Windows as a Service（3）——使用SCCM管理Windows10更新

Hello 小伙伴们，这是这个系列的第三篇文章，我已经和大家分享了有关于Windows 10服务分支以及利用WSUS管理更新的方式，有兴趣的小伙伴们可以参考下面的链接：

Windows as a Service（1）—— Windows 10服务分支

Windows as a Service（2）—— 使用WSUS管理Windows10更新

我们趁热打铁，继续聊聊使用SCCM管理Windows 10更新的方法。System Center Configuration Manager（SCCM）为我们环境中的Windows 10客户端管理和更新提供了一种简单的机制，给予了我们管理Windows 10更新的最大控制权。要管理Windows 10功能更新，System Center Configuration Manager 1511及更高版本包含一项称为“服务计划”的附加服务功能。那具体怎么操作呢？这篇文档将从以下几步来分享：

创建一个GPO和目标客户端2
创建集合和其对应的服务计划
启用Client-Side Targeting
创建和部署一个任务序列

---------------------------------华丽的分割线-------------------------------------------

1.创建一个GPO和目标客户端2

在Group Policy Management Console中，展开Forest \ Domains \ Contoso.com，右键单击域名，然后单击Create a GPO in this domain, and Link it here，在新建GPO对话框中，命名新的GPO。

导航到Windows update里，选择Defer Windows Updates。

右键单击Select when Feature Updates are received，点击Edit编辑，启用该功能。在选项下的Select the branch readiness level for the future updates that you want to receive中，选择相应的服务分支，点击OK。

在Security Filtering中添加刚刚创建好的GPO。

至此，我们已经成功创建并部署了GPO，指定哪些机器应该位于CBB服务分支中。

2.创建集合和其对应的服务计划

打开SCCM，点击Assets and Compliance，点击Device collection，创建一个新的collection。

Tips：SCCM读取客户端的服务分支（0（CB），1（CBB）和2（LTSB）），并将该值存储在OSBranch属性中，我们将使用该属性创建基于服务分支的集合。

点击Next，在add rule那里点击Query rule，进行命名，点击Edit Query Statement进行规则编辑。

在条件选项卡上，单击新建图标。在选择属性对话框中，从属性类列表中选择系统资源，因为我们创建的是一个CB的集合，所以Value写0。

在条件选项卡上，继续单击新建图标，创建额外的条件。

创建完所有条件后，看到的页面如下：

点击Summary后查看站点信息，点击next完成创建。我们就成功创建了一个集合，其中包含CB服务分支中的所有托管的Windows 10客户端。由于可用于CB和CBB的功能更新时间不同，因此我们可以根据客户所在的服务分支来设置服务计划。

在SCCM中，点击Software Library，按照下图的路径，进入Servicing Plan，创建一个新的服务计划。

选择服务计划对应的目标集合。

进行服务更新时间的配置。

在“部署计划”页面上，单击“下一步”保留默认设置（立即进行更新，并要求在7天期限内安装）。

提示：这样的配置，效果是当配置的截止日期到达，将强制软件更新和系统重启，重启的设备必须是工作站的设备。

创建部署包，指定部署包的来源路径。

在分发节点页面上，单击添加 - >分发点，选择相应的域名作为分发点，然后单击确定。

点击总结查看配置。

我们现在已经为WIN10 Ring 2 Pilot Business用户部署环创建了一个服务计划。默认情况下，每次软件更新时都会遵循此规则，我们可以通过编辑Evaluation Schedule来修改此计划。

3.启用Client-Side Targeting

一般情况下，组策略设置会广泛部署到多台计算机上。与这些设置不同，Client-Side Targeting允许管理员将特定安全组中的计算机自动添加到WSUS管理控制台中的某个特殊的计算机组中。

创建方式类似第5步，创建一个新的GPO。

依次选择Computer Configuration—>Policies—>Administrative Templates—>Windows Components—>Windows Update。

右键点击编辑Enable client-side targeting，启用该功能。在Target group name for this computer中输入相关的GPO Name。这是WSUS中将要添加这些计算机的部署环的名称。

在Group Policy Management里面，选择WSUS – Client Targeting - WIN10 Ring 1 Pilot IT ，点击Security Filtering，移除AUTHENTICATED USERS，添加WIN10 Ring 1 Pilot IT组。

4.创建和部署一个任务序列

任务序列是按某种顺序依次执行的一系列步骤。它们是结构化的，并且能够根据特定条件逻辑确定某一步骤是否执行。因此，任务序列提供了一些独特的服务计划：在功能更新之前或之后执行一些执行额外的步骤。当新功能更新可用于Windows 10时，发布的ISO也会更新。通过任务序列，我们可以使用此更新的ISO将功能更新应用于客户端，这与传统的就地升级过程是相同的。对于运行Windows 10 Enterprise LTSB的设备，这是对其进行功能更新的唯一方法。

在创建任务序列的界面，选择Upgrade an operating system from upgrade package。

选择升级包。

选择软件更新部署的条件。

一路next。

创建任务序列后，我们必须将其部署到集合中。

这一步骤过去使组织的环境瘫痪，因为它们意外地迫使整个组织必须安装操作系统任务序列。因此，在System Center Configuration Manager 1511及更高版本中，如果将任何任务序列或其他高风险部署给站点系统按，会出现一个警告框。此警告旨在最大限度地减少错误地将任务序列部署到不正确的设备。

我们以14天为例，在自动安装前，我们讲给用户14天的时间来自行运行任务序列。

对于用户体验做更多的的配置。

结语

System Center Configuration Manager给予了我们管理Windows 10更新的最大控制权。我们创建并部署了必要的GPO，将某些机器指定为CBB；创建适当的集合以管理部署环的Windows 10更新；我们创建了服务计划，在部署环接收更新时自动将Windows10功能更新部署到相应的集合；最后，我们创建和部署升级包和任务序列将Windows 10功能更新部署到托管客户端。