Обновление Windows 10 в корпоративных развертываниях Update Windows 10 in enterprise deployments

Относится к: Applies to

• Windows 10 Windows 10
• Windows10 Mobile Windows 10 Mobile

Ищете информацию для потребителей? Looking for consumer information? См. раздел Центр обновления Windows: вопросы и ответы See Windows Update: FAQ

Windows как услуга— это совершенно новый подход к сборке, развертыванию и обслуживанию операционной системы Windows. Windows as a service provides a new way to think about building, deploying, and servicing the Windows operating system. Главная особенность модели «Windows как услуга»— это постоянное предоставление пользователям новых возможностей и обновлений при сохранении высокого уровня совместимости с оборудованием и программным обеспечением. The Windows as a service model is focused on continually providing new capabilities and updates while maintaining a high level of hardware and software compatibility. Развертывать новые версии Windows стало проще, чем когда-либо: корпорация Майкрософт выпускает новые компоненты два-три раза в год, в отличие тот традиционного цикла обновления, когда новые компоненты становятся доступны только раз в несколько лет. Deploying new versions of Windows is simpler than ever before: Microsoft releases new features two to three times per year rather than the traditional upgrade cycle where new features are only made available every few years. В конечном итоге эта модель заменит собой традиционные проекты развертывания Windows, которые могут быть дорогостоящими и серьезно нарушать работу пользователей. Развертывание превращается в постоянный процесс обновления, благодаря чему общий объем работ, необходимый для обслуживания устройств с Windows 10, уменьшается. Ultimately, this model replaces the need for traditional Windows deployment projects, which can be disruptive and costly, and spreads the required effort out into a continuous updating process, reducing the overall effort required to maintain Windows 10 devices in your environment. Кроме того, с операционной системой Windows 10 организации могут знакомиться с тестовыми сборками Windows по мере того, как корпорация Майкрософт их разрабатывает, а значит получать представление о новых компонентах и возможность высказывать свое мнение о них. In addition, with the Windows 10 operating system, organizations have the chance to try out “flighted” builds of Windows as Microsoft develops them, gaining insight into new features and the ability to provide continual feedback about them.

Подробнее о каждом из выпущенных на данный момент обновлений Windows 10 см. в журнале обновлений Windows 10. See Windows 10 update history for details about each Windows 10 update released to date.

Windows 10 build 19041.84 (версия 2004) доступна через WSUS

В Рендмонде завершают работу над Windows 10, версия 2004 (20H1), которая, как ожидается, будет выпущена в апреле или мае 2020 года. Сегодня компания объявила в официальном блоге программы Windows Insider, что IT-администраторы могут распространять сборку 19041.84 через службу Windows Server Update Services (WSUS) от Microsoft.

Напомним, что сборка 19041.84 с обновлением KB4539080, является последней сборкой 20H1, выпущенной две недели назад для инсайдеров на канале обновления «Поздний доступ». Команда Windows Insider сообщила, что она «содержит актуальные исправления безопасности для организаций, которые готовятся к выпуску Windows 10, версия 2004».

Вчера компания Microsoft также выпустила официальные ISO-образы Windows 10 build 19041.84. Если вы не смогли скачать последний ISO-образы, команда разработчиков Windows Insider знает об этой проблеме, и она должна быть исправлена в ближайшее время.

Мы пока не знаем, будет ли это «окончательная», RTM сборка, которая начнет распространяться для всех пользователей Windows 10 позже этой весной, но компания Microsoft может продолжать обслуживать ее с помощью накопительных обновлений до публичного релиза.

Стоит также отметить, что Microsoft еще не сделала обновление 20H1 доступным для инсайдеров на канале обновления Release Preview. Мы надеемся получить более подробную информацию во время следующей веб-трансляции Windows Insider, которая состоится во вторник, 3 марта, в 21:00 по МСК.

Развертывание обновлений Windows 10 с помощью служб Windows Server Update Services (WSUS) Deploy Windows 10 updates using Windows Server Update Services (WSUS)

Область применения: Applies to

Ищете информацию для потребителей? Looking for consumer information? См. раздел Центр обновления Windows: вопросы и ответы See Windows Update: FAQ

Из-заизменений именования старые термины, такие как CB и CBB, могут по-прежнему отображаться в некоторых наших продуктах, например в групповой политике или реестре. Due to naming changes, older terms like CB and CBB might still be displayed in some of our products, such as in Group Policy or the registry. Если вы столкнулись с этими терминами, «CB» относится к каналу Semi-Annual (Targeted)—, который больше не используется, в то время как «CBB» относится к Semi-Annual Channel. If you encounter these terms, «CB» refers to the Semi-Annual Channel (Targeted)—which is no longer used—while «CBB» refers to the Semi-Annual Channel.

WSUS– это роль Windows Server, доступная в операционной системе Windows Server. WSUS is a Windows Server role available in the Windows Server operating systems. Это единый центр обновлений Windows в организации. It provides a single hub for Windows updates within an organization. Службы WSUS позволяют компаниям не только откладывать обновления, но и выборочно утверждать их, выбирать время доставки и определять, какие устройства или группы устройств получат эти обновления. WSUS allows companies not only to defer updates but also to selectively approve them, choose when they’re delivered, and determine which individual devices or groups of devices receive them. WSUS предоставляет дополнительный контроль над обновлением Windows для бизнеса, но не предоставляет все параметры планирования и гибкость развертывания, которые предоставляет Microsoft Endpoint Manager. WSUS provides additional control over Windows Update for Business but does not provide all the scheduling options and deployment flexibility that Microsoft Endpoint Manager provides.

Если WSUS выбраны в качестве источника обновлений Windows, вы указываете серверу WSUS на клиентские устройства Windows10, требующие обновления, с помощью групповой политики. When you choose WSUS as your source for Windows updates, you use Group Policy to point Windows 10 client devices to the WSUS server for their updates. Отсюда обновления периодически загружаются на сервер WSUS, где с помощью консоли администрирования или групповой политики осуществляется утверждение, развертывание и управление ими, тем самым оптимизируя управление обновлениями в организации. From there, updates are periodically downloaded to the WSUS server and managed, approved, and deployed through the WSUS administration console or Group Policy, streamlining enterprise update management. Если вы в настоящее время используете WSUS для управления обновлениями Windows в своей среде, можно продолжить это и в Windows10. If you’re currently using WSUS to manage Windows updates in your environment, you can continue to do so in Windows 10.

Требования для обслуживания Windows10 с помощью служб WSUS Requirements for Windows 10 servicing with WSUS

Чтобы использовать WSUS для управления и развертывания обновлений функций Windows 10, необходимо использовать поддерживаемую версию WSUS: To be able to use WSUS to manage and deploy Windows 10 feature updates, you must use a supported WSUS version:

• WSUS 10.0.14393 (роль в Windows Server 2016) WSUS 10.0.14393 (role in Windows Server 2016)
• WSUS 10.0.17763 (роль в Windows Server 2019) WSUS 10.0.17763 (role in Windows Server 2019)
• WSUS 6.2 и 6.3 (роль в Windows Server 2012 и Windows Server 2012 R2) WSUS 6.2 and 6.3 (role in Windows Server 2012 and Windows Server 2012 R2)
• KB 3095113 и KB 3159706 (или эквивалентное обновление) должны быть установлены на WSUS 6.2 и 6.3. KB 3095113 and KB 3159706 (or an equivalent update) must be installed on WSUS 6.2 and 6.3.

Начиная с июля 2017 г. KB 3095113 **** и KB 3159706 включены в ежемесячный список качества безопасности. Both KB 3095113 and KB 3159706 are included in the Security Monthly Quality Rollup starting in July 2017. Это означает, что обновления KB 3095113 и KB 3159706 могут быть не установлены, так как они могли быть установлены с помощью докатки. This means you might not see KB 3095113 and KB 3159706 as installed updates since they might have been installed with a rollup. Однако при необходимости любого из этих обновлений рекомендуется **** установить ежемесячное обновление качества безопасности, выпущенное после октября 2017 г., так как они содержат дополнительное обновление WSUS, чтобы уменьшить использование памяти в клиентской службе WSUS. However, if you need either of these updates, we recommend installing a Security Monthly Quality Rollup released after October 2017 since they contain an additional WSUS update to decrease memory utilization on WSUS’s clientwebservice. Если вы синхронизировали все эти обновления до ежемесячного обновления качества безопасности, у вас могут возникнуть проблемы. If you have synced either of these updates prior to the security monthly quality rollup, you can experience problems. Чтобы восстановиться после этого, см. в публикации How to Delete Upgrades in WSUS. To recover from this, see How to Delete Upgrades in WSUS.

Масштабируемость WSUS WSUS scalability

Чтобы использовать WSUS для управления всеми обновлениями Windows, некоторым организациям потребуется доступ к WSUS из сети периметра, либо придется реализовать какой-нибудь другой сложный сценарий. To use WSUS to manage all Windows updates, some organizations may need access to WSUS from a perimeter network, or they might have some other complex scenario. WSUS— это решение с широкими возможностями масштабирования и настройки для организаций любого масштаба, с любой структурой сайтов. WSUS is highly scalable and configurable for organizations of any size or site layout. Подробные сведения о масштабировании WSUS, включая конфигурацию восходящих и нисходящих серверов, офисы филиалов, балансировку нагрузки WSUS и другие сложные сценарии, см. в разделе Выбор типа развертывания WSUS. For specific information about scaling WSUS, including upstream and downstream server configuration, branch offices, WSUS load balancing, and other complex scenarios, see Choose a Type of WSUS Deployment.

Настройка автоматических обновлений и обновление расположения службы Configure automatic updates and update service location

При использовании WSUS для управления обновлениями на клиентских устройствах Windows начните с настройки параметров групповых политик Настройка автоматических обновлений и Размещение службы обновлений Майкрософт в интрасети в своей среде. When using WSUS to manage updates on Windows client devices, start by configuring the Configure Automatic Updates and Intranet Microsoft Update Service Location Group Policy settings for your environment. Это заставляет затронутые клиенты обращаться к серверу WSUS, чтобы он мог осуществлять управление ими. Doing so forces the affected clients to contact the WSUS server so that it can manage them. Следующий процесс описывает, как задать эти параметры и развернуть их на всех устройствах домена. The following process describes how to specify these settings and deploy them to all devices in the domain.

Настройка параметров групповых политик «Настройка автоматических обновлений» и «Размещение службы обновлений Майкрософт в интрасети» в вашей среде To configure the Configure Automatic Updates and Intranet Microsoft Update Service Location Group Policy settings for your environment

Открытая консоль управления групповой политикой (gpmc.msc). Open Group Policy Management Console (gpmc.msc).

Расширение *forest\Domains\*Your_Domain**. Expand *Forest\Domains\*Your_Domain**.

Щелкните правой кнопкой мыши Your_Domain, а затем выберите Создать GPO вэтом домене, и ссылка его здесь . Right-click Your_Domain, and then select Create a GPO in this domain, and Link it here.

В этом примере параметры групповых политик Настройка автоматического обновления и Размещение службы обновлений Майкрософт в интрасети указаны для всего домена. In this example, the Configure Automatic Updates and Intranet Microsoft Update Service Location Group Policy settings are specified for the entire domain. Это не является обязательным; эти параметры можно применить к любой группе безопасности, воспользовавшись фильтрами безопасности или указав конкретное подразделение. This is not a requirement; you can target these settings to any security group by using Security Filtering or a specific OU.

В диалоговом окне Создание объекта групповой политики присвойте новому объекту групповой политики имя WSUS— автоматические обновления и размещение службы обновлений Майкрософт в интрасети. In the New GPO dialog box, name the new GPO WSUS – Auto Updates and Intranet Update Service Location.

Щелкните правой кнопкой мыши объект групповой политики WSUS— автоматические обновления и размещение службы обновлений Майкрософт в интрасети и выберите Изменить. Right-click the WSUS – Auto Updates and Intranet Update Service Location GPO, and then click Edit.

В редакторе управления групповыми политиками выберите Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Центр обновления Windows. In the Group Policy Management Editor, go to Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update.

Щелкните правой кнопкой мыши параметр Настройка автоматического обновления и выберите Изменить. Right-click the Configure Automatic Updates setting, and then click Edit.

В диалоговом окне Настройка автоматических обновлений выберите Включить. In the Configure Automatic Updates dialog box, select Enable.

В разделе Параметры в списке Настройка автоматических обновлений выберите 3 — авт. загрузка и уведом. об устан. и нажмите кнопку ОК. Under Options, from the Configure automatic updating list, select 3 — Auto download and notify for install, and then click OK.

Используйте Regedit.exe, чтобы проверить, не включен ли следующий ключ, так как он может нарушить подключение Магазина Windows: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations Use Regedit.exe to check that the following key is not enabled, because it can break Windows Store connectivity: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations

Существует три других параметра для автоматической загрузки и установки обновлений и времени установки. There are three other settings for automatic update download and installation dates and times. В данном случае этот параметр используется исключительно для примера. This is simply the option this example uses. Другие примеры контроля автоматических обновлений и других связанных политик см. в разделе Настройка автоматических обновлений с использованием групповой политики. For more examples of how to control automatic updates and other related policies, see Configure Automatic Updates by Using Group Policy.

Нажмите правой кнопкой мыши укажите параметр расположения службы обновления Майкрософт интрасети, а затем выберите Изменить. Right-click the Specify intranet Microsoft update service location setting, and then select Edit.

В диалоговом окне Указать размещение службы обновлений Майкрософт в интрасети выберите Включить. In the Specify intranet Microsoft update service location dialog box, select Enable.

В статье Параметры, в наборе службы обновления интрасети для обнаружения обновлений и установите параметры сервера интрасети статистики, введите, а затем http://Your_WSUS_Server_FQDN:PortNumber выберите ОК. Under Options, in the Set the intranet update service for detecting updates and Set the intranet statistics server options, type http://Your_WSUS_Server_FQDN:PortNumber, and then select OK.

URL-адрес http://CONTOSO-WSUS1.contoso.com:8530 на следующем рисунке приведен в качестве примера. The URL http://CONTOSO-WSUS1.contoso.com:8530 in the following image is just an example. В своей среде обязательно укажите имя сервера и номер порта для соответствующего экземпляра WSUS. In your environment, be sure to use the server name and port number for your WSUS instance.

HTTP-порт по умолчанию для WSUS— 8530, а HTTPS-порт по умолчанию— 8531. The default HTTP port for WSUS is 8530, and the default HTTP over Secure Sockets Layer (HTTPS) port is 8531. (Другие параметры : 80 и 443; другие порты не поддерживаются.) (The other options are 80 and 443; no other ports are supported.)

По мере того как клиенты Windows обновляют политики на своих компьютерах (по умолчанию групповая политика обновляется каждые 90 минут и при перезапуске), компьютеры начинают отображаться в WSUS. As Windows clients refresh their computer policies (the default Group Policy refresh setting is 90 minutes and when a computer restarts), computers start to appear in WSUS. Теперь когда клиенты взаимодействуют с сервером WSUS, создайте группы компьютеров, соответствующие вашим кругам развертывания. Now that clients are communicating with the WSUS server, create the computer groups that align with your deployment rings.

Создание групп компьютеров на консоли администрирования WSUS Create computer groups in the WSUS Administration Console

В следующих процедурах используются группы из таблицы 1 раздела Создание кругов развертывания для обновлений Windows10 в качестве примеров. The following procedures use the groups from Table 1 in Build deployment rings for Windows 10 updates as examples.

Группы компьютеров можно использовать, чтобы применить ту или иную политику к подмножеству устройств с определенными исправлениями и обновлениями компонентов. You can use computer groups to target a subset of devices that have specific quality and feature updates. Эти группы представляют ваши круги развертывания, контролируемые WSUS. These groups represent your deployment rings, as controlled by WSUS. Эти группы можно заполнить вручную с помощью консоли администрирования WSUS или автоматически с использованием групповой политики. You can populate the groups either manually by using the WSUS Administration Console or automatically through Group Policy. Независимо от выбранного метода сначала нужно создать группы на консоли администрирования WSUS. Regardless of the method you choose, you must first create the groups in the WSUS Administration Console.

Создание групп компьютеров на консоли администрирования WSUS To create computer groups in the WSUS Administration Console

Откройте консоль администрирования WSUS. Open the WSUS Administration Console.

Перейдите в раздел Имя_сервера\Компьютеры\Все компьютеры, а затем щелкните Добавить группу компьютеров. Go to Server_Name\Computers\All Computers, and then click Add Computer Group.

Введите имя Круг 2— пилотная группа бизнес-пользователей и нажмите кнопку Добавить. Type Ring 2 Pilot Business Users for the name, and then click Add.

Повторите эти действия для групп Круг 3— широкая группа ИТ-пользователей и Круг 4— широкая группа бизнес-пользователей. Repeat these steps for the Ring 3 Broad IT and Ring 4 Broad Business Users groups. После этого в системе должно быть три группы кругов развертывания. When you’re finished, there should be three deployment ring groups.

Создав группы, добавьте компьютеры в группы компьютеров, соответствующие нужным кругам развертывания. Now that the groups have been created, add the computers to the computer groups that align with the desired deployment rings. Для этого можно воспользоваться групповой политикой или выполнить это вручную с помощью консоли администрирования WSUS. You can do this through Group Policy or manually by using the WSUS Administration Console.

Использование консоли администрирования WSUS для заполнения кругов развертывания Use the WSUS Administration Console to populate deployment rings

Добавить компьютеры в группы компьютеров на консоли администрирования WSUS очень просто, но это может занять намного больше времени, чем при использовании групповой политики, особенно если нужно добавить много компьютеров. Adding computers to computer groups in the WSUS Administration Console is simple, but it could take much longer than managing membership through Group Policy, especially if you have many computers to add. Добавление компьютеров в группы компьютеров на консоли администрирования WSUS называется указание на стороне сервера. Adding computers to computer groups in the WSUS Administration Console is called server-side targeting.

В этом примере компьютеры добавляются в группы компьютеров двумя способами: назначая неназначенные компьютеры вручную и выполняя поиск нескольких компьютеров. In this example, you add computers to computer groups in two different ways: by manually assigning unassigned computers and by searching for multiple computers.

Назначение неназначенных компьютеров группам вручную Manually assign unassigned computers to groups

Когда новые компьютеры обмениваются данными с WSUS, они отображаются в группе Неназначенные компьютеры. When new computers communicate with WSUS, they appear in the Unassigned Computers group. Для добавления компьютеров в нужные группы на этом этапе можно использовать следующую процедуру. From there, you can use the following procedure to add computers to their correct groups. В этих примерах для добавления компьютеров в группы компьютеров используются два ПК Windows10 (WIN10-PC1 и WIN10-PC2). For these examples, you use two Windows 10 PCs (WIN10-PC1 and WIN10-PC2) to add to the computer groups.

Назначение компьютеров вручную To assign computers manually

На консоли администрирования WSUS перейдите в раздел Имя_сервера\Компьютеры\Все компьютеры\Неназначенные компьютеры. In the WSUS Administration Console, go to Server_Name\Computers\All Computers\Unassigned Computers.

Здесь отображаются новые компьютеры, которые получили созданный в предыдущем разделе объект групповой политики и начали обмен данными с WSUS. Here, you see the new computers that have received the GPO you created in the previous section and started communicating with WSUS. В этом примере только два компьютера; в зависимости от масштабов развертывания политики компьютеров может быть намного больше. This example has only two computers; depending on how broadly you deployed your policy, you will likely have many computers here.

Выберите оба компьютера, щелкните выделение правой кнопкой мыши и выберите Изменить членство. Select both computers, right-click the selection, and then click Change Membership.

В диалоговом окне Настройка членства в группах компьютеров выберите круг развертывания Круг 2— пилотная группа бизнес-пользователей, а затем нажмите кнопку ОК. In the Set Computer Group Membership dialog box, select the Ring 2 Pilot Business Users deployment ring, and then click OK.

Так как они были назначены группе, эти компьютеры больше не относятся к группе Неназначенные компьютеры. Because they were assigned to a group, the computers are no longer in the Unassigned Computers group. Если выбрать группу компьютеров Круг 2— пилотная группа бизнес-пользователей, здесь отобразятся оба компьютера. If you select the Ring 2 Pilot Business Users computer group, you will see both computers there.

Поиск нескольких компьютеров для добавления в группы Search for multiple computers to add to groups

Кроме того, чтобы добавить несколько компьютеров в круг развертывания на консоли администрирования WSUS, можно воспользоваться функцией поиска. Another way to add multiple computers to a deployment ring in the WSUS Administration Console is to use the search feature.

Поиск нескольких компьютеров To search for multiple computers

На консоли администрирования WSUS перейдите в раздел Имя_сервера\Компьютеры\Все компьютеры, щелкните правой кнопкой мыши Все компьютеры и нажмите Поиск. In the WSUS Administration Console, go to Server_Name\Computers\All Computers, right-click All Computers, and then click Search.

В поле поиска введите WIN10. In the search box, type WIN10.

В результатах поиска выберите компьютеры, щелкните выделение правой кнопкой мыши и выберите команду Изменить членство. In the search results, select the computers, right-click the selection, and then click Change Membership.

Выберите круг развертывания Круг 3— широкая группа ИТ-пользователей и нажмите кнопку ОК. Select the Ring 3 Broad IT deployment ring, and then click OK.

Теперь эти компьютеры отображаются в группе компьютеров Круг 3— широкая группа ИТ-пользователей. You can now see these computers in the Ring 3 Broad IT computer group.

## Использование групповой политики для заполнения кругов развертывания Use Group Policy to populate deployment rings

Консоль администрирования WSUS предоставляет удобный интерфейс для управления исправлениями и обновлениями компонентов Windows10. The WSUS Administration Console provides a friendly interface from which you can manage Windows 10 quality and feature updates. Если требуется добавить в соответствующий круг развертывания WSUS достаточно много компьютеров, выполнение этой операции вручную с использованием консоли администрирования WSUS может занять много времени. When you need to add many computers to their correct WSUS deployment ring, however, it can be time-consuming to do so manually in the WSUS Administration Console. В таких случаях целесообразно использовать для выбора нужных компьютеров групповую политику, которая автоматически добавит их в нужный круг развертывания WSUS в зависимости от их группы безопасности Active Directory. For these cases, consider using Group Policy to target the correct computers, automatically adding them to the correct WSUS deployment ring based on an Active Directory security group. Эта процедура называется указание на стороне клиента. This process is called client-side targeting. Прежде чем включать в групповой политике указание на стороне клиента необходимо настроить принятие назначений компьютеров в WSUS с помощью групповой политики Before enabling client-side targeting in Group Policy, you must configure WSUS to accept Group Policy computer assignment.

Настройка WSUS для указания на стороне клиента с использованием групповой политики To configure WSUS to allow client-side targeting from Group Policy

Откройте консоль администрирования WSUS и перейдите в раздел Имя_сервера\Параметры, а затем щелкните Компьютеры. Open the WSUS Administration Console, and go to Server_Name\Options, and then click Computers.

В диалоговом окне Компьютеры выберите Использовать групповую политику или параметры реестра на компьютерах, а затем нажмите кнопку ОК. In the Computers dialog box, select Use Group Policy or registry settings on computers, and then click OK.

Этот параметр можно задать только по принципу «или— или». This option is exclusively either-or. Если вы включаете в WSUS использование групповой политики для назначения групп, вы больше не сможете вручную добавлять компьютеры на консоли администрирования WSUS до тех пор, пока не вернете первоначальные настройки. When you enable WSUS to use Group Policy for group assignment, you can no longer manually add computers through the WSUS Administration Console until you change the option back.

Подготовив WSUS к указанию на стороне клиента, выполните следующие шаги, чтобы использовать групповую политику для настройки указания на стороне клиента. Now that WSUS is ready for client-side targeting, complete the following steps to use Group Policy to configure client-side targeting:

Настройка указания на стороне клиента To configure client-side targeting

При использовании указания на стороне клиента целесообразно присвоить группам безопасности те же имена, что и кругам развертывания. When using client-side targeting, consider giving security groups the same names as your deployment rings. Это упрощает процесс создания политики и позволяет избежать ошибок при добавлении компьютеров в круги. Doing so simplifies the policy-creation process and helps ensure that you don’t add computers to the incorrect rings.

Открытая консоль управления групповой политикой (gpmc.msc). Open Group Policy Management Console (gpmc.msc).

Разверните узел Лес\Домены\ваш_домен. Expand Forest\Domains\Your_Domain.

Щелкните правой кнопкой мыши Ваш домен и выберите Создать объект групповой политики в этом домене и связать его. Right-click Your_Domain, and then click Create a GPO in this domain, and Link it here.

В диалоговом окне Новый объект групповой политики введите WSUS — указание на стороне клиента — Круг 4— широкая группа бизнес-пользователей (имя нового объекта групповой политики). In the New GPO dialog box, type WSUS – Client Targeting – Ring 4 Broad Business Users for the name of the new GPO.

Щелкните правой кнопкой мыши объект групповой политики WSUS — указание на стороне клиента — Круг 4— широкая группа бизнес-пользователей и нажмите Изменить. Right-click the WSUS – Client Targeting – Ring 4 Broad Business Users GPO, and then click Edit.

В редакторе управления групповыми политиками выберите Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Центр обновления Windows. In the Group Policy Management Editor, go to Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update.

Щелкните правой кнопкой мыши Включить указание на стороне клиента и выберите Изменить. Right-click Enable client-side targeting, and then click Edit.

В диалоговом окне Включение указания на стороне клиента выберите Включить. In the Enable client-side targeting dialog box, select Enable.

В поле Имя целевой группы для данного компьютера введите Круг 4— широкая группа бизнес-пользователей. In the Target group name for this computer box, type Ring 4 Broad Business Users. Это имя круга развертывания в WSUS, в который будут добавлены эти компьютеры. This is the name of the deployment ring in WSUS to which these computers will be added.

Имя целевой группы должно соответствовать имени группы компьютера. The target group name must match the computer group name.

1. Закройте редактор управления групповыми политиками. Close the Group Policy Management Editor.

Теперь все готово для развертывания этого объекта групповой политики в соответствующей группе безопасности компьютера для круга развертывания Круг 4— широкая группа бизнес-пользователей. Now you’re ready to deploy this GPO to the correct computer security group for the Ring 4 Broad Business Users deployment ring.

Указание группы в качестве области действия объекта групповой политики To scope the GPO to a group

На консоли управления групповыми политиками выберите политику WSUS — указание на стороне клиента — Круг 4— широкая группа бизнес-пользователей. In GPMC, select the WSUS – Client Targeting – Ring 4 Broad Business Users policy.

Перейдите на вкладку Область. Click the Scope tab.

В разделе Фильтры безопасности удалите группу безопасности по умолчанию ПРОШЕДШИЕ ПРОВЕРКУ, а затем добавьте группу Круг 4— широкая группа бизнес-пользователей. Under Security Filtering, remove the default AUTHENTICATED USERS security group, and then add the Ring 4 Broad Business Users group.

В следующий раз когда клиенты в группе безопасности Круг 4— широкая группа бизнес-пользователей получат свою политику компьютера и обратятся в WSUS, они будут добавлены в круг развертывания Круг 4— широкая группа бизнес-пользователей. The next time the clients in the Ring 4 Broad Business Users security group receive their computer policy and contact WSUS, they will be added to the Ring 4 Broad Business Users deployment ring.

Автоматическое утверждение и развертывание обновлений компонентов Automatically approve and deploy feature updates

Если для каких-либо клиентов необходимо утверждать обновления компонентов, как только они становятся доступны, в WSUS можно настроить правила автоматического утверждения. For clients that should have their feature updates approved as soon as they’re available, you can configure Automatic Approval rules in WSUS.

WSUS уважает филиал обслуживания клиентского устройства. WSUS respects the client device’s servicing branch. Если обновление функции утверждено, пока оно находится в одной ветви, например в предварительной версии, WSUS установит обновление только на устройствах, которые находятся в этой отрасли обслуживания. If you approve a feature update while it is still in one branch, such as Insider Preview, WSUS will install the update only on devices that are in that servicing branch. Когда корпорация Майкрософт выпустит сборку для Semi-Annual Channel, устройства в Semi-Annual канале установят ее. When Microsoft releases the build for Semi-Annual Channel, the devices in the Semi-Annual Channel will install it. Параметры Windows Update для бизнеса не применяются к обновлениям функций через WSUS. Windows Update for Business branch settings do not apply to feature updates through WSUS.

Настройка правила автоматического утверждения для обновлений компонентов Windows10 и утверждение их для круга развертывания «Круг 3— широкая группа ИТ-пользователей» To configure an Automatic Approval rule for Windows 10 feature updates and approve them for the Ring 3 Broad IT deployment ring

На консоли администрирования WSUS перейдите в раздел Службы обновления\Имя_сервера\Параметры и выберите Автоматические утверждения. In the WSUS Administration Console, go to Update Services\Server_Name\Options, and then select Automatic Approvals.

На вкладке Правила обновления щелкните Создать правило. On the Update Rules tab, click New Rule.

В диалоговом окне Добавление правила установите флажки Когда обновление затрагивает конкретный класс, Когда обновление затрагивает конкретный продукт и Установить крайний срок для утверждения. In the Add Rule dialog box, select the When an update is in a specific classification, When an update is in a specific product, and Set a deadline for the approval check boxes.

В области Изменить свойства щелкните любая классификация. In the Edit the properties area, select any classification. Снимите все флажки, кроме Обновления, и нажмите кнопку ОК. Clear everything except Upgrades, and then click OK.

В области Изменить свойства щелкните ссылку любой продукт. In the Edit the properties area, click the any product link. Снимите все флажки, кроме Windows10, а затем нажмите кнопку ОК. Clear all check boxes except Windows 10, and then click OK.

Windows10 находится в разделе Все продукты\Microsoft\Windows. Windows 10 is under All Products\Microsoft\Windows.

В области Изменить свойства щелкните ссылку Все компьютеры. In the Edit the properties area, click the all computers link. Снимите все флажки для этой группы компьютеров, кроме Круг 3— широкая группа ИТ-пользователейи нажмите кнопку ОК. Clear all the computer group check boxes except Ring 3 Broad IT, and then click OK.

Оставьте заданный срок: 7 дней после утверждения в 3:00. Leave the deadline set for 7 days after the approval at 3:00 AM.

В поле Шаг 3. Укажите имя введите Автоматическое утверждение обновлений Windows10 для Круга 3— широкая группа ИТ-пользователей и нажмите кнопку ОК. In the Step 3: Specify a name box, type Windows 10 Upgrade Auto-approval for Ring 3 Broad IT, and then click OK.

В диалоговом окне Автоматические утверждения нажмите кнопку ОК. In the Automatic Approvals dialog box, click OK.

WSUS не следует существующим настройкам отсрочки месяца/недели/дня. WSUS does not honor any existing month/week/day deferral settings. То есть если вы используете Центр обновления Windows для бизнеса на компьютере, обновления для которого контролируются WSUS, то когда WSUS утверждают обновление, оно будет установлено на компьютере независимо от настроенной с помощью групповой политики задержки. That said, if you’re using Windows Update for Business for a computer for which WSUS is also managing updates, when WSUS approves the update, it will be installed on the computer regardless of whether you configured Group Policy to wait.

Всякий раз когда обновления компонентов Windows10 публикуются в WSUS, они автоматически утверждаются для круга развертывания Круг 3— широкая группа ИТ-пользователей со сроком установки 1 неделя. Now, whenever Windows 10 feature updates are published to WSUS, they will automatically be approved for the Ring 3 Broad IT deployment ring with an installation deadline of 1 week.

Правило автоматического утверждения выполняется после синхронизации. The auto approval rule runs after synchronization occurs. Это означает, что будет утверждено следующее обновление для каждой версии Windows 10. This means that the next upgrade for each Windows 10 version will be approved. Если выбрать правило Run, все возможные обновления, которые соответствуют критериям, будут утверждены, в том числе старые обновления, которые на самом деле не нужны, что может быть проблемой, когда размеры загрузки очень большие. If you select Run Rule, all possible updates that meet the criteria will be approved, potentially including older updates that you don’t actually want—which can be a problem when the download sizes are very large.

Утверждение и развертывание обновлений компонентов вручную Manually approve and deploy feature updates

Можно вручную утвердить обновления и установить сроки для установки на консоли администрирования WSUS. You can manually approve updates and set deadlines for installation within the WSUS Administration Console, as well. После обновления пилотного развертывания лучше всего утверждать правила обновления вручную. It might be best to approve update rules manually after your pilot deployment has been updated.

Чтобы упростить процедуру утверждения вручную, для начала создайте представление обновлений программного обеспечения, которое содержит только обновления Windows 10. To simplify the manual approval process, start by creating a software update view that contains only Windows 10 updates.

Если вы утвердите несколько обновлений функций для компьютера, ошибка может привести к с клиентом. If you approve more than one feature update for a computer, an error can result with the client. Утверждение только одного обновления функций на компьютере. Approve only one feature update per computer.

Утверждение и развертывание обновлений компонентов вручную To approve and deploy feature updates manually

На консоли администрирования WSUS перейдите в раздел Службы обновления\Имя_сервера\Обновления. In the WSUS Administration Console, go to Update Services\Server_Name\Updates. В области Действие выберите Новый режим просмотра обновлений. In the Action pane, click New Update View.

В диалоговом окне Добавление режима просмотра обновлений выберите Обновления принадлежат конкретному классу и Обновления предназначены для конкретного продукта. In the Add Update View dialog box, select Updates are in a specific classification and Updates are for a specific product.

В разделе Шаг 2. Измените свойства щелкните любая классификация. Under Step 2: Edit the properties, click any classification. Снимите все флажки, кроме Обновления, а затем нажмите кнопку ОК. Clear all check boxes except Upgrades, and then click OK.

В разделе Шаг 2. Измените свойства щелкните любой продукт. Under Step 2: Edit the properties, click any product. Снимите все флажки, кроме Windows10, а затем нажмите кнопку ОК. Clear all check boxes except Windows 10, and then click OK.

Windows10 находится в разделе Все продукты\Microsoft\Windows. Windows 10 is under All Products\Microsoft\Windows.

В поле Шаг 3. Укажите имя введите Все обновления Windows10 и нажмите кнопку ОК. In the Step 3: Specify a name box, type All Windows 10 Upgrades, and then click OK.

Теперь, когда у вас есть представление Все обновления Windows 10, выполните следующие действия, чтобы вручную утвердить обновление для кольца 4 Широкое кольцо развертывания бизнес-пользователей: Now that you have the All Windows 10 Upgrades view, complete the following steps to manually approve an update for the Ring 4 Broad Business Users deployment ring:

На консоли администрирования WSUS перейдите в раздел Службы обновления\Имя_сервера\Обновления\Все обновления Windows10. In the WSUS Administration Console, go to Update Services\Server_Name\Updates\All Windows 10 Upgrades.

Щелкните правой кнопкой мыши обновление компонента, которое требуется развернуть, и нажмите Утвердить. Right-click the feature update you want to deploy, and then click Approve.

В диалоговом окне Утверждение обновлений в списке Круг 4— широкая группа бизнес-пользователей выберите Утверждено для установки. In the Approve Updates dialog box, from the Ring 4 Broad Business Users list, select Approved for Install.

В диалоговом окне Утверждение обновлений в списке Круг 4— широкая группа бизнес-пользователей выберите Срок, щелкните Неделя и нажмите кнопку ОК. In the Approve Updates dialog box, from the Ring 4 Broad Business Users list, click Deadline, click One Week, and then click OK.

Если откроется диалоговое окно Лицензионное соглашение на использование программного обеспечения корпорации Майкрософт нажмите кнопку Принять. If the Microsoft Software License Terms dialog box opens, click Accept.

Если развертывание завершено успешно, вы получите отчет об успешном выполнении операции. If the deployment is successful, you should receive a successful progress report.

В диалоговом окне Ход утверждения щелкните Закрыть. In the Approval Progress dialog box, click Close.