本篇经验将和大家介绍使用WSUS管理Windows10更新,希望对大家的工作和学习有所帮助!
创建计算机组
1、我们可以使用“计算机组”来指定需要在特定时间进行质量和功能更新的计算机。这些组由WSUS控制,我们可以使用WSUS管理控制台手动添加组,也可以通过组策略自动填充组。无论选择哪种方法,都必须先在WSUS管理控制台中创建组。
2、在域控服务器DC上,点击Tools—>WindowsServerUpdateServices,如下图所示:
3、扩展DC,点击Computers—>AllCompters—>右键AddComputerGroup—>为组命名,如下图所示:
创建自动批准规则
1、在WSUS管理控制台中,通过创建自动批准规则,可以自动批准和设置特定机器的特定更新时间,与管理员每个月手动审批质量更新或每年多次的更新功能相比,这种方法的耗时更少。
2、在域控服务器DC上,点击WSUS管理控制台,点击DC—>Option—>AutomaticApprovals,如下图所示:
3、在UpdateRules标签下点击NewRule新建一个规则,根据要求选择相蔡龇呶挞关性质。本示例选择了三种:Whenanupdate惺绅寨瞀isinaspecificclassification,Whenanupdateisinaspecificproduct以及Setadeadlinefortheapproval。在Step2更新各个性质的条件,如下图所示:
4、WSUS默认忽略CB或CBB现有的每月,每周或每天的延期设置。也就是说,如果我们正在为WSUS管理的计算机使用WindowsUpdateforBusiness,一旦WSUS批准更新,更新将安装在计算机上,不会按照组策略的配置。
Client-SideTargeting设置
1、使用组策略来指定目标客户端,并根据ActiveDirectory安全组自动将其添加到相应的WSUS部署环中,而避免手动操作,这个过程被称为client-sidetargeting。在启用client-sidetargeting之前,必须将WSUS配置为接受组策略,而不是默认的手动分配方法,如下图所示:
2、注意:Windows10中的部署环(DeploymentRing)与大多数组织为Windows系统主要版本升级而构建的部署组(DeploymentGroup)相似,它们只是将具有相同更新时间的机器划分到一起。使用Windows10,我们可以使用不同的工具构建部署环。
3、这个选项必须二选一,当我们启用WSUS以使用组策略进行组分配时,我们不能再通过WSUS管理控制台手动添加计算机;反之亦然。
配置GPOs
1、使用WSUS管理使用Windows操作系统的计算机更新时,必须配置“ConfigureAutomaticUpdates”和“IntranetMicrosoftUpdateServiceLocationGroupPolicy”。这样做会使得WSUS管控和分发目标客户端的更新、补丁。
2、在域控服务器上打开ServerManager,点击Tools>GroupPolicyManagement,如下图所示:
3、展开Forest\Domains\Contoso.com,右键corp.contoso.com,点击CreateaGPOinthisdomain,andLinkithere,为其命名,如下图所示:
4、右键刚刚创建的GPO,点击Edit,按照以下路径点击WindowsUpdate:ComputerConfiguration—>Policies—>AdministrativeTemplates—>WindowsComponents—>WindowsUpdate,如下图所示:
5、右键ConfigureAutomaticUpdates设置,点击Edit,开启自动更新功能。在Options里面选择自动下载和提示安装,如下图所示:
6、右键SpecifyintranetMicrosoftupdate衡痕贤伎servicelocation,点击Edit,启用Speci熠硒勘唏fyintranetMicrosoftupdateservicelocation。设置Settheintranetupdateservicefordetectingupdates以及Settheintranetstatisticsserver的链接地址,所有更新都从该内网链接下载,而不是直接链接到公网上去,如下图所示:
7、将此GPO对应到正确的计算机安全组中,在GroupPolicyManage葡矩酉缸ment里面,选择WSUS–AutoUp颊俄岿髭datesandIntranetUpdateServiceLocation,点击SecurityFiltering,移除AUTHENTICATEDUSERS,添加对应的组,如下图所示:
验证策略的可行性
1、现在,我们已经为WIN10Ring1PilotIT部署环配置了自动更新,服务更新位置和Client-SideTargeting,我们必须验证配置是否成功,如下图所示:
2、打开commandprompt,输入G绯摺驼予PUPDATE/FORCE,等待更新完成。输入gpresult/hresults.html/f,运行完成后输入r髫潋啜缅esults.html,在Edge中查看结果。在results.html文件的AppliedGPOs部分,可以看到之前创建和部署的WSUS–ClientTargeting-WIN10Ring1PilotITGPO,如下图所示:
