Windows as a Service(3)——使用SCCM管理Windows10更新

Hello 小伙伴们,这是这个系列的第三篇文章,我已经和大家分享了有关于Windows 10服务分支以及利用WSUS管理更新的方式,有兴趣的小伙伴们可以参考下面的链接:

Windows as a Service(1)—— Windows 10服务分支

Windows as a Service(2)—— 使用WSUS管理Windows10更新

我们趁热打铁,继续聊聊使用SCCM管理Windows 10更新的方法。System Center Configuration Manager(SCCM)为我们环境中的Windows 10客户端管理和更新提供了一种简单的机制,给予了我们管理Windows 10更新的最大控制权。要管理Windows 10功能更新,System Center Configuration Manager 1511及更高版本包含一项称为“服务计划”的附加服务功能。那具体怎么操作呢?这篇文档将从以下几步来分享:

  1. 创建一个GPO和目标客户端2

  2. 创建集合和其对应的服务计划

  3. 启用Client-Side Targeting

  4. 创建和部署一个任务序列

---------------------------------华丽的分割线-------------------------------------------

1.创建一个GPO和目标客户端2


在Group Policy Management Console中,展开Forest \ Domains \ Contoso.com,右键单击域名,然后单击Create a GPO in this domain, and Link it here,在新建GPO对话框中,命名新的GPO。

导航到Windows update里,选择Defer Windows Updates。

Windows as a Service(3)——使用SCCM管理Windows10更新

右键单击Select when Feature Updates are received,点击Edit编辑,启用该功能。在选项下的Select the branch readiness level for the future updates that you want to receive中,选择相应的服务分支,点击OK。

Windows as a Service(3)——使用SCCM管理Windows10更新

在Security Filtering中添加刚刚创建好的GPO。

Windows as a Service(3)——使用SCCM管理Windows10更新

至此,我们已经成功创建并部署了GPO,指定哪些机器应该位于CBB服务分支中。

2.创建集合和其对应的服务计划


打开SCCM,点击Assets and Compliance,点击Device collection,创建一个新的collection。

Tips:SCCM读取客户端的服务分支(0(CB),1(CBB)和2(LTSB)),并将该值存储在OSBranch属性中,我们将使用该属性创建基于服务分支的集合。

Windows as a Service(3)——使用SCCM管理Windows10更新Windows as a Service(3)——使用SCCM管理Windows10更新Windows as a Service(3)——使用SCCM管理Windows10更新

点击Next,在add rule那里点击Query rule,进行命名,点击Edit Query Statement进行规则编辑。

Windows as a Service(3)——使用SCCM管理Windows10更新Windows as a Service(3)——使用SCCM管理Windows10更新

在条件选项卡上,单击新建图标Windows as a Service(3)——使用SCCM管理Windows10更新。在选择属性对话框中,从属性类列表中选择系统资源,因为我们创建的是一个CB的集合,所以Value写0。

Windows as a Service(3)——使用SCCM管理Windows10更新

在条件选项卡上,继续单击新建图标,创建额外的条件。

Windows as a Service(3)——使用SCCM管理Windows10更新

创建完所有条件后,看到的页面如下:

Windows as a Service(3)——使用SCCM管理Windows10更新

点击Summary后查看站点信息,点击next完成创建。我们就成功创建了一个集合,其中包含CB服务分支中的所有托管的Windows 10客户端。由于可用于CB和CBB的功能更新时间不同,因此我们可以根据客户所在的服务分支来设置服务计划。

在SCCM中,点击Software Library,按照下图的路径,进入Servicing Plan,创建一个新的服务计划。

Windows as a Service(3)——使用SCCM管理Windows10更新

选择服务计划对应的目标集合。

Windows as a Service(3)——使用SCCM管理Windows10更新

进行服务更新时间的配置。

Windows as a Service(3)——使用SCCM管理Windows10更新Windows as a Service(3)——使用SCCM管理Windows10更新

在“部署计划”页面上,单击“下一步”保留默认设置(立即进行更新,并要求在7天期限内安装)。

Windows as a Service(3)——使用SCCM管理Windows10更新

提示:这样的配置,效果是当配置的截止日期到达,将强制软件更新和系统重启,重启的设备必须是工作站的设备。

创建部署包,指定部署包的来源路径。

Windows as a Service(3)——使用SCCM管理Windows10更新

在分发节点页面上,单击添加 - >分发点,选择相应的域名作为分发点,然后单击确定。

Windows as a Service(3)——使用SCCM管理Windows10更新

点击总结查看配置。

Windows as a Service(3)——使用SCCM管理Windows10更新

我们现在已经为WIN10 Ring 2 Pilot Business用户部署环创建了一个服务计划。 默认情况下,每次软件更新时都会遵循此规则,我们可以通过编辑Evaluation Schedule来修改此计划。

Windows as a Service(3)——使用SCCM管理Windows10更新

3.启用Client-Side Targeting


一般情况下,组策略设置会广泛部署到多台计算机上。与这些设置不同,Client-Side Targeting允许管理员将特定安全组中的计算机自动添加到WSUS管理控制台中的某个特殊的计算机组中。

创建方式类似第5步,创建一个新的GPO。

Windows as a Service(3)——使用SCCM管理Windows10更新

依次选择Computer Configuration—>Policies—>Administrative Templates—>Windows Components—>Windows Update。

Windows as a Service(3)——使用SCCM管理Windows10更新

右键点击编辑Enable client-side targeting,启用该功能。在Target group name for this computer中输入相关的GPO Name。这是WSUS中将要添加这些计算机的部署环的名称。

Windows as a Service(3)——使用SCCM管理Windows10更新

在Group Policy Management里面,选择WSUS – Client Targeting - WIN10 Ring 1 Pilot IT ,点击Security Filtering,移除AUTHENTICATED USERS,添加WIN10 Ring 1 Pilot IT组。

Windows as a Service(3)——使用SCCM管理Windows10更新

4.创建和部署一个任务序列


任务序列是按某种顺序依次执行的一系列步骤。 它们是结构化的,并且能够根据特定条件逻辑确定某一步骤是否执行。 因此,任务序列提供了一些独特的服务计划:在功能更新之前或之后执行一些执行额外的步骤。当新功能更新可用于Windows 10时,发布的ISO也会更新。 通过任务序列,我们可以使用此更新的ISO将功能更新应用于客户端,这与传统的就地升级过程是相同的。对于运行Windows 10 Enterprise LTSB的设备,这是对其进行功能更新的唯一方法。

Windows as a Service(3)——使用SCCM管理Windows10更新

在创建任务序列的界面,选择Upgrade an operating system from upgrade package。

Windows as a Service(3)——使用SCCM管理Windows10更新Windows as a Service(3)——使用SCCM管理Windows10更新

选择升级包。

Windows as a Service(3)——使用SCCM管理Windows10更新

选择软件更新部署的条件。

Windows as a Service(3)——使用SCCM管理Windows10更新

一路next。

Windows as a Service(3)——使用SCCM管理Windows10更新

创建任务序列后,我们必须将其部署到集合中。

Windows as a Service(3)——使用SCCM管理Windows10更新

这一步骤过去使组织的环境瘫痪,因为它们意外地迫使整个组织必须安装操作系统任务序列。 因此,在System Center Configuration Manager 1511及更高版本中,如果将任何任务序列或其他高风险部署给站点系统按,会出现一个警告框。此警告旨在最大限度地减少错误地将任务序列部署到不正确的设备。

Windows as a Service(3)——使用SCCM管理Windows10更新Windows as a Service(3)——使用SCCM管理Windows10更新Windows as a Service(3)——使用SCCM管理Windows10更新

我们以14天为例,在自动安装前,我们讲给用户14天的时间来自行运行任务序列。

Windows as a Service(3)——使用SCCM管理Windows10更新

对于用户体验做更多的的配置。

Windows as a Service(3)——使用SCCM管理Windows10更新Windows as a Service(3)——使用SCCM管理Windows10更新

结语


System Center Configuration Manager给予了我们管理Windows 10更新的最大控制权。我们创建并部署了必要的GPO,将某些机器指定为CBB;创建适当的集合以管理部署环的Windows 10更新;我们创建了服务计划,在部署环接收更新时自动将Windows10功能更新部署到相应的集合;最后,我们创建和部署升级包和任务序列将Windows 10功能更新部署到托管客户端。