Windows as a Service（3）——使用SCCM管理Windows10更新

System Center Configuration Manager（SCCM）為我們環境中的Windows 10客戶端管理和更新提供了一種簡單的機制，給予了我們管理Windows 10更新的最大控制權。要管理Windows 10功能更新，System Center ConfigurationManager 1511及更高版本包含一項稱為“服務計劃”的附加服務功能。

01創建一個GPO和目標客戶端

2在Group Policy Management Console中，展開Forest Domains Contoso.com，右鍵單擊域名，然后單擊Create a GPO in this domain, and Link it here，在新建GPO對話框中，命名新的GPO。

導航到Windows update里，選擇Defer Windows Updates。

右鍵單擊Select when Feature Updates are received，點擊Edit編輯，啟用該功能。在選項下的Select the branch readiness levelfor the future updates that you want to receive中，選擇相應的服務分支，點擊OK。

在Security Filtering中添加剛剛創建好的GPO。

至此，我們已經成功創建并部署了GPO，指定哪些機器應該位于CBB服務分支中。

02創建集合和其對應的服務計劃打開SCCM，點擊Assets and Compliance，點擊Device collection，創建一個新的collection。

Tips：SCCM讀取客戶端的服務分支（0（CB），1（CBB）和2（LTSB）），并將該值存儲在OSBranch屬性中，我們將使用該屬性創建基于服務分支的集合。

點擊Next，在add rule那里點擊Query rule，進行命名，點擊Edit Query Statement進行規則編輯。
在條件選項卡上，單擊新建圖標。在選擇屬性對話框中，從屬性類列表中選擇系統資源，因為我們創建的是一個CB的集合，所以Value寫0。

在條件選項卡上，繼續單擊新建圖標，創建額外的條件。

創建完所有條件后，看到的頁面如下：

點擊Summary后查看站點信息，點擊next完成創建。我們就成功創建了一個集合，其中包含CB服務分支中的所有托管的Windows 10客戶端。由于可用于CB和CBB的功能更新時間不同，因此我們可以根據客戶所在的服務分支來設置服務計劃。

在SCCM中，點擊Software Library，按照下圖的路徑，進入Servicing Plan，創建一個新的服務計劃。

選擇服務計劃對應的目標集合。

進行服務更新時間的配置。

在“部署計劃”頁面上，單擊“下一步”保留默認設置（立即進行更新，并要求在7天期限內安裝）。

提示：這樣的配置，效果是當配置的截止日期到達，將強制軟件更新和系統重啟，重啟的設備必須是工作站的設備。
創建部署包，指定部署包的來源路徑。

在分發節點頁面上，單擊添加 - >分發點，選擇相應的域名作為分發點，然后單擊確定。

點擊總結查看配置。

我們現在已經為WIN10Ring 2 Pilot Business用戶部署環創建了一個服務計劃。 默認情況下，每次軟件更新時都會遵循此規則，我們可以通過編輯Evaluation Schedule來修改此計劃。

03啟用Client-Side Targeting一般情況下，組策略設置會廣泛部署到多臺計算機上。與這些設置不同，Client-Side Targeting允許管理員將特定安全組中的計算機自動添加到WSUS管理控制臺中的某個特殊的計算機組中。

創建方式類似第5步，創建一個新的GPO。

依次選擇ComputerConfiguration—>Policies—>AdministrativeTemplates—>Windows Components—>Windows Update。

右鍵點擊編輯Enable client-sidetargeting，啟用該功能。在Target group name for this computer中輸入相關的GPOName。這是WSUS中將要添加這些計算機的部署環的名稱。

在Group PolicyManagement里面，選擇WSUS –Client Targeting - WIN10 Ring 1 Pilot IT，點擊Security Filtering，移除AUTHENTICATED USERS，添加WIN10 Ring 1 Pilot IT組。

04創建和部署一個任務序列任務序列是按某種順序依次執行的一系列步驟。它們是結構化的，并且能夠根據特定條件邏輯確定某一步驟是否執行。 因此，任務序列提供了一些獨特的服務計劃：在功能更新之前或之后執行一些執行額外的步驟。當新功能更新可用于Windows 10時，發布的ISO也會更新。

通過任務序列，我們可以使用此更新的ISO將功能更新應用于客戶端，這與傳統的就地升級過程是相同的。對于運行Windows10 Enterprise LTSB的設備，這是對其進行功能更新的唯一方法。

在創建任務序列的界面，選擇Upgrade an operating system fromupgrade package。

選擇升級包。

選擇軟件更新部署的條件。

一路next。

創建任務序列后，我們必須將其部署到集合中。

這一步驟過去使組織的環境癱瘓，因為它們意外地迫使整個組織必須安裝操作系統任務序列。因此，在System Center Configuration Manager 1511及更高版本中，如果將任何任務序列或其他高風險部署給站點系統按，會出現一個警告框。此警告旨在最大限度地減少錯誤地將任務序列部署到不正確的設備。

我們以14天為例，在自動安裝前，我們講給用戶14天的時間來自行運行任務序列。

對于用戶體驗做更多的的配置。

System Center Configuration Manager給予了我們管理Windows 10更新的最大控制權。我們創建并部署了必要的GPO，將某些機器指定為CBB；創建適當的集合以管理部署環的Windows 10更新；我們創建了服務計劃，在部署環接收更新時自動將Windows10功能更新部署到相應的集合；最后，我們創建和部署升級包和任務序列將Windows 10功能更新部署到托管客戶端。