Sicherstellung der zeitnahen Installation von Updates in Arbeitsgruppen. Konfigurieren von WSUS-Clients mithilfe von Gruppenrichtlinien. Wo in der Registrierung Windows-Updates vorhanden sind

Automatische Updates sind ein wichtiges Funktionsmerkmal jedes Betriebssystems. Dadurch erhält der Computer rechtzeitig wichtige Updates, wodurch das System stabiler und sicherer wird. Unter Windows 7 ist die Funktion zunächst aktiviert. Das heißt, wenn eine Verbindung zu Microsoft-Servern besteht, prüft der Update-Dienst die Verfügbarkeit neuer Pakete, lädt diese herunter und installiert sie. Normalerweise laufen alle Vorgänge für den Benutzer nahezu unbemerkt ab, aber wenn ständig Angebote zum Upgrade auf 10 auftauchen, ist das schon übertrieben.

Theoretisch besteht keine Notwendigkeit, das automatische Herunterladen von Updates zu deaktivieren. Es ist nützlich, weil es Sicherheitslücken schließt, den Betrieb des Betriebssystems optimiert und ihm neue Funktionen hinzufügt (in Bezug auf die „Zehner“). Es gibt auch eine Liste von Gründen, warum der Auto-Update-Dienst deaktiviert werden sollte:

1. Dem Nutzer gefällt es nicht, dass während des Updates die Internetgeschwindigkeit sinkt und/oder der PC für längere Zeit nicht ausgeschaltet werden kann.
2. Der Computer verfügt über teures oder eingeschränktes drahtloses Internet.
3. Probleme nach dem Start des aktualisierten Betriebssystems.
4. Fehler bei der Installation von Update-Paketen.
5. Es ist nicht genügend Speicherplatz auf dem Systemvolume vorhanden, um die mit jedem Update größer werdende Lautstärke von Windows 7 zu bewältigen.

Arten

Bevor Sie jedoch das Windows 7-Update deaktivieren, überlegen Sie, ob es wirklich notwendig ist. Zusätzlich zur Deaktivierung des Dienstes kann in folgende Betriebsmodi umgeschaltet werden.

1. Vollautomatisch – die Vorgänge laufen ohne Benutzereingriff ab, der Benutzer wird lediglich darüber informiert, dass die Installation der Pakete abgeschlossen ist.
2. Sucht nach einem Zeitplan nach den neuesten Fixes und lädt sie herunter. Die Installation der Pakete wird vom Benutzer durchgeführt.
3. Automatische Überprüfung und Benachrichtigung des Benutzers über die Verfügbarkeit von Updates.
4. Die Selbstaktualisierung ist deaktiviert. Alles wird manuell erledigt.

Optionen werden in der Update Center-Komponente ausgewählt.

Trennungsmethoden

Die Einstellungen jedes Windows werden in seiner Registrierung gespeichert. Sie können auf verschiedene einfache und einige komplexere Arten auf den Schlüssel zugreifen, der für die Update Center-Einstellungen verantwortlich ist. Schauen wir sie uns alle an.

Ändern Sie die Update Center-Einstellungen

Beginnen wir damit, den Dienst für uns selbst einzurichten. Um auf die Konfigurationsoberfläche zuzugreifen, müssen Sie das „Update Center“ mit einer der folgenden Methoden öffnen.

System

1. Rufen Sie über das Kontextmenü von „Arbeitsplatz“ dessen „Eigenschaften“ auf.

1. Klicken Sie im linken vertikalen Menü auf den entsprechenden Link unten im Fenster.

1. Gehen Sie zur „Systemsteuerung“.
2. Öffnen Sie den Abschnitt „System, Sicherheit“.

1. Rufen Sie das gleichnamige Element auf.

Wenn Elemente des Bedienfelds als Symbole und nicht als Kategorien dargestellt werden, wird im Hauptfenster ein Link zu dem Element angezeigt.

1. Klicken Sie also im gewünschten Fenster auf „Parametereinstellungen“.

1. Gehen Sie zum Abschnitt „Wichtige Updates“ und wählen Sie die entsprechende Option aus der Dropdown-Liste aus.

Die einzige Möglichkeit, den Empfang von Updates auf einem Computer mit Windows 7 vollständig zu deaktivieren, besteht darin, den Dienst zu beenden.

Deaktivierung des Dienstes

Die Verwaltung der Dienste in den „Sieben“ erfolgt durch:

• direkte Bearbeitung von Registrierungsschlüsseln, was sehr umständlich ist;
• Programme von Drittanbietern zum Konfigurieren des Betriebssystems (diese Option überspringen wir);
• MMC-Konsolen-Snap-In;
• Systemkonfiguration;
• Befehlszeile;
• Gruppenrichtlinien-Editor (vorhanden in Windows 7 Ultimate, Enterprise).

Entfernen eines Dienstes aus dem Autostart

Der schnellste Weg, Updates zu deaktivieren, ist über den Systemkonfigurator.

1. Führen Sie „msconfig“ im Befehlsinterpreterfenster aus, das sich öffnet, nachdem Sie die Tasten „Win + R“ gedrückt gehalten oder im Startmodus auf die Schaltfläche „Ausführen“ geklickt haben.

1. Gehen Sie zum Reiter „Dienste“.
2. Suchen Sie nach „Windows Update“ (vielleicht Windows Update) und deaktivieren Sie das Kontrollkästchen daneben.

1. Speichern Sie die neuen Einstellungen.

Bis zum Ende der aktuellen Sitzung funktioniert der Dienst und führt die ihm zugewiesenen Aufgaben ordnungsgemäß aus. Um die neue Konfiguration anzuwenden, muss Windows 7 neu gestartet werden.

Lassen Sie uns das MMC-Konsolen-Snap-In verwenden

Das gleichnamige Systemkonsolen-Snap-In bietet Zugriff auf die Verwaltung aller Dienste auf dem PC. Es fängt so an.

1. Öffnen Sie das Kontextmenü des Verzeichnisses „Arbeitsplatz“.
2. Rufen Sie den Befehl „Verwalten“ auf.

1. Erweitern Sie im linken vertikalen Menü den Punkt „Dienste und Anwendungen“. Klicken Sie anschließend auf den Link „Dienste“.

Eine einfachere Möglichkeit, dasselbe Fenster aufzurufen, wäre die Ausführung des Befehls „services.msc“ über das Dialogfeld „Ausführen“.

1. Scrollen Sie bis zum Ende der Liste der Dienste und öffnen Sie die „Eigenschaften“ des Windows Update-Dienstes.

1. Wählen Sie in der Dropdown-Liste „Starttyp“ „Deaktiviert“ statt „Automatisch“, um sich für immer von automatischen Updates zu verabschieden. Wenn Sie den Dienst jetzt deaktivieren müssen, klicken Sie unbedingt auf „Stopp“. Speichern Sie die neuen Einstellungen mit der Schaltfläche „Übernehmen“ und schließen Sie alle Fenster.

Der PC muss nicht neu gestartet werden, um die Einstellungen zu übernehmen.

Gruppenrichtlinien-Editor

Ein weiteres MMC-Snap-In namens Local Group Policy Editor hilft Ihnen bei der Konfiguration aller Systemparameter.

Es ist nicht in der Home Edition der Seven verfügbar!

1. Das Tool wird gestartet, indem Sie den Befehl „gpedit.msc“ über das Fenster „Ausführen“ ausführen.

1. Erweitern Sie im Unterabschnitt „PC-Konfiguration“ den Zweig „Administrative Vorlagen“.

1. Öffnen Sie „Windows-Komponenten“ und suchen Sie nach Update Center.
2. Auf der rechten Seite des Fensters finden wir einen Parameter, dessen Name mit „Auto-Update-Einstellungen“ beginnt.
3. Rufen Sie dessen Einstellungen auf.

1. Bewegen Sie das Kontrollkästchen auf die Position „Deaktivieren“ und klicken Sie auf „OK“, um das Fenster zu schließen und die Änderungen zu speichern.

Lassen Sie uns die Befehlszeile verwenden

Über die Befehlszeile werden dieselben Vorgänge ausgeführt wie über die grafische Benutzeroberfläche und noch mehr, jedoch im Textmodus. Die Hauptsache ist, ihre Syntax und Parameter zu kennen.

Für den Aufruf der Kommandozeile ist der Befehl „cmd“ zuständig.

1. Öffnen Sie den Befehlsinterpreter und führen Sie ihn aus.

Dieser Artikel fasst die mir bekannten Methoden zur Behebung des WSUS-Agenten zusammen.

1. Das erste Skript ist das einfachste und wird tatsächlich nicht einmal zur Behandlung verwendet, sondern um eine Update-Prüfung zu erzwingen und gleichzeitig den Ordner zu bereinigen, in dem sich Verteilungen bereits installierter Updates ansammeln:

wsus_detect_manual.cmd

net stop wuauserv && net stop bits && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow Ausfahrt

2. Das zweite Skript wird benötigt, um den inaktiven WSUS-Dienst „wiederzubeleben“. Es bereinigt alte Updates, woraufhin die Ordner SoftwareDistribution und Catroot2 umbenannt werden, was zu ihrer Neuerstellung führt, wenn der Dienst neu gestartet wird. Anschließend werden die System-DLL-Bibliotheken neu registriert.

fix_wsus_service.cmd

Netzstoppbits
net stop wuauserv
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

Nettostartbits
Nettostart wuauserv
net start cryptsvc

wuauclt/detectnow

Ausfahrt

3. Dieses Skript wird in Fällen verwendet, in denen der Computer kürzlich geklont wurde oder in Fällen, in denen sich der Computer nie bei WSUS registriert hat. Sie unterscheidet sich von der vorherigen lediglich in der vorletzten Zeile, in der die Berechtigung zurückgesetzt und die Kennung neu generiert wird. Ich zitiere einfach diese Zeile:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo weiter
net stop wuauserv
REG DELETE „HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate“ /v AccountDomainSid /f
REG DELETE „HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate“ /v PingID /f
REG DELETE „HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate“ /v SusClientId /f
Nettostart wuauserv
wuauclt /resetauthorization /detectnow

5. Damit alles funktioniert, müssen Sie manchmal den WSUS-Agenten neu installieren. Zuerst müssen Sie den neuesten Windows Update Agent herunterladen und dann die entsprechende Edition installieren

für x32-Versionen von Windows

windowsupdateagent30-x86.exe /wuforce

für x64-Versionen von Windows

windowsupdateagent30-x64.exe /wuforce

Wenn Sie ein glücklicher Besitzer eines Itanium sind, können Sie es selbst erraten :-)

Nach der Installation des Agenten müssen Sie einen Neustart durchführen.

6. Um Fehler 0x80070005 zu „behandeln“, d. h. Bei Zugriffsfehlern kann das folgende Skript hilfreich sein. Es stellt den Administrator- und Systemzugriff auf die Registrierungs- und Systemordner wieder her.

Um dieses Skript auszuführen, benötigen Sie das Microsoft-Dienstprogramm subinacl.exe. Es ist im Resource Kit für Windows Server 2003 enthalten, Sie sollten jedoch nicht die dort enthaltene Version verwenden, weil Da gibt es einige böse Bugs. Sie sollten subinacl.exe Version 5.2.3790.1180 herunterladen.

Restore_registry_and_system_permission.cmd

@echo aus
REM Beantragen Sie Fehler 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /subdirectories %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /Unterverzeichnisse %SystemDrive% /grant=system=f

Alle diese Skripte können bei Problemen nahezu automatisch ausgeführt werden. Sollte das Problem dadurch nicht gelöst werden, muss man sich genauer damit befassen. Und hier benötigen wir dasselbe windowsupdate.log, das sich im Stammverzeichnis des Windows-Ordners befindet. Wenn der Computer problematisch ist, ist diese Datei groß. Der Einfachheit halber empfiehlt es sich, es vor der Ausführung von Skripten zu entfernen. Fast alle Skripte bieten einen Befehl zum Entfernen an, aber nicht alles ist so einfach. Trotz der Einstellung des Wuauserv-Dienstes ist er im IE usw. normalerweise weiterhin geöffnet. Daher gibt es einen kniffligen Weg. Ich starte

notepad.exe %windir%\windowsupdate.log

Ich wähle den gesamten Text aus, lösche ihn und speichere ihn anstelle der alten Datei (vergessen Sie nicht, den Dateityp im Speicherdialog auf *.* zu ändern, sonst ist der Standardwert *.txt).

Es ist erwähnenswert, dass es Fälle gibt, in denen es nicht möglich ist, den Client zur Aktualisierung über wsus zu zwingen. Ich habe Präzedenzfälle mit einigen Windows Server 2003 R2, die ich nicht überwinden konnte. Deshalb aktualisiere ich sie über das Internet :-)

Neue Betriebssysteme wie Windows 7, Windows 2008 haben manchmal Startschwierigkeiten. Für solche Fälle ist empirisch ein Algorithmus wie:
1. Erstmaliges Update von der Microsoft-Website mit Agent-Update
2. Anschließend aktualisieren wir den Agenten lokal
3. Und dann beginnt alles zu funktionieren

Ich hoffe, dass die Früchte unserer Arbeit jemandem helfen werden.

Der Einfachheit halber veröffentliche ich alle diese Skripte in vorgefertigter Form:

Hallo zusammen, heute noch eine Anmerkung für mich, nämlich eine Liste der Windows Update-Server. Warum könnte dies nützlich sein, wenn Sie beispielsweise bei der Installation einer WSUS-Rolle die Fehlermeldung „Update nicht gefunden“ erhalten haben oder umgekehrt, weil Sie sie aus irgendeinem Grund verbieten möchten, um Datenverkehr zu sparen, wenn Sie nicht über WSUS verfügen, da nicht alle Windows Updates sind gut und insbesondere in den modernen Versionen ist es meiner Meinung nach sinnlos, an den Fehler zu erinnern, obwohl diese Liste noch sehr lange fortgesetzt werden kann. Der Grund ist nicht wichtig, die Hauptsache ist zu wissen, dass es existiert und man irgendwie damit arbeiten kann. Im Folgenden zeige ich Ihnen Methoden zum Blockieren von Microsoft Update-Serveradressen, sowohl universell, geeignet für einen einzelnen Computer als auch für die zentrale Verwaltung innerhalb eines Unternehmens.

Warum werden Windows-Updates nicht installiert?

Hier ist ein Screenshot des Fehlers, wenn die Adresse Ihres Microsoft Update-Servers nicht verfügbar ist. Wie Sie sehen, ist der Fehler nicht sehr aussagekräftig. Ich bekomme es auf einem Server, der die Rolle von WSUS spielt. Für diejenigen, die sich nicht erinnern, was es ist, dann ist dies ein lokales Update-Center für Unternehmen, um Datenverkehr zu sparen, und hier werden Windows-Updates aufgrund der nicht installiert mangelnde Verfügbarkeit von Microsoft-Servern.

Was tun, wenn Windows-Updates nicht installiert sind?

• Zunächst sollten Sie prüfen, ob Sie über Internet verfügen, da dessen Verfügbarkeit für die meisten Menschen obligatorisch ist, es sei denn, Sie verfügen natürlich über eine Active Directory-Domäne und laden diese von Ihrem WSUS herunter
• Wenn es Internet gibt, schauen Sie sich als Nächstes den Fehlercode an, da Sie anhand dessen nach Informationen zur Lösung des Problems suchen müssen (von aktuellen Problemen kann ich ein Beispiel dafür geben, wie Fehler 0x80070422 oder Fehler c1900101 behoben werden), aber Die Liste kann auch sehr lange aufbewahrt werden.
• Wir prüfen auf unserem Proxyserver, ob für die folgenden Microsoft Update-Server-Adressen ein Verbot besteht.

Die Liste der Microsoft Update-Server selbst

1. http://windowsupdate.microsoft.com
2. http://*.windowsupdate.microsoft.com
3. https://*.windowsupdate.microsoft.com
4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
5. http://*.update.microsoft.com
6. https://*.update.microsoft.com
7. http://*.windowsupdate.com
8. https://activation.sls.microsoft.com/
9. http://download.windowsupdate.com
10. http://download.microsoft.com
11. http://*.download.windowsupdate.com
12. http://wustat.windows.com
13. http://ntservicepack.microsoft.com
14. https://go.microsoft.com/
15. http://go.microsoft.com/
16. https://login.live.com
17. https://validation.sls.microsoft.com/
18. https://activation-v2.sls.microsoft.com/
19. https://validation-v2.sls.microsoft.com/
20. https://displaycatalog.mp.microsoft.com/
21. https://licensing.mp.microsoft.com/
22. https://purchase.mp.microsoft.com/
23. https://displaycatalog.md.mp.microsoft.com/
24. https://licensing.md.mp.microsoft.com/
25. https://purchase.md.mp.microsoft.com/

Mit der Entwicklung des Internets ist die ständige Aktualisierung des Betriebssystems zur Selbstverständlichkeit geworden. Jetzt können Entwickler das System während des gesamten Supportzeitraums reparieren und verbessern. Doch häufige Windows 10-Updates sind nicht immer praktisch. Deshalb wäre es gut, sie ausschalten zu können.

Gründe für die Deaktivierung automatischer Updates

Die Gründe können sehr unterschiedlich sein und nur Sie können entscheiden, wie weit Sie Updates deaktivieren müssen. Es ist zu bedenken, dass neben Verbesserungen bestimmter Funktionen auch wichtige Korrekturen für Systemschwachstellen bereitgestellt werden. Dennoch kommt es häufig zu Situationen, in denen unabhängige Updates deaktiviert werden sollten:

• kostenpflichtiges Internet – manchmal ist das Update ziemlich umfangreich und das Herunterladen kann teuer sein, wenn Sie für den Datenverkehr bezahlen. In diesem Fall ist es besser, den Download zu verschieben und unter anderen Bedingungen später herunterzuladen;
• Zeitmangel – nach dem Herunterladen beginnt die Installation des Updates, während der Computer ausgeschaltet ist. Dies kann unpraktisch sein, wenn Sie die Arbeit schnell beenden müssen, beispielsweise an einem Laptop. Was aber noch schlimmer ist, ist, dass Windows 10 früher oder später einen Neustart Ihres Computers erfordert. Wenn Sie dies nicht tun, wird der Neustart nach einiger Zeit erzwungen. All dies lenkt ab und stört die Arbeit;
• Sicherheit – obwohl die Updates selbst oft wichtige Systemänderungen beinhalten, kann niemand jemals alles vorhersehen. Daher kann es sein, dass einige Updates Ihr System einem Virenbefall aussetzen, während andere es direkt nach der Installation einfach kaputt machen. Ein vernünftiger Ansatz in dieser Situation besteht darin, einige Zeit nach der Veröffentlichung der nächsten Version zu aktualisieren und zuvor die Rezensionen zu lesen.

Deaktivieren Sie automatische Windows 10-Updates

Es gibt viele Möglichkeiten, Windows 10-Updates zu deaktivieren. Einige davon sind für den Benutzer sehr einfach, andere sind komplexer und wieder andere erfordern die Installation von Programmen von Drittanbietern.

Deaktivierung über Update Center

Die Verwendung von Update zum Deaktivieren ist nicht die beste Option, obwohl Microsoft-Entwickler es als offizielle Lösung anbieten. Sie können das automatische Herunterladen von Updates tatsächlich über ihre Einstellungen deaktivieren. Das Problem hierbei ist, dass diese Lösung auf die eine oder andere Weise vorübergehend sein wird. Die Veröffentlichung eines größeren Windows 10-Updates wird diese Einstellung ändern und Systemaktualisierungen zurückbringen. Aber wir werden den Shutdown-Prozess trotzdem untersuchen:

Nach diesen Änderungen werden keine kleineren Updates mehr installiert. Aber diese Lösung wird Ihnen nicht dabei helfen, das Herunterladen von Updates für immer loszuwerden.

In einem der vorherigen Artikel haben wir die Vorgehensweise ausführlich beschrieben. Nachdem Sie den Server konfiguriert haben, müssen Sie Windows-Clients (Server und Arbeitsstationen) so konfigurieren, dass sie den WSUS-Server zum Empfangen von Updates verwenden, sodass die Clients Updates vom internen Update-Server und nicht von Microsoft Update-Servern über das Internet erhalten. In diesem Artikel gehen wir durch das Verfahren zum Konfigurieren von Clients für die Verwendung eines WSUS-Servers mithilfe von Active Directory-Domänengruppenrichtlinien.

AD-Gruppenrichtlinien ermöglichen es einem Administrator, Computer automatisch verschiedenen WSUS-Gruppen zuzuweisen, wodurch die Notwendigkeit entfällt, Computer manuell zwischen Gruppen in der WSUS-Konsole zu verschieben und diese Gruppen auf dem neuesten Stand zu halten. Die Zuordnung von Clients zu unterschiedlichen WSUS-Zielgruppen basiert auf einer Registrierungsbezeichnung auf dem Client (Bezeichnungen werden durch Gruppenrichtlinien oder durch direkte Bearbeitung der Registrierung festgelegt). Diese Art der Zuordnung von Clients zu WSUS-Gruppen nennt man KlientSeiteTargeting(Clientseitiges Targeting).

Es wird davon ausgegangen, dass unser Netzwerk zwei unterschiedliche Update-Richtlinien verwendet – eine separate Update-Installationsrichtlinie für Server ( Server) und für Arbeitsplätze ( Arbeitsplätze). Diese beiden Gruppen müssen in der WSUS-Konsole im Abschnitt „Alle Computer“ erstellt werden.

Beratung. Die Richtlinie für die Verwendung des WSUS-Updateservers durch Clients hängt weitgehend von der Organisationsstruktur der Organisationseinheit in Active Directory und den Updateinstallationsregeln der Organisation ab. In diesem Artikel betrachten wir nur eine bestimmte Option, die es Ihnen ermöglicht, die Grundprinzipien der Verwendung von AD-Richtlinien zur Installation von Windows-Updates zu verstehen.

Zunächst müssen Sie in der WSUS-Konsole (Targeting) eine Regel für die Gruppierung von Computern festlegen. Standardmäßig werden Computer in der WSUS-Konsole vom Administrator manuell in Gruppen verteilt (serverseitiges Targeting). Wir sind damit nicht zufrieden und weisen daher darauf hin, dass Computer auf der Grundlage der clientseitigen Ausrichtung (durch einen bestimmten Schlüssel in der Client-Registrierung) in Gruppen aufgeteilt werden. Gehen Sie dazu in der WSUS-Konsole zum Abschnitt Optionen und öffnen Sie den Parameter Computers. Ändern Sie den Wert in Verwenden Sie Gruppenrichtlinien oder Registrierungseinstellungen auf Computern(Verwenden Sie Gruppenrichtlinien oder Registrierungseinstellungen auf Computern).

Sie können jetzt ein Gruppenrichtlinienobjekt erstellen, um WSUS-Clients zu konfigurieren. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole der Domäne und erstellen Sie zwei neue Gruppenrichtlinien: ServerWSUSPolicy und WorkstationWSUSPolicy.

WSUS-Gruppenrichtlinie für Windows-Server

Beginnen wir mit einer Beschreibung der Serverrichtlinie ServerWSUSPolicy.

Gruppenrichtlinieneinstellungen, die für den Betrieb des Windows Update-Dienstes verantwortlich sind, befinden sich im GPO-Bereich: ComputerAufbau -> Richtlinien-> AdministrativVorlagen-> WindowsKomponente-> WindowsAktualisieren(Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update).

In unserer Organisation gehen wir davon aus, dass wir diese Richtlinie verwenden, um WSUS-Updates auf Windows-Servern zu installieren. Es wird erwartet, dass alle von dieser Richtlinie abgedeckten Computer der Servergruppe in der WSUS-Konsole zugewiesen werden. Darüber hinaus möchten wir verhindern, dass Updates beim Empfang automatisch auf Servern installiert werden. Der WSUS-Client muss lediglich verfügbare Updates auf die Festplatte herunterladen, eine Warnung für neue Updates in der Taskleiste anzeigen und darauf warten, dass ein Administrator die Installation startet (entweder manuell oder remote über ), um mit der Installation zu beginnen. Dies bedeutet, dass produktive Server ohne Zustimmung des Administrators nicht automatisch Updates installieren und neu starten (normalerweise werden diese Arbeiten vom Systemadministrator im Rahmen der monatlich geplanten Wartung durchgeführt). Um ein solches Schema umzusetzen, legen wir die folgenden Richtlinien fest:

• KonfigurierenAutomatischAktualisierung(Automatisches Update einstellen): Aktivieren. 3 – AutomatischherunterladenUndbenachrichtigenfürInstallieren(Updates automatisch herunterladen und Sie benachrichtigen, wenn sie zur Installation bereit sind)– Der Client lädt automatisch neue Updates herunter und benachrichtigt über deren Verfügbarkeit.
• AngebenIntranetMicrosoftaktualisierenServiceStandort(Geben Sie den Intranet-Microsoft Update-Speicherort an): Aktivieren. Legen Sie den Intranet-Update-Dienst für die Erkennung von Updates fest: http://srv-wsus.site:8530, Legen Sie den Intranet-Statistikserver fest: http://srv-wsus.site:8530– Hier müssen Sie die Adresse Ihres WSUS-Servers und Ihres Statistikservers angeben (normalerweise sind sie identisch);
• Kein automatischer Neustart mit angemeldeten Benutzern für geplante automatische Update-Installationen(Beim automatischen Installieren von Updates nicht automatisch neu starten, wenn Benutzer auf dem System ausgeführt werden): Aktivieren– Automatischen Neustart verbieten, wenn eine Benutzersitzung stattfindet;
• AktivierenKlient-SeiteTargeting ( Dem Kunden erlauben, der Zielgruppe beizutreten): Aktivieren. Zielgruppenname für diesen Computer: Server– Weisen Sie in der WSUS-Konsole Clients der Servergruppe zu.

Notiz. Beim Einrichten einer Update-Richtlinie empfehlen wir Ihnen, sich sorgfältig mit allen verfügbaren Einstellungen in den einzelnen Optionen im Abschnitt „GPO“ vertraut zu machen WindowsAktualisieren und stellen Sie die Parameter ein, die zu Ihrer Infrastruktur und Organisation passen.

WSUS-Update-Installationsrichtlinie für Workstations

Wir gehen davon aus, dass Updates auf Client-Arbeitsplätzen im Gegensatz zur Serverrichtlinie automatisch nachts direkt nach Erhalt von Updates installiert werden. Nach der Installation von Updates sollten Computer automatisch neu starten (und den Benutzer 5 Minuten im Voraus warnen).

In dieser GPO (WorkstationWSUSPolicy) geben wir Folgendes an:

• ErlaubenAutomatischAktualisierungsofortInstallation(Sofortige Installation automatischer Updates zulassen): Deaktiviert- Verbot der sofortigen Installation von Updates nach Erhalt;
• Erlaubennicht-AdministratorenZuerhaltenaktualisierenBenachrichtigungen(Benutzern ohne Administratorrechte erlauben, Update-Benachrichtigungen zu erhalten): Ermöglicht- Nicht-Administratoren eine Warnung vor neuen Updates anzeigen und deren manuelle Installation zulassen;
• Automatische Updates konfigurieren:Ermöglicht. Konfigurieren Sie die automatische Aktualisierung: 4 – Automatischer Download und Planung der Installation. Geplanter Installationstag: 0 - JedenTag. Geplante Installationszeit: 05:00 – Wenn neue Updates empfangen werden, lädt der Client diese in den lokalen Cache herunter und plant ihre automatische Installation um 5:00 Uhr.
• Zielgruppenname für diesen Computer: Arbeitsplätze– Weisen Sie den Client in der WSUS-Konsole der Gruppe „Arbeitsplätze“ zu.
• Kein automatischer Neustart mit angemeldeten Benutzern für geplante automatische Update-Installationen: Deaktiviert- Das System wird 5 Minuten nach Abschluss der Update-Installation automatisch neu gestartet.
• Geben Sie den Speicherort des Intranet-Microsoft-Update-Dienstes an: Aktivieren. Legen Sie den Intranet-Update-Dienst für die Erkennung von Updates fest: http://srv-wsus.site:8530, Legen Sie den Intranet-Statistikserver fest: http://srv-wsus.site:8530–Adresse des Unternehmens-WSUS-Servers.

Auch wenn Sie ihnen unter Windows 10 1607 und höher gesagt haben, dass sie Updates vom internen WSUS beziehen sollen, versuchen sie möglicherweise immer noch, Windows Update-Server im Internet zu kontaktieren. Dieses „Feature“ heißt DualScan. Um den Empfang von Updates aus dem Internet zu deaktivieren, müssen Sie zusätzlich die Richtlinie aktivieren TunnichterlaubenaktualisierenAufschubRichtlinienZuUrsachescanntgegenWindowsAktualisieren ().

Beratung. Um den „Patch-Level“ von Computern in einer Organisation zu verbessern, können beide Richtlinien so konfiguriert werden, dass sie den Start des Aktualisierungsdienstes (wuauserv) auf Clients erzwingen. Dazu im Abschnitt Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Systemdienste Suchen Sie den Windows Update-Dienst und stellen Sie ihn so ein, dass er automatisch startet ( Automatisch).

Zuweisen von WSUS-Richtlinien zu Active Directory-Organisationseinheiten

Der nächste Schritt besteht darin, die erstellten Richtlinien den entsprechenden Active Directory-Containern (OUs) zuzuweisen. In unserem Beispiel ist die OU-Struktur in der AD-Domäne so einfach wie möglich: Es gibt zwei Container – Server (sie enthalten alle Server der Organisation zusätzlich zu den Domänencontrollern) und WKS (Workstations – Benutzercomputer).

Beratung. Wir erwägen nur eine recht einfache Möglichkeit, WSUS-Richtlinien an Clients zu binden. In realen Organisationen ist es möglich, eine WSUS-Richtlinie an alle Computer in einer Domäne zu binden (ein Gruppenrichtlinienobjekt mit WSUS-Einstellungen ist an das Stammverzeichnis der Domäne angehängt), um verschiedene Arten von Clients auf verschiedene Organisationseinheiten zu verteilen (wie in unserem Beispiel – wir). unterschiedliche WSUS-Richtlinien für Server und Workstations erstellt) können in großen verteilten Domänen verknüpft oder GPOs basierend auf oder einer Kombination der oben genannten Methoden zugewiesen werden.

Um einer OU eine Richtlinie zuzuweisen, klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf die gewünschte OU und wählen Sie den Menüpunkt aus Als vorhandenes Gruppenrichtlinienobjekt verknüpfen und wählen Sie die entsprechende Richtlinie aus.

Beratung. Vergessen Sie nicht eine separate Organisationseinheit mit Domänencontrollern (Domänencontroller); in den meisten Fällen sollte diesem Container die WSUS-„Server“-Richtlinie zugewiesen werden.

Genauso müssen Sie die WorkstationWSUSPolicy-Richtlinie dem AD WKS-Container zuweisen, in dem sich Windows-Workstations befinden.

Jetzt müssen nur noch die Gruppenrichtlinien auf den Clients aktualisiert werden, um den Client an den WSUS-Server zu binden:

Alle Windows-Update-Systemeinstellungen, die wir mithilfe von Gruppenrichtlinien festlegen, sollten in der Client-Registrierung im Zweig angezeigt werden HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Mit dieser Reg-Datei können WSUS-Einstellungen auf andere Computer übertragen werden, die keine Update-Einstellungen über GPO konfigurieren können (Computer in einer Arbeitsgruppe, isolierte Segmente, DMZ usw.).

Windows-Registrierungseditor Version 5.00

„WUServer“="http://srv-wsus.site:8530"
„WUStatusServer“="http://srv-wsus.site:8530"
„UpdateServiceUrlAlternate“=""
„TargetGroupEnabled“=dword:00000001
"TargetGroup"="Server"
„ElevateNonAdmins“=dword:00000000

„NoAutoUpdate“=dword:00000000 –
„AUOptions“=dword:00000003
„ScheduledInstallDay“=dword:00000000
„ScheduledInstallTime“=dword:00000003
„ScheduledInstallEveryWeek“=dword:00000001
„UseWUServer“=dword:00000001
„NoAutoRebootWithLoggedOnUsers“=dword:00000001

Es ist auch praktisch, die angewendeten WSUS-Einstellungen auf Clients mithilfe von rsop.msc zu steuern.

Und nach einiger Zeit (abhängig von der Anzahl der Updates und der Bandbreite des Kanals zum WSUS-Server) müssen Sie in der Taskleiste nach Popup-Benachrichtigungen über das Vorhandensein neuer Updates suchen. Clients sollten in der WSUS-Konsole in den entsprechenden Gruppen angezeigt werden (die Tabelle zeigt den Clientnamen, die IP, das Betriebssystem, den Prozentsatz der „gepatchten“ Clients und das Datum der letzten Statusaktualisierung). Weil Wir haben Computer und Server durch Richtlinien verschiedenen WSUS-Gruppen zugewiesen; sie erhalten nur Updates, die zur Installation in den entsprechenden WSUS-Gruppen freigegeben sind.

Notiz. Wenn auf dem Client keine Updates angezeigt werden, wird empfohlen, das Windows Update-Dienstprotokoll auf dem problematischen Client (C:\Windows\WindowsUpdate.log) sorgfältig zu prüfen. Bitte beachten Sie, dass Windows 10 (Windows Server 2016) verwendet. Der Client lädt Updates in den lokalen Ordner C:\Windows\SoftwareDistribution\Download herunter. Um mit der Suche nach neuen Updates auf dem WSUS-Server zu beginnen, müssen Sie den folgenden Befehl ausführen:

wuauclt/detectnow

Außerdem müssen Sie manchmal den Client zwangsweise erneut auf dem WSUS-Server registrieren:

wuauclt /detectnow /resetAuthorization

In besonders schwierigen Fällen können Sie versuchen, den Wuauserv-Dienst zu reparieren. Wenn dies auftritt, versuchen Sie, die Häufigkeit der Suche nach Updates auf dem WSUS-Server mithilfe der Richtlinie zur Häufigkeit der automatischen Update-Erkennung zu ändern.

Im nächsten Artikel werden wir die Funktionen beschreiben. Wir empfehlen Ihnen auch, den Artikel zwischen Gruppen auf einem WSUS-Server zu lesen.