Many times we configure Group Policy and need to reboot the machine to make changes effective. In some cases, we only need to update the Group Policy and the changes are applied then. To update Group Policy engine, we need to run gpupdate /force command. This should update the Group Policy engine and thus settings are applied, without reboot or sign-out from user side.
However, sometimes you may find that the Group Policy is stuck on Updating policy screen and never proceeds. In this way, the changes you’ve made no longer reflects immediately, as the Group Policy hangs on updating the engine.
This might be the issue occurring, if the background refresh on the Group Policy is disabled. You can follow the below mentioned steps to fix this problem.
FIX: Group Policy Update Hangs In Windows 10
FYI: GPO snap-in is not available in Windows 10 Home editions. If you’re on Windows 10 Home and want to use Group Policy, go here and upgrade to Pro edition.
1. Press + R and put gpedit.msc in Run dialog box to open Local Group Policy Editor. Click OK.
2. Next, in the GPO snap-in window, navigate here:
Computer Configuration > Administrative Templates > System > Group Policy
3. In the right pane of above shown window, look for the Turn off background refresh of Group Policy setting.
The policy explanation says, “This policy setting prevents Group Policy from being updated while the computer is in use. This policy setting applies to Group Policy for computers, users, and domain controllers“.
If this setting is set to Enabled, this is the root cause for this issue. Double click on it and set the policy status to Disabled. Click Apply followed by OK.
You can now close the Group Policy snap-in and check if you can update Group Policy engine now, using gpupdate /force command. This time the update should work as expected.
Hope this helps!
RELATED ARTICLES
Microsoft выпускает новые обновления безопасности для своих продуктов как минимум один раз в месяц. В большинстве случаев служба Windows Update прекрасно справляется с автоматическим получением и установкой обновлений Windows. Также вы можете вручную найти, скачать и установить актуальное кумулятивное обновление безопасности для вашей редакции и версии Windows. Например, на компьютерах с отключенной службой wususerv, в изолированных от интернета сетях (если у вас не используется WSUS сервер, где можно вручную управлять тестированием и одобрением обновлений Windows), в локальной сети с лимитным подключением (metered connection) и т.д.
Содержание:
- Узнать дату установки последних обновлений Windows
- Как найти и скачать последние обновления безопасности для вашей версии Windows?
- Ручная установка кумулятивных обновлений в Windows
- Ручное обновление билда Windows 10 (Feature Update)
Каждый второй вторник месяца Microsoft выпускает новые обновления для всех поддерживаемых редакций Windows (исправления для особо критичных уязвимостей могут выпускаться быстрее, не дожидаясь этой даты. Также имейте в виду, что в Windows используется кумулятивная модель обновлений. Это означает, что для обновления Windows достаточно установить только один, последний, кумулятивный пакет безопасности.
Узнать дату установки последних обновлений Windows
Проверьте дату установки последних обновлений на вашем компьютере с помощью PowerShell команды:
gwmi win32_quickfixengineering |sort installedon -desc
Source Description HotFixID InstalledBy InstalledOn PCname1 Security Update KB5011352 NT AUTHORITY\SYSTEM 2/9/2022 12:00:00 AMН
В данном случае видно, что последний раз на этом компьютере обновление безопасности устанавливалось 9 февраля 2022 года.
Так же вы можете вывести историю установки обновлений с помощью командлета
Get-WUHistory
из модуля PSWindowsUpdate:
Get-WUHistory|Where-Object {$_.Title -match "KB*"} |Sort-Object date -desc
Затем вам нужно узнать версию и номер билда вашей Windows. Воспользуйтесь командой:
Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsHardwareAbstractionLayer, OsArchitecture
WindowsProductName WindowsVersion OsHardwareAbstractionLayer, OsArchitecture Windows 10 Pro 2009 10.0.19041.1566 64-bit
В моем случае мне нужно скачать последние обновления безопасности для Windows 10 20H2 x64.
Как найти и скачать последние обновления безопасности для вашей версии Windows?
Вы можете вручную скачать последние обновления для продуктов Microsoft из каталога обновлений Microsoft Update Catalog — https://www.catalog.update.microsoft.com/Home.aspx. В каталоге вы можете найти обновления для всех поддерживаемых версий Windows (также поддерживается прямой импорт обновлений через консоль WSUS). Главная проблема, что в каталоге отсутствует удобная система поиска. Если вы не знаете номер KB, который вам нужно установить, найти и скачать пакет с обновлением довольно трудно.
Рассмотрим, как сформировать правильный запрос для поиска обновлений для вашей редакции Windows в каталоге обновлений Microsoft. Статья пишется 9 марта 2022 года, соответственно последние обновления безопасности были выпушены вчера, 8 марта (второй вторник месяца). Для поиска обновлений безопасности для Windows 10 20H2 x64 за март 2022 года, воспользуйтесь таким поисковым запросом, который нужно вставить в поисковую строку в верхнем правом углу:
windows 10 20h2 x64 3/%/2022
Каталог Microsoft Update вернул список из 3 обновлений.
Как решить какие из этих обновлений нужно скачать и установить? Конечно, можно скачать и установить вручную все эти обновления, но можно сэкономить время. Т.к. Microsoft перешла на кумулятивные обновления, вам достаточно скачать и установить последнее Cumulative Update для вашей системы.
В моем случае доступно одно большое кумулятивное обновление для Windows 10:
- 2022-03 Cumulative Update for Windows 10 Version 20H2 for x64-based Systems (KB5011487), Windows 10 version 1903 and later, Security Updates, 3/7/2022 — 655.6 MB
Щелкните по названию обновления безопасности KB5011487. В открывшемся окне с информацией об обновлении перейдите на вкладку Package Details. На этой вкладке видно какие обновления заменяет данное обновление (This update replaces the following updates:), и каким обновлением заменяется в свою очередь оно (This update has been replaced by the following updates).
Как вы это обновление ничем не заменяется: This update has been replaced by the following updates: n/a. Значит это самое последнее и актуальное кумулятивное обновление безопасности для вашей версии Windows 10.
Нажмите на кнопку Download, в открывшемся окне появится прямая ссылка на загрузку MSU файла обновлений. Скачайте файл и сохраните его на диск.
Также вы можете найти номер KB актуального кумулятивного обновления для вашей версии Windows 10 с помощью страницы https://support.microsoft.com/en-us/topic/windows-10-update-history-7dd3071a-3906-fa2c-c342-f7f86728a6e3.
В списке слева выберите вашу версию Windows 10 (в моем примере это Windows 10 20H2), затем обратите внимание на список In this release. Самая первая запись ссылается на статью базы знаний для последнего кумулятивного обновления Windows этой редакции. В нашем примере это March 8, 2022—KB5011487 (OS Builds 19042.1586, 19043.1586, and 19044.1586). Именно это обновление мы и скачали согласно методике выше.
Затем скачайте последнее доступное обновление служебного стека Windows 10 (SSU — Servicing Stack Updates). Это обновление также можно найти в Windows Update Catalog по ключевой фразе:
servicing stack windows 10 20h2
Обязательно установите Servicing Stack Update до установки накопительного обнолвения безопасности Windows.
C марта 2021 года, Microsoft перестала выпускать отдельные обновления SSU для билдов Windows 10 2004 и старше. Теперь они интегрируются в последнее кумулятивное обновление LCU (Latest Cumulative Update).
Скачать файлы обновлений Windows с помощью PowerShell
Для скачивания файлов MSU обновлений из Microsoft Update Catalog можно использовать командлет Save-KBFile из модуля KBUpdate (KB Viewer, Saver, Installer and Uninstaller) — https://github.com/potatoqualitee/kbupdate
Установите модуль из PowerShell Gallery:
Install-Module kbupdate -Scope CurrentUser
Для загрузки определенных файлов обновлений выполните команду PowerShell:
Save-KBFile -Name KB5011487, 5005260 -Architecture x64 -Path C:\Updates
Ручная установка кумулятивных обновлений в Windows
После того, как вы скачали MSU файл с актуальным кумулятивным обновлением для вашей редакции Windows 10, вы можете его установить.
Щелкните дважды по скачанному msu файлу и следуйте шагам мастера автономного установщика обновлений Windwows.
После окончания установки пакета обновлений нужно перезагрузить компьютер (если после установки обновления вы наблюдаете проблемы с работой ОС или приложений, вы можете удалить его).
Также вы можете установить обновление Windows из командной строки в тихом режиме с помощью утилиты wusa.exe (Windows Update Standalone Installer). Следующая команда установит указанное обновление в тихом режиме и отложит автоматическую перезагрузку системы после завершения установки:
wusa C:\updates\windows10.0-kb5011487-x64_2190163dcb84974d93ecdc32bdae277b57ebb95c.msu /quiet /norestart
Ручное обновление сигнатур Windows Defender
Если на вашем устройстве Windows включен встроенный Windows Defender Antivirus, вы можете вручную обновить его сигнатуры. Обновление с новым набором сигнатур можно скачать с Microsoft Update Catalog, либо (проще) со страницы https://www.microsoft.com/en-us/wdsi/defenderupdates#manual.
Скачайте файл офлайн установки для вашей версии Window. Например, Microsoft Defender Antivirus for Windows 10 and Windows 8.1 64-bit.
Запустите и установите файл
fpam-fe.exe
для обновления антивирусных баз.
Ручное обновление билда Windows 10 (Feature Update)
Также вы можете вручную обновить билд Windows 10 (Feature Update). Например, вы хотите вручную обновить билд Windows 10 на своем компьютере с 20H2 (окончание поддержки 10 мая 2022) на 21H2.
Для этого перейдите на страницу https://www.microsoft.com/en-us/software-download/windows10 и нажмите кнопку Update Now.
Скачайте и запустите файл Windows 10 Update Assistant (
Windows10Upgrade9252.exe)
.
Мастер предложит вам обновится до последней версии Windows 10 (Windows 10 November 2021 Update). Для такого обновления требуется подключение к интернету.
Чтобы выполнить оффлайн обновление билда Windows 10, сформируйте установочный ISO образ с новый билдом Windows 10 с помощью Media Citation Tool (позволяет создать iso образ или загрузочную флешку с Windows 10).
Затем смонтируйте ISO образ в виртуальный привод и запустите файл setup.exe. Следуйте шагам мастера обновления Windows. Подробнее это описано в статье про обновление билда Windows 10 из командной строки.
Чтобы на компьютере Windows применились новые настройки локальной или доменной групповой политики (GPO), служба Group Policy Client (
gpsvc
) должна перечитать настройки политик и применить изменения. Настройки групповых политик в Windows обновляются при загрузке компьютера, при входе пользователя, и автоматически в фоновом режиме (в течении от 90 до 120 минут). В некоторых случаях администратору нужно, чтобы новые настройки политики применились немедленно, не дожидаясь указанных выше событий.
Содержание:
- Автоматическое применение настроек групповых политик в Windows
- Принудительное обновление групповых политик на компьютере Windows
- Обновить групповые политики на удаленных компьютерах
Автоматическое применение настроек групповых политик в Windows
Выше мы указали, когда настройки GPO автоматически применяются на клиенте:
- Настройки групповых политик, заданные в разделе секции Computer Configuration применяются при загрузке Windows.
- Настройки GPO из секции User Configuration применяются при входе пользователя.
- Фоновое обновление групповых политик выполняется автоматическая раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (рандомный интервал позволяет уменьшить нагрузку на DC одновременным запросами от клиентов). Это означает, что новые политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена.
Контроллеры домена по умолчанию обновляют настройки GPO раз в 5 минут.
Настройки фонового обновления политик можно изменить с помощью параметра следующих параметров GPO в разделе Computer Configuration -> Administrative Templates -> System -> Group Policy:
- Set Group Policy refresh interval for computers — здесь можно изменить частоту обновления настроек GPO со стандартных 90 минут и значение смещения.
- Turn off background refresh of group policy — позволяет полностью отключить фоновое обновление настроек политик
Но в большинстве случаев трогать эти настройки не рекомендуется.
Принудительное обновление групповых политик на компьютере Windows
Для принудительного, немедленного обновления (применения) настроек групповых политик на компьютере Windows используется утилита gpupdate.
Большинство администраторов не задумываясь используют для обновления политик команду:
gpupdate /force
.
Эта команда заставляет компьютер принудительно перечитать все политики с контроллера домена и заново применить все параметры. Т.е. ключ force указывает клиенту что нужно обратиться к контроллеру домена и заново получает файлы ВСЕХ нацеленных на него GPO. Это вызывает повышенную нагрузку на сеть и контроллер домена.
Простая команда
gpudate
без параметров применяет только новые/измененные параметры GPO.
Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
Можно отдельно обновить параметры GPO из пользовательской секции
gpupdate /target:user
или только политики компьютера:
gpupdate /target:computer /force
Если некоторые политики нельзя обновить в фоновом режиме (обычно это клиентские расширения GPO, которые обрабатываются при входе пользователя), gpudate может заверишь сеанс текущего пользователя (logoff):
gpupdate /target:user /logoff
Или выполнить перезагрузку компьютера (некоторые политики, такие как установка программ в GPO, или логон скрипты применяются только при загрузке Windows):
gpupdate /Boot
Обновить групповые политики на удаленных компьютерах
Есть несколько способов для принудительного обновления настроек GPO на удаленных компьютерах Windows.
В самом простом случае вы просто можете выполнить команду gpupdate на удаленном компьютере:
- спомощьюутилиты PSexec:
PsExec \\PC1 gpupdate - через PowerShell Remoting (WinRM):
Invoke-Command -computername PC1 -Scriptblock {gpupdate /force}
Если нужно массово обновить групповые политики на множестве компьютеров, воспользуйтесь консолью Group Policy Management Console (
GPMC.msc
).
В Windows 10 и 11 для использования консоли придется установить компонент RSAT:
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0
Чтобы обновить политики на компьютерах, щёлкните в консоли GPMC по нужному Organizational Unit (OU) и выберите Group Policy Update.
Консоль поочерёдно подключится к каждому компьютеру в OU, и вы получите результат со статусом обновления политик (Succeeded/Failed).
Утилита создает на компьютерах задание планировщика с командой
GPUpdate.exe /force
для каждого залогиненого пользователя. Задание запускается через случайный промежуток времени (до 10 минут) для уменьшения нагрузки на сеть.
На клиентах в файерволе Windows Defender должны быть разрешены следующие правила:
- Remote Scheduled Tasks Management (RPC)
- Remote Scheduled Tasks Management (RPC-ERMAP)
- Windows Management Instrumentation (WMI-IN)
Если компьютер выключен, или доступ к нему блокируется файерволом, для него вернется ошибка ‘The remote procedure call was cancelled‘.
Также для удаленного обновления политики можно использовать PowerShell командлет Invoke-GPUpdate, который входит в модуль управления GPO. Например, для обновления политик пользователя на удаленном компьютере, выполните:
Invoke-GPUpdate -Computer PC01 -Target "User"
Вы можете задать случайную задержку обновления GPO с помощью параметра RandomDelayInMinutes. Таким образом вы можете уменьшить нагрузку на сеть, если одновременно обновляете политики на множестве компьютеров. Для немедленного применения политик используется параметр
-RandomDelayInMinutes 0
.
В сочетании с командлетом Get-ADComputer вы можете принудительно обновить настройки групповых политик на всех компьютерах (исключая неактивные) в определенном OU:
Get-ADComputer –filter {enabled -eq "true"} -Searchbase "ou=Computes,OU=SPB,dc=winitpro,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name –RandomDelayInMinutes 10 -force}
При удаленном выполнении командлета Invoke-GPUpdate или обновления GPO через консоль GPMC на мониторе пользователя может на короткое время появиться черное окно консоли с запущенной командой
gpupdate
.
Время на прочтение9 мин
Количество просмотров26K
Отвечаете ли вы за единственный ПК с Windows 10, или за тысячи, трудности с управлением обновлениями у вас одни и те же. Ваша цель – быстро устанавливать обновления, связанные с безопасностью, по-умному работать с обновлениями компонентов, и предотвращать падение продуктивности из-за неожиданных перезагрузок
Есть ли у вашего предприятия всеобъемлющий план работы с обновлениями Windows 10? Есть соблазн считать эти скачивания периодическими помехами, от которых нужно избавляться сразу, как только они появляются. Однако реактивный подход к обновлениям – это рецепт разочарований и снижения продуктивности.
Вместо этого можно создать стратегию управления для тестирования и внедрения обновлений, чтобы этот процесс стал настолько же повседневным, как отправка счетов или ежемесячное подведение бухгалтерских итогов.
В статье указана вся информация, необходимая для понимания того, как Microsoft отправляет обновления на устройства под управлением Windows 10, а также детали по поводу инструментов и техник, которые можно использовать для умного управления этими обновлениями на устройствах под управлением Windows 10 версий Pro, Enterprise или Education. (Windows 10 Home поддерживает лишь самые базовые возможности управления обновлениями и непригодна для использования в бизнес-среде).
Но перед тем, как перейти к любому из этих инструментов, вам понадобится план.
Что написано в ваших правилах обновления?
Смысл правил обновления в том, чтобы сделать процесс обновления предсказуемым, определить процедуры предупреждения пользователей, чтобы те могли соответственно планировать свою работу и избежать неожиданного простоя. Также в правила входят протоколы обработки неожиданных проблем, включая откат с неудачно вставших обновлений.
Разумные правила обновлений отводят определённое время на работу с обновлениями ежемесячно. В небольшой организации этой цели может служить специальное окошко в графике обслуживания каждого ПК. В крупных организациях универсальные решения уже вряд ли сработают, и в них нужно будет делить всю популяцию ПК на группы обновлений (в Microsoft их называют «кольцами»), в каждой из которых будет своя стратегия обновлений.
Правила должны описывать несколько различных типов обновлений. Наиболее понятный тип – ежемесячные кумулятивные обновления безопасности и надёжности, которые выходят во второй вторник каждого месяца («вторник патчей»). В этом релизе обычно присутствует Windows Malicious Software Removal Tool, а также могут быть и любые из следующих типов обновлений:
- Обновления безопасности для .NET Framework
- Обновления безопасности для Adobe Flash Player
- Обновления стека обслуживания (которые нужно устанавливать с самого начала).
Установку любого из этих обновлений можно отложить на срок до 30 дней.
В зависимости от производителя ПК, драйверы оборудования и прошивки тоже могут распространяться по каналу Windows Update. Можно отказаться от этого или же управляться с ними по тем же схемам, что и с другими обновлениями.
Наконец, через Windows Update распространяются и обновления компонентов [feature updates]. Эти крупные пакеты обновляют Windows 10 до последней версии, и выходят каждые шесть месяцев для всех редакций Windows 10, кроме долгосрочного канала обслуживания Long Term Servicing Channel (LTSC). Отложить установку обновлений компонентов можно при помощи Windows Update for Business на срок до 365 дней; для редакций Enterprise и Education возможна дальнейшая отсрочка установки на срок до 30 месяцев.
Учитывая всё это, можно начинать составлять правила обновлений, куда должны входить следующие элементы для каждого из обслуживаемых ПК:
- Срок установки ежемесячных обновлений. По умолчанию в Windows 10 ежемесячные обновления скачиваются и устанавливаются в течение 24 часов после их выхода во «вторник патчей». Можно откладывать скачивание этих обновлений для некоторых или всех ПК в компании, чтобы у вас было время проверить их на совместимость; эта задержка также позволяет вам избежать проблем в случае, когда Microsoft обнаруживает проблему с обновлением после выхода, как это уже много раз случалось с Windows 10.
- Срок установки полугодовых обновлений компонентов. При настройках по умолчанию обновления компонентов скачиваются и устанавливаются тогда, когда Microsoft считает, что они готовы. На устройстве, которое Microsoft посчитали подходящим для обновления, обновления компонентов могут появиться через несколько дней после выхода. На других устройствах обновления компонентов могут появиться через несколько месяцев, или их вообще могут заблокировать из-за проблем с совместимостью. Можно установить задержку для некоторых или для всех ПК в организации, чтобы получить время на проверку нового релиза. Начиная с версии 1903, пользователям ПК предложат обновления компонентов, однако команды на скачивание и установку их будут давать только сами пользователи.
- Когда разрешать ПК перезапускаться для завершения установки обновлений: большая часть обновлений требует перезапуска для завершения установки. Этот перезапуск происходит вне промежутка «периода активности» с 8 до 17 часов; эту настройку можно поменять по желанию, продлив длительность интервала до 18 часов. Инструменты управления позволяют назначить определённое время для скачивания и установки обновлений.
- Как уведомлять пользователей о наличии обновлений и перезапуске: во избежание неприятных сюрпризов, Windows 10 уведомляет пользователей о наличии обновлений. Управление этими уведомлениями в настройках Windows 10 ограничено. Гораздо больше настроек доступно в «групповых политиках».
- Иногда Microsoft выпускает критически важные обновления безопасности вне обычного графика «вторников патчей». Обычно это нужно для исправления недочётов в безопасности, которыми злонамеренно пользуются третьи лица. Ускорять ли применение таких обновлений или ждать следующего окна в графике?
- Что делать с неудачными обновлениями: если обновлению не удалось встать правильно, или оно вызывает проблемы, что вы будете делать в этом случае?
Определив эти элементы, пора выбрать инструменты для работы с обновлениями.
Ручное управление обновлениями
На совсем малых предприятиях, включая магазины с единственным работником, довольно легко осуществить ручную настройку обновлений Windows. Параметры > Обновление и безопасность > Центр обновления Windows. Там можно подправить две группы настроек.
Сначала выберите «Изменить период активности» и подправьте настройки, чтобы они соответствовали вашим рабочим привычкам. Если вы обычно работаете по вечерам, можно избежать простоя, настроив эти значения с 18 до полуночи, в результате чего запланированные перезапуски будут происходить по утрам.
Затем выберите «Дополнительные параметры» и настройку «Выберите, когда устанавливать обновления», прописав её в соответствии с вашими правилами:
- Выберите, на сколько дней задерживать установку обновлений компонентов. Максимальное значение – 365.
- Выберите, на сколько дней задерживать установку обновлений качества, включая кумулятивные обновления безопасности, выходящие по «вторникам патчей». Максимальное значение – 30 дней.
Другие настройки на этой странице управляют демонстрацией уведомлений о перезапуске (включено по умолчанию) и разрешением скачивать обновления на соединениях с учётом трафика (выключено по умолчанию).
До версии Windows 10 1903 там была ещё настройка выбора канала – полугодового, или же целевого полугодового. Её убрали в версии 1903, а в более старых версиях она просто не работает.
Конечно, смысл задержки обновлений не в том, чтобы просто отлынивать от этого процесса, а потом удивить пользователей чуть позже. Если вы, к примеру, назначаете задержку установки обновлений качества на 15 дней, вам нужно использовать это время на проверку обновлений на совместимость, и запланировать в графике окошко на техобслуживание на удобное время перед тем, как этот период окончится.
Управление обновлениями через Групповые политики
Все упомянутые ручные настройки можно применять и через групповые политики, а в полном списке политик, связанных с обновлениями Windows 10, настроек куда как больше, чем тех, что доступны в обычных ручных настройках.
Их можно применять к отдельным ПК при помощи редактора локальной групповой политики Gpedit.msc, или при помощи скриптов. Но чаще всего их используют в домене Windows с Active Directory, где можно управлять комбинациями политик на группах ПК.
Значительное количество политик используется исключительно в Windows 10. Наиболее важные из них связаны с «Обновлениями Windows для бизнеса», расположенными в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Центр обновления Windows для бизнеса.
- Выберите, когда получать предварительные сборки – канал и задержки для обновлений компонентов.
- Выберите, когда получать обновления качества – задержки ежемесячных кумулятивных обновлений и других обновлений, связанных с безопасностью.
- Управляйте предварительными сборками: когда пользователь может подключить машину к программе Windows Insider и определите кольцо инсайдеров.
Дополнительная группа политик находится в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows, где можно:
- Удалить доступ к функции приостановки обновлений, что не даст пользователям мешать установке, задерживая её на 35 дней.
- Удалить доступ ко всем настройкам обновлений.
- Разрешить автоматическое скачивание обновлений на соединениях с учётом трафика.
- Не скачивать вместе с обновлениями драйвера.
Следующие установки есть только в Windows 10, и они относятся к перезапускам и уведомлениям:
- Отключить автоматическую перезагрузку для обновлений во время периода активности.
- Указать диапазон периода активности для автоматического перезапуска.
- Указать крайний срок для автоматического перезапуска с целью установки обновлений (от 2 до 14 дней).
- Настроить уведомления с напоминанием об автоматическом перезапуске: увеличить время, за которое пользователя предупреждают об этом (от 15 до 240 минут).
- Отключить уведомления об автоматическом перезапуске с целью установки обновлений.
- Настроить уведомление об автоматическом перезапуске так, чтобы оно не исчезало автоматически через 25 сек.
- Не разрешать политикам задержки получения обновлений инициировать сканирование в Центре обновления Windows: эта политика запрещает ПК проверять обновления, если назначена задержка.
- Разрешить пользователям управлять временем перезапуска и откладывать уведомления.
- Настроить уведомления об обновлениях (появление уведомлений, от 4 до 24 часов), и предупреждений о неминуемом перезапуске (от 15 до 60 минут).
- Обновление политики электропитания для перезапуска корзины (настройка для образовательных систем, позволяющая обновляться даже при питании от батареи).
- Выводить настройки уведомлений об обновлениях: позволяет запретить уведомления об обновлениях.
Следующие политики есть как в Windows 10, так и в некоторых более старых версиях Windows:
- Настройка автоматического обновления: эта группа настроек позволяет выбрать еженедельный, раз в две недели или ежемесячный график обновлений, включая день неделе и время для автоматического скачивания и установки обновлений.
- Указать размещение службы обновлений Microsoft в интрасети: настроить сервер Windows Server Update Services (WSUS) в домене.
- Разрешить клиенту присоединяться к целевой группе: администраторы могут использовать группы безопасности Active Directory для определения колец развёртывания WSUS.
- Не подключаться к расположениям Центра обновления Windows в интернете: запретить ПК, работающим с местным сервером обновления, связываться с внешними серверами обновлений.
- Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений.
- Всегда автоматически перезапускать систему в запланированное время.
- Не выполнять автоматическую перезагрузку, если в системе работают пользователи.
Инструменты работы в крупных организациях (Enterprise)
Крупные организации с сетевой инфраструктурой Windows могут обойти сервера обновления Microsoft и развёртывать обновления с местного сервера. Это требует повышенного внимания со стороны корпоративного IT-отдела, но добавляет компании гибкости. Два самых популярных варианта – это Windows Server Update Services (WSUS) и System Center Configuration Manager (SCCM).
Сервер WSUS устроен проще. Он работает в роли Windows Server и обеспечивает централизованное хранение обновлений Windows в организации. Используя групповые политики, администратор направляет ПК с Windows 10 на сервер WSUS, служащий единственным источником файлов для всей организации. С его консоли администратора можно одобрять обновления, выбирать, когда их ставить на отдельные ПК или группы ПК. ПК можно вручную привязывать к разным группам, или можно использовать выбор целей на стороне клиента для развёртывания обновлений на основе существующих групп безопасности Active Directory.
Поскольку кумулятивные обновления Windows 10 растут всё сильнее с каждым новым выпуском, они могут занимать значительную часть пропускной способности каналов связи. Сервера WSUS экономят трафик, используя Express Installation Files – это требует больше свободного места на севере, но значительно уменьшает размер файлов обновления, отправляемых на клиентские ПК.
На серверах версий WSUS 4.0 и далее можно также управлять обновлениями компонентов Windows 10.
Второй вариант, System Center Configuration Manager использует богатый по возможностям Configuration Manager for Windows совместно с WSUS для развёртывания обновлений качества и обновлений компонентов. Панель управления позволяет администраторам сети отслеживать использование Windows 10 во всей сети и создавать планы обслуживания на основе групп, включающие информацию по всем ПК, приближающимся к завершению своего цикла поддержки.
Если в организации уже установлен Configuration Manager для работы с более ранними версиями Windows, то добавить в него поддержку Windows 10 будет достаточно просто.
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
Перед тем как выпустить очередное крупное обновление Windows 10, разработчики тщательное тестируют новую версию системы, выявляя и устраняя баги. Тем не менее, многим обновившим свою Windows до новой сборки пользователям приходится сталкиваться с разного рода проблемами, вызванными, по всей видимости, несовместимостью с конфигурацией конкретной системы и используемого оборудования. В таких случаях, если со стороны пользователей поступает много жалоб на сбои, Microsoft блокирует обновления для затронутых версий Windows до тех пор, пока не будет установлена точная причина сбоя и не устранён вызвавший её баг.
Такое блокирование обновлений является вполне разумной превентивной мерой, однако среди пользователей наверняка найдётся немало таких, кто окажется ею недоволен. Прежде всего это пользователи, которые предпочитают контролировать установку обновлений самостоятельно. В Microsoft учли их пожелания и представили в Windows 10 новую групповую политику «Отключение защиты для обновления компонентов». Как следует из названия, данная настройка позволяет отключать блокировку получения новейших обновлений, которые Microsoft сочла необходимым доработать.
Новая политика доступна в Windows 10 build 1909, 1903, 20H2 и 2004 при условии, что в системе установлен патч KB4577671 (для сборок 1909 и 1903) и KB4579311 (для версий 2004 и 20H2). Если таковой отсутствует, вы можете скачать его из Каталога Центра обновления Майкрософт и установить в автономном режиме. Скачанный патч представляет собой файл формата MSU, устанавливаемый подобно всякой другой программе — двойным по нему кликом или из командной строки командой wusa.exe C:\KB4577671.msu /quiet /norestart, заменив путь к файлу обновления своим путём.
В Windows 10 Pro и более старших редакциях настроить политику «Отключение защиты для обновления компонентов» проще всего с помощью соответствующей оснастки — редактора локальных групповых политик. Откройте его командой gpedit.msc в окошке «Выполнить» и перейдите по цепочке настроек Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Центр обновления Windows → Центр обновления Windows для бизнеса. В правой колонке найдите указанную настройку, двойным кликом по ней откройте ее свойства и активируйте радиокнопку «Включено».
Сохраните настройки и перезагрузите компьютер. Отныне на ваш ПК будут устанавливаться обновления, развёртывание которых было отключено Microsoft до момента устранения причины, вызывающей неполадки в системе.
В Windows 10 Домашняя редактор локальных политик недоступен, что, однако, ничуть не мешает включить оную настройку, применив простой твик реестра. Командой regedit в окошке «Выполнить» откройте редактор реестра и разверните ветку HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. Может статься, что последний подраздел у вас будет отсутствовать, в этом случае вам нужно будет создать его вручную из контекстного меню. В свою очередь, в нём необходимо создать новый параметр типа DWORD, дать ему название DisableWUfBSafeguards и установить в качестве его значения 1.
Закройте редактор реестра и перезагрузите компьютер, чтобы новые настройки смогли вступить в силу. Если в будущем вы захотите запретить установку потенциально проблемных обновлений, удалите параметр DisableWUfBSafeguards или установите в качестве его значение 0. Вот и всё. Для тех, кто не желает возиться с редактором реестра, мы подготовили два REG-файла. Тот, имя которого начинается с «Enable», включает политику приостановки получение обновлений, REG-файл, название которого начинается с «Disable» отключает её.