資源，因為我們創建的是一個CB的集合，所以Value寫0。

在條件選項卡上，繼續單擊新建圖標，創建額外的條件。

創建完所有條件後，看到的頁面如下：

點擊Summary後查看站點信息，點擊next完成創建。我們就成功創建了一個集合，其中包含CB服務分支中的所有托管的Windows 10客戶端。由於可用於CB和CBB的功能更新時間不同，因此我們可以根據客戶所在的服務分支來設置服務計劃。

在SCCM中，點擊Software Library，按照下圖的路徑，進入Servicing Plan，創建一個新的服務計劃。

選擇服務計劃對應的目標集合。

進行服務更新時間的配置。

在“部署計劃”頁面上，單擊“下一步”保留預設設置（立即進行更新，並要求在7天期限內安裝）。

提示：這樣的配置，效果是當配置的截止日期到達，將強制軟體更新和系統重啟，重啟的設備必須是工作站的設備。

創建部署包，指定部署包的來源路徑。

在分發節點頁面上，單擊添加 - >分發點，選擇相應的功能變數名稱作為分發點，然後單擊確定。

點擊總結查看配置。

我們現在已經為WIN10 Ring 2 Pilot Business用戶部署環創建了一個服務計劃。 預設情況下，每次軟體更新時都會遵循此規則，我們可以通過編輯Evaluation Schedule來修改此計劃。

3.啟用Client-Side Targeting

一般情況下，組策略設置會廣泛部署到多台電腦上。與這些設置不同，Client-Side Targeting允許管理員將特定安全組中的電腦自動添加到WSUS管理控制臺中的某個特殊的電腦組中。

創建方式類似第5步，創建一個新的GPO。

依次選擇Computer Configuration—>Policies—>Administrative Templates—>Windows Components—>Windows Update。

右鍵點擊編輯Enable client-side targeting，啟用該功能。在Target group name for this computer中輸入相關的GPO Name。這是WSUS中將要添加這些電腦的部署環的名稱。

在Group Policy Management裡面，選擇WSUS – Client Targeting - WIN10 Ring 1 Pilot IT ，點擊Security Filtering，移除AUTHENTICATED USERS，添加WIN10 Ring 1 Pilot IT組。

4.創建和部署一個任務序列

任務序列是按某種順序依次執行的一系列步驟。 它們是結構化的，並且能夠根據特定條件邏輯確定某一步驟是否執行。 因此，任務序列提供了一些獨特的服務計劃：在功能更新之前或之後執行一些執行額外的步驟。當新功能更新可用於Windows 10時，發佈的ISO也會更新。 通過任務序列，我們可以使用此更新的ISO將功能更新應用於客戶端，這與傳統的就地升級過程是相同的。對於運行Windows 10 Enterprise LTSB的設備，這是對其進行功能更新的唯一方法。

在創建任務序列的界面，選擇Upgrade an operating system from upgrade package。

選擇升級包。

選擇軟體更新部署的條件。

一路next。

創建任務序列後，我們必須將其部署到集合中。

這一步驟過去使組織的環境癱瘓，因為它們意外地迫使整個組織必須安裝操作系統任務序列。 因此，在System Center Configuration Manager 1511及更高版本中，如果將任何任務序列或其他高風險部署給站點系統按，會出現一個警告框。此警告旨在最大限度地減少錯誤地將任務序列部署到不正確的設備。

我們以14天為例，在自動安裝前，我們講給用戶14天的時間來自行運行任務序列。

對於用戶體驗做更多的的配置。

結語

System Center Configuration Manager給予了我們管理Windows 10更新的最大控制權。我們創建並部署了必要的GPO，將某些機器指定為CBB；創建適當的集合以管理部署環的Windows 10更新；我們創建了服務計劃，在部署環接收更新時自動將Windows10功能更新部署到相應的集合；最後，我們創建和部署升級包和任務序列將Windows 10功能更新部署到托管客戶端。