Windows as a Service（2）—— 使用WSUS管理Windows10更新

前言

在上一篇Windows as a Service（1）—— Windows 10服务分支中，我和大家分享了Windows 10三个服务分支CB/CBB/LTSB的概念及不同，从这篇文档开始，我将会为大家分别讲述使用不同的方法管理Windows 10更新的步骤。Windows Server Update Services (WSUS)是微软提供给客户免费将Windows10更新部署至运行了Windows 10操作系统的计算机上的方案。这一篇我们将以WSUS为主题，向大家介绍WSUS管理Windows 10更新的方法，我将从如下几个步骤展开介绍：

创建计算机组
创建自动批准规则
Client-Side Targeting设置
配置GPOs
验证策略的可行性

1.创建计算机组

我们可以使用“计算机组”来指定需要在特定时间进行质量和功能更新的计算机。这些组由WSUS控制，我们可以使用WSUS管理控制台手动添加组，也可以通过组策略自动填充组。无论选择哪种方法，都必须先在WSUS管理控制台中创建组。

在域控服务器DC上，点击Tools—>Windows Server Update Services。

扩展DC，点击Computers—>All Compters—>右键Add Computer Group—>为组命名。

2.创建自动批准规则

在WSUS管理控制台中，通过创建自动批准规则，可以自动批准和设置特定机器的特定更新时间，与管理员每个月手动审批质量更新或每年多次的更新功能相比，这种方法的耗时更少。

在域控服务器DC上，点击WSUS管理控制台，点击DC—>Option—> Automatic Approvals。

在Update Rules 标签下点击New Rule新建一个规则，根据要求选择相关性质。本示例选择了三种：When an update is in a specific classification, When an update is in a specific product以及Set a deadline for the approval。在Step2更新各个性质的条件。

Tips： WSUS默认忽略CB或CBB现有的每月，每周或每天的延期设置。也就是说，如果我们正在为WSUS管理的计算机使用Windows Update for Business，一旦WSUS批准更新，更新将安装在计算机上，不会按照组策略的配置。

3.Client-Side Targeting 设置

使用组策略来指定目标客户端，并根据Active Directory安全组自动将其添加到相应的WSUS部署环中，而避免手动操作，这个过程被称为client-side targeting。在启用client-side targeting之前，必须将WSUS配置为接受组策略，而不是默认的手动分配方法。

注意：Windows 10中的部署环(Deployment Ring)与大多数组织为Windows系统主要版本升级而构建的部署组（Deployment Group）相似，它们只是将具有相同更新时间的机器划分到一起。使用Windows 10，我们可以使用不同的工具构建部署环。

Tips：这个选项必须二选一，当我们启用WSUS以使用组策略进行组分配时，我们不能再通过WSUS管理控制台手动添加计算机；反之亦然。

4. 配置GPOs

使用WSUS管理使用Windows操作系统的计算机更新时，必须配置“Configure Automatic Updates”和“Intranet Microsoft Update Service Location Group Policy”。这样做会使得WSUS管控和分发目标客户端的更新、补丁。

在域控服务器上打开Server Manager ,点击Tools > Group Policy Management.

展开Forest\Domains\Contoso.com，右键corp.contoso.com，点击Create a GPO in this domain, and Link it here，为其命名。

右键刚刚创建的GPO, 点击Edit，按照以下路径点击Windows Update：Computer Configuration—>Policies—>Administrative Templates—>Windows Components—>Windows Update。

右键Configure Automatic Updates 设置，点击Edit，开启自动更新功能。在Options里面选择自动下载和提示安装。

右键Specify intranet Microsoft update service location ，点击Edit，启用Specify intranet Microsoft update service location。设置Set the intranet update service for detecting updates 以及Set the intranet statistics server 的链接地址，所有更新都从该内网链接下载，而不是直接链接到公网上去。

将此GPO对应到正确的计算机安全组中，在Group Policy Management里面，选择WSUS – Auto Updates and Intranet Update Service Location ，点击Security Filtering，移除AUTHENTICATED USERS,添加对应的组。

5.验证策略的可行性

现在，我们已经为WIN10 Ring 1 Pilot IT部署环配置了自动更新，服务更新位置和 Client-Side Targeting，我们必须验证配置是否成功。

打开command prompt，输入GPUPDATE /FORCE，等待更新完成。输入gpresult /h results.html /f，运行完成后输入results.html，在Edge中查看结果。在results.html文件的Applied GPOs部分，可以看到之前创建和部署的WSUS – Client Targeting - WIN10 Ring 1 Pilot IT GPO。

OK,到此我们就把使用WSUS管理Windows 10更新的话题说完了，希望对你有所帮助。

由于本人文笔有限，才疏学浅，文中若有不正之处，还请多多指教。