Windows as a Service（2）—— 使用WSUS管理Windows10更新

前言

在上一篇Windows as a Service（1）—— Windows 10服務分支中，我和大家分享了Windows 10三個服務分支CB/CBB/LTSB的概念及不同，從這篇文檔開始，我將會為大家分別講述使用不同的方法管理Windows 10更新的步驟。Windows Server Update Services (WSUS)是微軟提供給客戶免費將Windows10更新部署至運行了Windows 10操作系統的電腦上的方案。這一篇我們將以WSUS為主題，向大家介紹WSUS管理Windows 10更新的方法，我將從如下幾個步驟展開介紹：

1. 創建電腦組
2. 創建自動批准規則
3. Client-Side Targeting設置
4. 配置GPOs
5. 驗證策略的可行性

1.創建電腦組

我們可以使用“電腦組”來指定需要在特定時間進行質量和功能更新的電腦。這些組由WSUS控制，我們可以使用WSUS管理控制台手動添加組，也可以通過組策略自動填充組。無論選擇哪種方法，都必須先在WSUS管理控制臺中創建組。

在域控伺服器DC上，點擊Tools—>Windows Server Update Services。

擴展DC，點擊Computers—>All Compters—>右鍵Add Computer Group—>為組命名。

2.創建自動批准規則

在WSUS管理控制臺中，通過創建自動批准規則，可以自動批准和設置特定機器的特定更新時間，與管理員每個月手動審批質量更新或每年多次的更新功能相比，這種方法的耗時更少。

在域控伺服器DC上，點擊WSUS管理控制台，點擊DC—>Option—> Automatic Approvals。

在Update Rules 標簽下點擊New Rule新建一個規則，根據要求選擇相關性質。本示例選擇了三種：When an update is in a specific classification, When an update is in a specific product以及Set a deadline for the approval。 在Step2更新各個性質的條件。

Tips： WSUS預設忽略CB或CBB現有的每月，每周或每天的延期設置。也就是說，如果我們正在為WSUS管理的電腦使用Windows Update for Business， 一旦WSUS批准更新，更新將安裝在電腦上，不會按照組策略的配置。

3.Client-Side Targeting 設置

使用組策略來指定目標客戶端，並根據Active Directory安全組自動將其添加到相應的WSUS部署環中，而避免手動操作，這個過程被稱為client-side targeting。在啟用client-side targeting之前，必須將WSUS配置為接受組策略，而不是預設的手動分配方法。

註意：Windows 10中的部署環(Deployment Ring)與大多數組織為Windows系統主要版本升級而構建的部署組（Deployment Group）相似，它們只是將具有相同更新時間的機器劃分到一起。使用Windows 10，我們可以使用不同的工具構建部署環。

Tips：這個選項必須二選一，當我們啟用WSUS以使用組策略進行組分配時，我們不能再通過WSUS管理控制台手動添加電腦；反之亦然。

4. 配置GPOs

使用WSUS管理使用Windows操作系統的電腦更新時，必須配置“Configure Automatic Updates”和“Intranet Microsoft Update Service Location Group Policy”。 這樣做會使得WSUS管控和分發目標客戶端的更新、補丁。

在域控伺服器上打開Server Manager ,點擊Tools > Group Policy Management.

展開Forest\Domains\Contoso.com，右鍵corp.contoso.com，點擊Create a GPO in this domain, and Link it here，為其命名。

右鍵剛剛創建的GPO, 點擊Edit，按照以下路徑點擊Windows Update：Computer Configuration—>Policies—>Administrative Templates—>Windows Components—>Windows Update。

右鍵Configure Automatic Updates 設置，點擊Edit，開啟自動更新功能。在Options裡面選擇自動下載和提示安裝。

右鍵Specify intranet Microsoft update service location ，點擊Edit，啟用Specify intranet Microsoft update service location。設置Set the intranet update service for detecting updates 以及Set the intranet statistics server 的鏈接地址，所有更新都從該內網鏈接下載，而不是直接鏈接到公網上去。

將此GPO對應到正確的電腦安全組中，在Group Policy Management裡面，選擇WSUS – Auto Updates and Intranet Update Service Location ，點擊Security Filtering，移除AUTHENTICATED USERS,添加對應的組。

5.驗證策略的可行性

現在，我們已經為WIN10 Ring 1 Pilot IT部署環配置了自動更新，服務更新位置和 Client-Side Targeting，我們必須驗證配置是否成功。

打開command prompt，輸入GPUPDATE /FORCE，等待更新完成。 輸入gpresult /h results.html /f，運行完成後輸入results.html，在Edge中查看結果。在results.html文件的Applied GPOs部分，可以看到之前創建和部署的WSUS – Client Targeting - WIN10 Ring 1 Pilot IT GPO。

OK,到此我們就把使用WSUS管理Windows 10更新的話題說完了，希望對你有所幫助。

由於本人文筆有限，才疏學淺，文中若有不正之處，還請多多指教。