Automatiska uppdateringar är en viktig funktion i alla operativsystem. Tack vare det får datorn viktiga uppdateringar i tid, vilket gör systemet mer stabilt och säkert. I Windows 7 aktiveras funktionen initialt. Det betyder att om det finns en anslutning till Microsofts servrar, kontrollerar uppdateringstjänsten om det finns färska paket, laddar ner dem och installerar dem. Vanligtvis fortsätter alla processer praktiskt taget obemärkt av användaren, men när ständiga erbjudanden om att uppgradera till 10 dyker upp är detta redan överdrivet.

Teoretiskt sett finns det inget behov av att inaktivera automatisk nedladdning av uppdateringar. Det är användbart eftersom det stänger säkerhetsluckor, optimerar driften av operativsystemet och lägger till nya funktioner till det (när det gäller "tiotalet"). Det finns också en lista med anledningar till att tjänsten för automatisk uppdatering bör inaktiveras:

1. Användaren gillar inte att internethastigheten sjunker under uppdateringen och/eller att datorn inte kan stängas av under en längre tid.
2. Datorn har dyrt eller begränsat trådlöst internet.
3. Problem efter att ha startat det uppdaterade operativsystemet.
4. Fel under installationen av uppdateringspaket.
5. Det finns inte tillräckligt med utrymme på systemvolymen för att rymma volymökningen för Windows 7, som växer med varje uppdatering.

Typer

Ändå, innan du inaktiverar Windows 7-uppdateringen, fundera på om det verkligen är nödvändigt. Förutom att avaktivera tjänsten kan den växlas till följande driftlägen.

1. Helt automatiskt - operationer fortsätter utan användaringripande, endast meddelar användaren att installationen av paket är klar.
2. Söker och laddar ner de senaste korrigeringarna enligt ett schema, och installationen av paket utförs av användaren.
3. Automatisk kontroll och meddelar användaren om tillgängligheten av uppdateringar.
4. Självuppdatering är inaktiverad. Allt görs manuellt.

Alternativ väljs i komponenten Update Center.

Frånkopplingsmetoder

Inställningarna för alla Windows lagras i dess register. Du kan komma åt nyckeln som ansvarar för uppdateringscenterinställningarna på flera enkla och ett par mer komplexa sätt. Låt oss titta på dem alla.

Ändra inställningar för uppdateringscenter

Låt oss börja med att sätta upp tjänsten för oss själva. För att komma åt konfigurationsgränssnittet måste du öppna "Update Center" med någon av följande metoder.

Systemet

1. Öppna dess "Egenskaper" genom snabbmenyn för Den här datorn.

1. I den vänstra vertikala menyn klickar du på motsvarande länk längst ner i fönstret.

1. Gå till "Kontrollpanelen".
2. Öppna avsnittet "System, säkerhet".

1. Kalla elementet med samma namn.

Om kontrollpanelobjekt renderas som ikoner snarare än kategorier, kommer en länk till objektet att visas i huvudfönstret.

1. Så, efter att ha kommit in i det önskade fönstret, klicka på "Inställningar parametrar".

1. Flytta till avsnittet "Viktiga uppdateringar" och välj lämpligt alternativ från rullgardinsmenyn.

Det enda sättet att helt inaktivera att ta emot uppdateringar på en dator med Windows 7 är att stoppa tjänsten.

Inaktiverar tjänsten

Hantering av tjänster i "sjuan" sker genom:

• direkt redigering av registernycklar, vilket är mycket obekvämt;
• tredjepartsprogram för att konfigurera operativsystemet (vi hoppar över det här alternativet);
• MMC-konsolsnap-in;
• systemkonfiguration;
• kommandorad;
• Group Policy Editor (finns i Windows 7 Ultimate, Enterprise).

Ta bort en tjänst från autostart

Det snabbaste sättet att inaktivera uppdateringar är genom systemkonfiguratorn.

1. Kör "msconfig" i kommandotolkfönstret, som öppnas efter att ha hållit ner Win + R-tangenterna eller klicka på "Kör"-knappen i Start.

1. Gå till fliken "Tjänster".
2. Hitta "Windows Update" (kanske Windows Update) och avmarkera rutan bredvid.

1. Spara de nya inställningarna.

Till slutet av den aktuella sessionen kommer tjänsten att fungera och utföra de uppgifter som tilldelats den korrekt. För att tillämpa den nya konfigurationen måste Windows 7 startas om.

Låt oss använda MMC-konsolens snap-in

Systemkonsolens snapin-modul med samma namn ger tillgång till hantering av alla tjänster på datorn. Det börjar så här.

1. Öppna snabbmenyn i katalogen "Den här datorn".
2. Ring kommandot "Hantera".

1. Expandera "Tjänster och applikationer" i den vertikala menyn till vänster. Klicka sedan på länken "Tjänster".

Ett enklare alternativ för att anropa samma fönster skulle vara att köra kommandot "services.msc" genom dialogrutan "Kör".

1. Bläddra till slutet av listan över tjänster och öppna "Egenskaper" för Windows Update-tjänsten.

1. I rullgardinsmenyn "Starttyp" väljer du "Inaktiverad" istället för "Automatisk" för att säga adjö till automatiska uppdateringar för alltid. Om du behöver inaktivera tjänsten nu, se till att klicka på "Stopp". Spara de nya inställningarna med knappen "Apply" och stäng alla fönster.

Datorn behöver inte startas om för att tillämpa inställningarna.

Grupppolicyredigerare

En annan MMC-snap-in som kallas Local Group Policy Editor hjälper dig att konfigurera alla systemparametrar.

Den finns inte i hemutgåvan av Seven!

1. Verktyget startas genom att köra kommandot "gpedit.msc" genom fönstret "Kör".

1. I underavsnittet "PC Configuration" expanderar du grenen "Administrativa mallar".

1. Öppna "Windows-komponenter" och leta efter Update Center.
2. På höger sida av fönstret hittar vi en parameter vars namn börjar med "Ställa in automatisk uppdatering".
3. Hämta dess inställningar.

1. Flytta kryssrutan till läget "Inaktivera" och klicka på "OK" för att stänga fönstret och spara ändringarna.

Låt oss använda kommandoraden

Genom kommandoraden utförs alla samma operationer som att använda det grafiska gränssnittet, och ännu mer, men i textläge. Det viktigaste är att känna till deras syntax och parametrar.

Kommandot "cmd" är ansvarigt för att anropa kommandoraden.

1. Öppna kommandotolken och kör den.

Publicerad den 18 februari 2009 av · Inga kommentarer

I den här artikeln kommer jag att berätta om några registernycklar som är associerade med Windows Update. Jag ska visa dig de olika alternativen som dessa registernycklar kan ta.

Om du missade den andra delen av den här artikeln, läs gärna

Även om både Windows Update och WSUS i allmänhet är ganska enkla att konfigurera, kan du ibland få mer kontroll genom att göra några ändringar i Windows-registret. I den här artikeln kommer jag att visa dig några registernycklar som är associerade med Windows Update. Jag ska visa dig de olika alternativen som dessa registernycklar kan ta.

Att börja

Först ska jag göra advokaterna glada och varna för att det kan vara mycket farligt att göra ändringar i registret. Att ange felaktiga registerinställningar kan leda till att Windows och/eller alla program som körs på maskinen förstörs. Innan du försöker göra ändringar i registret måste du göra en fullständig säkerhetskopia av systemet, jag är redo att visa dig hur detta går till.

Det finns en sak till som jag måste berätta om. Finjusteringen som jag vill berätta om gäller endast datorer som kör Windows XP. Du kan göra ändringar på specifika maskiner direkt, eller så kan du tillämpa dem som en del av ett inloggningsskript. Dessutom kanske vissa av nycklarna jag ska prata om inte existerar som standard. Om du vill använda en nyckel som inte finns måste du först skapa den. Du bör också veta att Windows-uppdateringsbeteende kan styras med hjälp av grupppolicy. Grupppolicyer kan ibland ändra registernycklar så att de följer det beteende de anger.

Upptrappning av privilegier

Ett av problemen med att få uppdateringar från en WSUS-server är att användare inte kan godkänna eller neka uppdateringar om de inte är medlemmar i den lokala administratörsgruppen. Däremot kan du använda registret för att höja användarnas privilegier så att de kan installera eller vägra installera ändringar, oavsett om de är medlemmar i den lokala administratörsgruppen eller inte. Å andra sidan kan du också förhindra användare från att installera uppdateringar och lämna denna rätt till administratören (admin).

Registernyckeln som är ansvarig för detta är: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins

ElevateNonAdmins-nyckeln har två möjliga värden. Standardvärdet 1 tillåter användare som inte är administratörer att installera uppdateringar. Om du ändrar detta värde till 0 kommer endast administratörer att kunna installera uppdateringar.

Målgrupper

En av de fantastiska sakerna med WSUS är att det tillåter inriktning på klientsidan. Tanken med positionering på klientsidan är att du kan definiera olika datorgrupper och distribuera rättigheter att installera uppdateringar beroende på gruppmedlemskap. Som standard används inte klientsidans positionering, men om du väljer att använda det finns det två registernycklar som hjälper dig att göra detta. Den första av dessa nycklar inkluderar inriktning på klientsidan och den andra anger namnet på gruppen som datorn tillhör. Båda dessa nycklar måste skapas i: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

Den första nyckeln är en DWORD-nyckel som heter TargetGroupEnabled. Du kan ställa in den här nyckeln till 0, vilket inaktiverar inriktning på klientsidan, eller 1, som aktiverar inriktning på klientsidan.

Den andra nyckeln du ska skapa ska heta TargetGroup och ha ett strängvärde. Värdet på denna nyckel måste vara namnet på den grupp som datorn ska tilldelas.

Installera en WSUS-server

Om du har hållit på med webben ett tag vet du förmodligen att webbdesign tenderar att förändras med tiden. Saker som företagstillväxt, nya säkerhetskrav och företagsbegränsningar utgör ofta grunden för nätverksförändringar. Hur gäller detta för Windows-uppdateringar? WSUS är skalbart och kan installeras på ett hierarkiskt sätt. Detta innebär att en organisation kan ha flera WSUS-servrar installerade. Om en dator flyttas till en annan del av företaget kanske WSUS-servern som ursprungligen definierades för den datorn inte längre är lämplig för den nya platsen. Lyckligtvis kan några enkla registerändringar ändra WSUS-servern från vilken datorn tar emot uppdateringar.

Det finns två nycklar som används för att identifiera WSUS-servern. Var och en av dem finns i: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Den första nyckeln heter WUServer. Denna nyckel måste ställas in på ett textvärde som beskriver WSUS-serverns URL (till exempel: http://servernamn).

En annan nyckel du bör ändra är en nyckel som heter WUStatusServer. Tanken med denna nyckel är att datorn (PC) ska rapportera sin status till WSUS-servern så att WSUS-servern kan veta vilka ändringar som har installerats på datorn. WUStatusServer-nyckeln innehåller vanligtvis exakt samma värde som WUServer-nyckeln (till exempel: http://servernamn).

Automatisk uppdateringsagent

Så jag har pratat om hur man ansluter en dator (PC) till en specifik WSUS-server eller för en specifik grupp (målgrupp), men det är bara halva processen. Windows Update använder en uppdateringsagent som faktiskt installerar uppdateringar. Det finns flera registernycklar i HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU som styr den automatiska uppdateringsagenten.

Den första av dessa nycklar är AUOptions-tangenten. Detta DWORD-värde kan ställas in på 2, 3, 4 eller 5. Ett värde på 2 betyder att agenten ska meddela användaren när uppdateringar laddas ner. Ett värde på 3 betyder att uppdateringen kommer att laddas ner automatiskt och användaren meddelas om installationen. Ett värde på 4 betyder att uppdateringen automatiskt ska laddas ner och installeras som planerat. För att det här alternativet ska fungera måste du också ställa in värdena för nycklarna ScheduledInstallDay och ScheduledInstallTime. Jag ska prata mer om dessa nycklar senare. Slutligen betyder ett värde på 5 att automatisk uppdatering krävs, men det kan konfigureras av slutanvändare.

Nästa nyckel jag vill prata om är nyckeln AutoInstallMinorUpdates. Denna nyckel kan ha värdet 0 eller 1. Om nyckelvärdet är 0, behandlas mindre uppdateringar på samma sätt som alla andra uppdateringar. Om nyckelvärdet är 1, installeras mindre uppdateringar tyst i bakgrunden.

En annan nyckel relaterad till Automatic Update Agent är DetectionFrequency-nyckeln. Denna nyckel låter dig ställa in hur ofta agenten ska söka efter uppdateringar. Nyckelvärdet måste vara ett heltal från 1 till 22, vilket återspeglar antalet timmar mellan försöken att begära en uppdatering.

Registernyckeln som är kopplad till den är nyckeln DetectionFrequencyEnabled. Som namnet antyder låter den här knappen dig aktivera eller inaktivera funktionen för upptäcktsfrekvens. Om du ställer in värdet på den här nyckeln till 0, kommer värdet på nyckeln DetectionFrequency att ignoreras, och om du ställer in värdet på denna nyckel till 1, måste agenten använda värdet för nyckeln DetectionFrequency.

Nästa nyckel jag vill prata om är NoAutoUpdate-nyckeln. Om värdet på denna nyckel är 0, är ​​automatisk uppdatering aktiverad. Om nyckelvärdet är 1, är automatisk uppdatering avaktiverad.

Den sista registernyckeln jag vill prata om är nyckeln NoAutoRebootWithLoggedOnUsers. Som du säkert vet kanske vissa uppdateringar inte träder i kraft utan att starta om systemet. Om användaren arbetar vid denna tidpunkt kan en omstart vara mycket oönskad. Detta gäller särskilt om användaren har gått bort från sitt skrivbord och inte har sparat sitt arbete. I det här fallet hjälper nyckeln NoAutoRebootWithLoggedOnUsers. Värdet på denna nyckel kan vara 0 eller 1. Om värdet på nyckeln är 0, kommer användarna att få en 5 minuters varning innan systemet automatiskt startar om. Om nyckelvärdet är 1 kommer användarna helt enkelt att få ett meddelande som ber om tillåtelse att starta om, men användare kan välja att göra det efter eget gottfinnande.

Slutsats

Det finns många fler registernycklar relaterade till Windows Update. Jag kommer att prata om resten av dem i den andra delen av denna artikel.

www.windowsnetworking.com

Se även:

Läsarens kommentarer (inga kommentarer)

Exchange 2007

Om du vill läsa de tidigare delarna av denna artikelserie, följ länkarna: Monitoring Exchange 2007 Using System Manager...

Inledning I den här artikeln i flera delar vill jag visa dig processen jag nyligen använde för att migrera från en befintlig Exchange 2003-miljö...

Om du missade den första delen av den här serien, läs den på Använda Exchange Server Remote Connectivity Analyzer Tool (del...

Om du missade föregående del av den här artikelserien, gå till Monitoring Exchange 2007 med System Center Operations Manager...

Hej alla, idag en anteckning mer till mig själv, nämligen en lista över Windows Update-servrar. Varför kan detta vara användbart, till exempel om du fick ett felmeddelande Uppdatering hittades inte när du installerade en WSUS-roll, eller vice versa av någon anledning vill du förbjuda dem, för att spara trafik om du inte har WSUS, eftersom inte alla Windows uppdateringar är bra och speciellt i sina moderna versioner tycker jag att det inte är någon idé att påminna om felet, även om den här listan kan fortsätta under väldigt lång tid. Anledningen är inte viktig, huvudsaken är att veta att den finns och att man på något sätt kan arbeta med den. Nedan kommer jag att visa dig metoder för att blockera Microsofts uppdateringsserveradresser, både universella, lämpliga för en enskild dator och för centraliserad hantering inom ett företag.

Varför installeras inte Windows-uppdateringar?

Här är en skärmdump av felet om din Microsoft-uppdateringsserveradress inte är tillgänglig. Som du kan se är felet inte särskilt informativt. Jag får det på en server som spelar rollen som WSUS, för de som inte kommer ihåg vad det är, då är detta ett lokalt uppdateringscenter för företag, för att spara trafik, och det är här Windows-uppdateringar inte installeras pga. brist på tillgänglighet för Microsoft-servrar.

Vad du ska göra om Windows-uppdateringar inte är installerade

• Först och främst bör du kontrollera om du har internet, eftersom dess närvaro är obligatorisk för de flesta, såvida du inte har en Active Directory-domän och du laddar ner dem från din WSUS
• Därefter, om det finns internet, titta på felkoden, eftersom det är genom detta du behöver leta efter information om att lösa problemet (från de senaste problemen kan jag ge ett exempel på hur fel 0x80070422 eller fel c1900101 löses), men listan kan också hållas väldigt länge.
• Vi kontrollerar på vår proxyserver om det finns ett förbud mot följande Microsoft-uppdateringsserveradresser.

Själva listan över Microsofts uppdateringsservrar

1. http://windowsupdate.microsoft.com
2. http://*.windowsupdate.microsoft.com
3. https://*.windowsupdate.microsoft.com
4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
5. http://*.update.microsoft.com
6. https://*.update.microsoft.com
7. http://*.windowsupdate.com
8. https://activation.sls.microsoft.com/
9. http://download.windowsupdate.com
10. http://download.microsoft.com
11. http://*.download.windowsupdate.com
12. http://wustat.windows.com
13. http://ntservicepack.microsoft.com
14. https://go.microsoft.com/
15. http://go.microsoft.com/
16. https://login.live.com
17. https://validation.sls.microsoft.com/
18. https://activation-v2.sls.microsoft.com/
19. https://validation-v2.sls.microsoft.com/
20. https://displaycatalog.mp.microsoft.com/
21. https://licensing.mp.microsoft.com/
22. https://purchase.mp.microsoft.com/
23. https://displaycatalog.md.mp.microsoft.com/
24. https://licensing.md.mp.microsoft.com/
25. https://purchase.md.mp.microsoft.com/

I en av de tidigare artiklarna beskrev vi proceduren i detalj. När du har konfigurerat servern måste du konfigurera Windows-klienter (servrar och arbetsstationer) för att använda WSUS-servern för att ta emot uppdateringar, så att klienterna får uppdateringar från den interna uppdateringsservern snarare än från Microsoft Update-servrar över Internet. I den här artikeln kommer vi att gå igenom proceduren för att konfigurera klienter för att använda en WSUS-server med Active Directory-domängrupppolicyer.

AD-grupppolicyer tillåter en administratör att automatiskt tilldela datorer till olika WSUS-grupper, vilket eliminerar behovet av att manuellt flytta datorer mellan grupper i WSUS-konsolen och hålla dessa grupper uppdaterade. Tilldelning av klienter till olika WSUS-målgrupper baseras på en registeretikett på klienten (etiketter ställs in av Group Policy eller genom att direkt redigera registret). Denna typ av tilldelning av klienter till WSUS-grupper kallas klientsidainriktning(Inriktning på klientsidan).

Det antas att vårt nätverk kommer att använda två olika uppdateringspolicyer - en separat uppdateringsinstallationspolicy för servrar ( Servrar) och för arbetsstationer ( Arbetsstationer). Dessa två grupper måste skapas i WSUS-konsolen i avsnittet Alla datorer.

Råd. Policyn för hur klienter använder WSUS-uppdateringsservern beror till stor del på organisationsstrukturen för organisationsenheten i Active Directory och organisationens uppdateringsregler. I den här artikeln kommer vi att titta på bara ett visst alternativ som låter dig förstå de grundläggande principerna för att använda AD-policyer för att installera Windows-uppdateringar.

Först och främst måste du ange en regel för gruppering av datorer i WSUS-konsolen (inriktning). Som standard, i WSUS-konsolen, distribueras datorer manuellt av administratören i grupper (serversideinriktning). Vi är inte nöjda med detta, så vi kommer att påpeka att datorer fördelas i grupper baserade på inriktning på klientsidan (med en specifik nyckel i klientregistret). För att göra detta, gå till avsnittet i WSUS-konsolen alternativ och öppna parametern Datorer. Ändra värdet till Använd grupprincip eller registerinställning på datorer(Använd grupprincip eller registerinställningar på datorer).

Du kan nu skapa ett GPO för att konfigurera WSUS-klienter. Öppna domänens grupppolicyhanteringskonsol och skapa två nya grupppolicyer: ServerWSUSPolicy och WorkstationWSUSPolicy.

WSUS gruppolicy för Windows-servrar

Låt oss börja med en beskrivning av serverpolicyn ServerWSUSPicy.

Grupppolicyinställningar som ansvarar för driften av Windows Update-tjänsten finns i avsnittet GPO: DatorKonfiguration -> Policyer-> Administrativmallar-> WindowsKomponent-> WindowsUppdatering(Datorkonfiguration -> Administrativa mallar -> Windows-komponenter -> Windows Update).

I vår organisation förväntar vi oss att använda denna policy för att installera WSUS-uppdateringar på Windows-servrar. Det förväntas att alla datorer som omfattas av denna policy kommer att tilldelas gruppen Servers i WSUS-konsolen. Dessutom vill vi förhindra automatisk installation av uppdateringar på servrar när de tas emot. WSUS-klienten måste helt enkelt ladda ner tillgängliga uppdateringar till disken, visa en varning för nya uppdateringar i systemfältet och vänta på att en administratör initierar installationen (antingen manuellt eller på distans med ) för att påbörja installationen. Detta innebär att produktiva servrar inte automatiskt kommer att installera uppdateringar och starta om utan administratörsgodkännande (vanligtvis utförs dessa arbeten av systemadministratören som en del av det månatliga schemalagda underhållet). För att implementera ett sådant system kommer vi att fastställa följande policyer:

• KonfigureraAutomatiskUppdateringar(Ställer in automatisk uppdatering): Gör det möjligt. 3 – Autoladda nerochmeddelaförInstallera(Ladda ned uppdateringar automatiskt och meddela dig när de är redo att installeras)– klienten laddar automatiskt ner nya uppdateringar och meddelar om deras tillgänglighet;
• SpecificeraIntranätMicrosoftuppdateringserviceplats(Ange plats för Microsoft Update för intranät): Gör det möjligt. Ställ in intranätets uppdateringstjänst för att upptäcka uppdateringar: http://srv-wsus.site:8530, Ställ in intranätstatistikservern: http://srv-wsus.site:8530– här måste du ange adressen till din WSUS-server och statistikserver (vanligtvis är de samma);
• Ingen automatisk omstart med inloggade användare för schemalagda automatiska uppdateringsinstallationer(Starta inte om automatiskt när du installerar uppdateringar automatiskt om det finns användare som kör på systemet): Gör det möjligt– förbjuda automatisk omstart när det finns en användarsession;
• Gör det möjligtklient-sidainriktning ( Tillåt klient att gå med i målgrupp): Gör det möjligt. Målgruppsnamn för den här datorn: Servrar– i WSUS-konsolen, tilldela klienter till gruppen Servers.

Notera. När du ställer in en uppdateringspolicy rekommenderar vi att du noggrant bekantar dig med alla tillgängliga inställningar i vart och ett av alternativen i avsnittet GPO WindowsUppdatering och ställ in de parametrar som passar din infrastruktur och organisation.

WSUS Update Installationspolicy för arbetsstationer

Vi antar att uppdateringar på klientarbetsstationer, i motsats till serverpolicyn, kommer att installeras automatiskt på natten direkt efter att uppdateringar har tagits emot. Efter installation av uppdateringar bör datorer starta om automatiskt (varning för användaren 5 minuter i förväg).

I denna GPO (WorkstationWSUSPolicy) specificerar vi:

• TillåtaAutomatiskUppdateringaromedelbarinstallation(Tillåt omedelbar installation av automatiska uppdateringar): Inaktiverad- förbud mot omedelbar installation av uppdateringar när de tas emot;
• Tillåtaej-administratörertillmottauppdateringmeddelanden(Tillåt användare som inte är administratörer att få uppdateringsmeddelanden): Aktiverad- visa en varning för icke-administratörer om nya uppdateringar och tillåta deras manuella installation;
• Konfigurera automatiska uppdateringar:Aktiverad. Konfigurera automatisk uppdatering: 4 - Ladda ner automatiskt och schemalägg installationen. Schemalagd installationsdag: 0 - Varjedag. Schemalagd installationstid: 05:00 – när nya uppdateringar tas emot laddar klienten ner dem till den lokala cachen och schemalägger deras automatiska installation klockan 05:00;
• Målgruppsnamn för den här datorn: Arbetsstationer– i WSUS-konsolen, tilldela klienten till gruppen Workstations;
• Ingen automatisk omstart med inloggade användare för schemalagda installationer av automatiska uppdateringar: Inaktiverad- systemet kommer automatiskt att starta om 5 minuter efter att uppdateringsinstallationen är klar;
• Ange plats för Microsofts uppdateringstjänst för intranät: Gör det möjligt. Ställ in intranätets uppdateringstjänst för att upptäcka uppdateringar: http://srv-wsus.site:8530, Ställ in intranätstatistikservern: http://srv-wsus.site:8530–adress till företagets WSUS-server.

På Windows 10 1607 och senare, även om du har sagt till dem att få uppdateringar från interna WSUS, kan de fortfarande försöka kontakta Windows Update-servrar på Internet. Denna "funktion" kallas DubbelSkanna. För att inaktivera mottagning av uppdateringar från Internet måste du dessutom aktivera policyn DointetillåtauppdateringanståndpolitiktillorsakskannarmotWindowsUppdatering ().

Råd. För att förbättra "lappningsnivån" för datorer i en organisation, kan båda policyerna konfigureras för att tvinga start av uppdateringstjänsten (wuauserv) på klienter. För att göra detta, i avsnittet Datorkonfiguration -> Policies-> Windows-inställningar -> Säkerhetsinställningar -> Systemtjänster Hitta Windows Update-tjänsten och ställ in den att starta automatiskt ( Automatisk).

Tilldela WSUS-policyer till Active Directory OE

Nästa steg är att tilldela de skapade policyerna till lämpliga Active Directory-behållare (OUs). I vårt exempel är OU-strukturen i AD-domänen så enkel som möjligt: ​​det finns två behållare – Servrar (den innehåller alla organisationens servrar, förutom domänkontrollanter) och WKS (Arbetsstationer – användardatorer).

Råd. Vi överväger bara ett ganska enkelt alternativ för att binda WSUS-policyer till kunder. I verkliga organisationer är det möjligt att binda en WSUS-policy till alla datorer i en domän (en GPO med WSUS-inställningar är kopplad till roten av domänen), för att distribuera olika typer av klienter över olika OU:er (som i vårt exempel - vi skapat olika WSUS-policyer för servrar och arbetsstationer), i stora distribuerade domäner kan länkas, eller tilldelas GPO baserat på, eller en kombination av ovanstående metoder.

För att tilldela en policy till en organisationsenhet, klicka på önskad organisationsenhet i Group Policy Management Console och välj menyalternativet Länk som befintlig GPO och välj lämplig policy.

Råd. Glöm inte en separat OU med domänkontrollanter (domänkontrollanter); i de flesta fall bör WSUS "server"-policyn tilldelas den här behållaren.

På exakt samma sätt måste du tilldela WorkstationWSUSPolicy-policyn till AD WKS-behållaren där Windows-arbetsstationerna finns.

Allt som återstår är att uppdatera grupppolicyer på klienter för att binda klienten till WSUS-servern:

Alla systeminställningar för Windows-uppdateringar som vi ställer in med hjälp av grupppolicyer bör visas i klientregistret i filialen HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Denna reg-fil kan användas för att överföra WSUS-inställningar till andra datorer som inte kan konfigurera uppdateringsinställningar med GPO (datorer i en arbetsgrupp, isolerade segment, DMZ, etc.)

Windows Registry Editor version 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Server"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Det är också bekvämt att styra de tillämpade WSUS-inställningarna på klienter med rsop.msc.

Och efter en tid (beroende på antalet uppdateringar och bandbredden för kanalen till WSUS-servern), måste du kolla i facket för popup-meddelanden om förekomsten av nya uppdateringar. Klienter bör visas i WSUS-konsolen i lämpliga grupper (tabellen visar klientens namn, IP, OS, procentandelen av dem "patchade" och datumet för den senaste statusuppdateringen). Därför att Vi har tilldelat datorer och servrar till olika WSUS-grupper enligt policyer; de kommer endast att få uppdateringar som är godkända för installation i motsvarande WSUS-grupper.

Notera. Om uppdateringar inte visas på klienten, rekommenderas att du noggrant undersöker Windows Update Service-loggen på den problematiska klienten (C:\Windows\WindowsUpdate.log). Observera att Windows 10 (Windows Server 2016) använder . Klienten laddar ner uppdateringar till den lokala mappen C:\Windows\SoftwareDistribution\Download. För att börja söka efter nya uppdateringar på WSUS-servern måste du köra kommandot:

wuauclt/detectnow

Ibland måste du också tvinga omregistrera klienten på WSUS-servern:

wuauclt /detectnow /resetAuthorization

I särskilt svåra fall kan du försöka fixa wuauserv-tjänsten. Om detta inträffar, försök att ändra frekvensen för att söka efter uppdateringar på WSUS-servern med hjälp av frekvenspolicyn för identifiering av automatiska uppdateringar.

I nästa artikel kommer vi att beskriva funktionerna. Vi rekommenderar också att du läser artikeln mellan grupper på en WSUS-server.

Med utvecklingen av Internet har ständig uppdatering av operativsystemet blivit vanligt. Nu kan utvecklare fixa och förbättra systemet under hela dess supportperiod. Men frekventa Windows 10-uppdateringar är inte alltid bekväma. Därför skulle det vara bra att kunna stänga av dem.

Anledningar till att stänga av automatiska uppdateringar

Orsakerna kan vara väldigt olika, och bara du kan bestämma hur mycket du behöver för att inaktivera uppdateringar. Det är värt att tänka på att tillsammans med förbättringar av vissa funktioner tillhandahålls viktiga korrigeringar för systemsårbarheter. Och ändå uppstår situationer när oberoende uppdateringar bör inaktiveras ganska ofta:

• betald Internet - ibland är uppdateringen ganska stor och att ladda ner den kan bli dyrt om du betalar för trafik. I det här fallet är det bättre att skjuta upp nedladdningen och ladda ner senare under andra förhållanden;
• tidsbrist - efter nedladdning kommer uppdateringen att börja installeras medan datorn är avstängd. Detta kan vara obekvämt om du snabbt behöver stänga av arbetet, till exempel på en bärbar dator. Men vad som är ännu värre är att förr eller senare kommer Windows 10 att kräva att du startar om din dator, och om du inte gör detta kommer omstarten att tvingas efter en tid. Allt detta distraherar och stör arbetet;
• säkerhet – även om själva uppdateringarna ofta innehåller viktiga systemförändringar kan ingen någonsin förutse allt. Som ett resultat kan vissa uppdateringar öppna ditt system för virusattack, medan andra helt enkelt kommer att bryta det direkt efter installationen. Ett rimligt tillvägagångssätt i den här situationen är att uppdatera en tid efter lanseringen av nästa version, efter att ha studerat recensionerna tidigare.

Inaktivera automatiska Windows 10-uppdateringar

Det finns många sätt att stänga av Windows 10-uppdateringar. Vissa av dem är mycket enkla för användaren, andra är mer komplexa och andra kräver installation av tredjepartsprogram.

Inaktiverar via Update Center

Att använda Update för att inaktivera det är inte det bästa alternativet, även om Microsoft-utvecklare erbjuder det som en officiell lösning. Du kan faktiskt stänga av automatisk nedladdning av uppdateringar genom deras inställningar. Problemet här är att denna lösning kommer att vara tillfällig på ett eller annat sätt. Utgivningen av en större Windows 10-uppdatering kommer att ändra denna inställning och återställa systemuppdateringar. Men vi kommer fortfarande att studera avstängningsprocessen:

Efter dessa ändringar kommer mindre uppdateringar inte längre att installeras. Men den här lösningen hjälper dig inte att bli av med att ladda ner uppdateringar för alltid.