原标题:Windows as a Service(2)—— 使用WSUS管理Windows10更新
Windows Server Update Services (WSUS)是微软提供给客户免费将Windows10更新部署至运行了Windows 10操作系统的计算机上的方案。本篇文章讲向大家讲解使用WSUS管理Windows 10更新的方法。
01
创建计算机组
我们可以使用“计算机组”来指定需要在特定时间进行质量和功能更新的计算机。这些组由WSUS控制,我们可以使用WSUS管理控制台手动添加组,也可以通过组策略自动填充组。无论选择哪种方法,都必须先在WSUS管理控制台中创建组。
在域控服务器DC上,点击Tools—>Windows Server Update Services。
扩展DC,点击Computers—>All Compters—>右键Add Computer Group—>为组命名。
02
创建自动批准规则
在WSUS管理控制台中,通过创建自动批准规则,可以自动批准和设置特定机器的特定更新时间,与管理员每个月手动审批质量更新或每年多次的更新功能相比,这种方法的耗时更少。
在域控服务器DC上,点击WSUS管理控制台,点击DC—>Option—> Automatic Approvals。
在Update Rules标签下点击New Rule新建一个规则,根据要求选择相关性质。本示例选择了三种:Whenan update is in a specific classification, When an update is in a specific product以及Set a deadline for theapproval。 在Step2更新各个性质的条件。
Tips: WSUS默认忽略CB或CBB现有的每月,每周或每天的延期设置。也就是说,如果我们正在为WSUS管理的计算机使用Windows Update for Business,一旦WSUS批准更新,更新将安装在计算机上,不会按照组策略的配置。
03
Client-Side Targeting设置
使用组策略来指定目标客户端,并根据Active Directory安全组自动将其添加到相应的WSUS部署环中,而避免手动操作,这个过程被称为client-side targeting。在启用client-side targeting之前,必须将WSUS配置为接受组策略,而不是默认的手动分配方法。
注意:Windows 10中的部署环(Deployment Ring)与大多数组织为Windows系统主要版本升级而构建的部署组(Deployment Group)相似,它们只是将具有相同更新时间的机器划分到一起。使用Windows10,我们可以使用不同的工具构建部署环。
Tips:这个选项必须二选一,当我们启用WSUS以使用组策略进行组分配时,我们不能再通过WSUS管理控制台手动添加计算机;反之亦然。
04
配置GPOs
使用WSUS管理使用Windows操作系统的计算机更新时,必须配置“Configure AutomaticUpdates”和“Intranet Microsoft Update Service LocationGroup Policy”。 这样做会使得WSUS管控和分发目标客户端的更新、补丁。
在域控服务器上打开Server Manager ,点击Tools > Group Policy Management.
展开ForestDomainsContoso.com,右键corp.contoso.com,点击Create a GPO in this domain, andLink it here,为其命名。
右键刚刚创建的GPO, 点击Edit,按照以下路径点击WindowsUpdate:Computer Configuration—>Policies—>Administrative Templates—>Windows Components—>Windows Update。
右键Configure Automatic Updates 设置,点击Edit,开启自动更新功能。在Options里面选择自动下载和提示安装。
右键Specifyintranet Microsoft update service location,点击Edit,启用Specify intranet Microsoft update service location。设置Set the intranet update service for detecting updates以及Set theintranet statistics server的链接地址,所有更新都从该内网链接下载,而不是直接链接到公网上去。
将此GPO对应到正确的计算机安全组中,在Group Policy Management里面,选择WSUS – AutoUpdates and Intranet Update Service Location ,点击SecurityFiltering,移除AUTHENTICATED USERS,添加对应的组。
05
验证策略的可行性
现在,我们已经为WIN10 Ring 1 Pilot IT部署环配置了自动更新,服务更新位置和 Client-Side Targeting,我们必须验证配置是否成功。
打开command prompt,输入GPUPDATE /FORCE,等待更新完成。 输入gpresult /h results.html /f,运行完成后输入results.html,在Edge中查看结果。在results.html文件的Applied GPOs部分,可以看到之前创建和部署的WSUS – Client Targeting - WIN10 Ring 1 Pilot IT GPO。
责任编辑: