Установка обновления windows через gpo

Настройка клиентов WSUS групповыми политиками

Итак, подразумевается что у Вас имеется установленный Wsus сервер, Групповые политики Active Directory (далее GPO) позволяют системным администраторам автоматически указать клиентов в различные группы WSUS сервера, избавляя от необходимости ручного перемещения компьютеров между группами в WSUS консоли. Такое назначение клиентов к различным группам основывается на основе меток на клиенте, такие метки задаются политикой или простой модификацией реестра. Данный тип соотнесения клиентов к группам WSUS называется Таргетинг на стороне клиента (client side targeting).

Обычно используются две различные политики обновления: для рабочих станций (workstations) и для серверов (Servers). Сначала указываем правило группировки клиентских компьютеров в WSUS консоли. По умолчанию в консоли компьютеры распределяются по группам вручную (server side targeting). Укажем, что клиенты распределяются в группы на основе client side targeting (групповых политик или параметров реестра). Для этого в WSUS консоли перейдите в раздел Options откройте параметр Computers и замените значение на Use Group Policy or registry setting on computers (Использовать групповые политики или значения в реестре, см скрин).

После этого начнем непосредственную настройку клиентов WSUS с помощью групповых политик (GPO). Откройте консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групповая политика установки обновлений WSUS для рабочих станций (WorkstationWSUSPolicy)

Логика политики интуитивно понятна, в нашем случаем мы планируем устанавливать обновления автоматически ночью после их получения. Клиенты после установки обновлений перезагружаются автоматически (предупреждая пользователя за 10 минут). Открываем консоль редактирования GPO (gpmc.msc), переходим в Настройки групповых политик: Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows (Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update)

В политике указываем:

• Allow Automatic Updates immediate installation:Disabled — запрещаем немедленную установку обновлений при их получении
• Allow non-administrators to receive update notifications:Enabled — отображать пользователям предупреждение о появлении новых обновлений и разрешить их ручную установку
• Configure Automatic Updates:Enabled. Configure automatic updating:4 — Auto download and schedule the install.Scheduled install day:0 — Every day. Scheduled install time: 03:00 – клиентский ПК скачивает новые обновления и планирует их автоматическую установку на 3:00 утра
• Target group name for this computer:Workstations – в консоли WSUS отнести клиентов к группе Workstations
• No auto-restart with logged on users for scheduled automatic updates installations:Disabled — система автоматически перезагрузится через 10 минут после окончания установки обновлений
• Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates:http://wsus:8530, Set the intranet statistics server:http://wsus:8530 –адрес корпоративного WSUS сервера

Если Вы указываете адрес http://wsus, убедитесь что данный адрес разрешается ДНС (ping wsus), если нет то добавите адрес в ДНС сервер.

Групповая политика установки обновлений WSUS для серверов (ServerWSUSPolicy)

Напоминаем, что настройки групповых политик отвечающих за работу службы обновлений Windows находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Window).

Данная политика предназначена для серверов, доступность которых нам нужна непрерывная, по крайней мере в рабочее время. Для этого мы запрещаем автоматическую установку обновлений на целевых серверах при их получении. Предпологается, что клиент WSUS сервера должен просто скачать доступные обновления, после чего отобразить оповещение и ожидать подтверждения системного администратора для начала его установки .Таким образом мы гарантируем, что боевые сервера не будут автоматически устанавливать обновления и перезагружаться без контроля администратора.

В политике указываем:

• Не отображать параметр «Установить обновления и завершить работу» — Отключена. (Если данный параметр отключен, то уведомление при завершении работы появиться)
• Всегда автоматически перезагружаться в запланированное время — Отключена. (Если не настроить данный параметр политики, то Центр обновления не меняет стандартные правила перезагрузки)
• Указать размещение службы обновлений Microsoft во внутренней сети: Включена. Один из ключевых параметров: – задаем адрес локального WSUS сервера и сервера статистики (обычно они совпадают), http://wsus:8530.
• Разрешить клиенту присоединение к целевой группе. — Включена.

Совет. Рекомендуем в обоих политиках настроить принудительный запуск службы обновлений (wuauserv) на клиенте, чтобы быть уверенным что обновления дойдут до целевого сервера. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services (в русской локализации: Конфигурация компьютера -> Политики ->Параметры безопасности->Системные службы), найдите службу Центр обновления Windows (wuauserv) и задайте для нее тип запуска «Автоматически».

Назначаем политику WSUS на OU (контейнер) в Active Directory

Далее назначим стандартным способом политику на имеющиеся у нас контейнеры, в нашем случае это два контейнера для рабочих станций (workstations) и для серверов (Servers). В данном примере мы рассматриваем самый простой вариант привязки политик WSUS к компьютерам. В реальных условиях можно распространить одну политику WSUS на всех доменах (GPO привязывается к корню домена) или разнести различных клиентов на разные контейнеры. Для больших и распределенных сетей стоит привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные выше способы.

Чтобы привязать созданную политику к контейнеру запустите оснастку редактирования групповых политик (gpmc.msc), нажмите правой кнопкой на контейнер -> Привязать существующий обьект групповой политики, и указать контейнер с серверами, в нашем примере сервера в контейнере Servers. Также это можно сделать перетащив групповую политику drag&drop в контейнер, автоматически создастся ссылка на политику (черная стрелка), что означает политика привязана к контейнеру. Далее нажмите на контейнере правой кнопкой и -> обновление групповой политики.

Для ускорения получения политики на клиенте можно выполнить команду: gpupdate /force, данная команда инициирует немедленное применение групповой политики.

И через небольшой промежуток времени можно проверить клиентов на наличие всплывающего оповещений о наличии новых обновлений. В WSUS консоли в соответствующих группах должны появиться клиенты (в таблице отображается имя клиента, IP, ОС, процент их «обновленности» и дата последнего обновлений статуса).

Для управления Windows Server Update Services (WSUS) и службой Wuauclt имеется ряд команд, самые распространенные из них:

/DetectNow — поиск обновлений

/ResetAuthorization — запрос на обновление авторизации

runas /user:admin «wuauclt /detectnow» — поиск обновлений под определенным пользователем

Источник

Подключаем WSUS сервер через GPO

Задача: Разобрать настройки посредством которых будет осуществлять прописывание сервера WSUS на рабочие станции под управлением Windows дабы рабочие системы получали последние обновления не из интернета, а из локальной сети одобренные системным администратором.

После того, как установили роль WSUS на систему Windows Server 2012 R2 Std нужно в оснастке Update Services перейти в Options — Computers где изменить дефолтную настройку с «Use the Update Services console» на «Use Group Policy or registry settings on computers» после нажать Apply — Ok, т. е. Только через управление групповыми политиками назначение сервиса WSUS производить регистрацию на сервере WSUS.

Затем предопределяю (Approve) какие пакеты обновлений нужно устанавливать и нацеливаю их на группу или если удалить/отменить то (Decline).

Авторизуюсь на домен контроллере с правами пользователя входящим в группу Domain Admins

Запускаю оснастку Group Policy Management и создаю политику направленную на рабочие станции или группу рабочих станций:

Win +X → Control Panels — Administrative Tools (Администрирование) — Управление групповой политикой и в текущем домене создаю: GPO_WSUS

Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы:

• Центр обновления Windows → ставлю галочку у «Определить следующий параметр политики» и «Выберите режим запуска службы» на «Автоматически» после чего нажимаю «Применить» и «ОК».

Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Центр обновления Windows

• Указать размещение службы обновления Майкрософт в интрасети: Включено
• Укажите службу обновлений в интрасети для поиска обновлений: http://srv-wsus.polygon.local:8530
• Укажите сервер статистики в интрасети: http://srv-wsus.polygon.local:8530

и нажимаю Применить и OK.

• Настройка автоматического обновления: Включено
• Настройка автоматического обновления: 4 — авт. Загрузка и устан.По расписанию

Установка по расписанию — день: 0 — ежедневно

Установка по расписанию — время: 20.00

и нажимаю Применить и OK.

• Разрешить клиенту присоединение к целевой группе: Включено
• Имя целевой группы для данного компьютера: office2010

и нажимаю Применить и OK.

• Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи: Включено
• Включить рекомендуемые обновления через автоматическое обновление: Включено
• Разрешить немедленную установку автоматических обновлений: Включено
• Частота поиска автоматических обновлений: Включено (6часов)

На сервере с ролью WSUS я отметил для пакета Office 2010, что устанавливать мне необходимо (Products and Classifications): Critical Updates, Definition Updates, Feature Packs, Security Updates, Service Packs, Update Rollups.

После нужно добавить в политику вкладка «Делегирование» права для группу «Прошедшие проверку»: чтение, дабы рабочие станции не получали сообщение при формировании результирующей: «Отказано в доступе (фильтрация ограничений безопасности») через gpresult /f /h gp.html

• Связи: Размещение: OU=WSUS
• Фильтры безопасности: Имя компьютера в домене
• Фильтр WMI: опционально.

Теперь переключаюсь к рабочей станции на которую назначена данная групповая политика, у меня это W7X64 с установленным пакетом Microsoft Office 2010 Pro Rus и дабы система вот прям сейчас получила данную политику в консоли командной строки хоть из под пользователя или администратора домена запускаю команду: gpupdate /force , а после отправить систему в перезагрузку ( shutdown /r /t 3 ) или дождаться покуда рабочая станция перезагрузится.

На заметку: и вот что еще служба Windows Updates на рабочих станциях должна быть включена: sc config wuauserv start= auto, net start wuauserv

На заметку: Если политика не применяется, то следует обратиться к лог файлу: C:\Windows\WindowsUpdate.txt дабы разъяснить данную ситуацию.

Когда политика будет применена к рабочей станции, то открыв оснастку Update Services: Computer — All Computers — группа office2010, выставив фильтр: Status: any и нажав Refresh искомый компьютер(ы) отобразятся здесь и % отношение к установленным пакетам назначенных политикой.

На заметку: многие обновления могут не устанавливать на ПК, т. к. они зависят от установки предшествующих обновлений и покуда WSUS сервер не синхронизируется с сервером обновлений Майкрософта, а после обновления не будут назначены на группу, они не смогут установиться на ПК.

У меня все получилось, заметка полностью работоспособна. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.

Источник

Пошаговое руководство: использование групповой политики для настройки центра обновления Windows для бизнеса Walkthrough: Use Group Policy to configure Windows Update for Business

Относится к: Applies to

Ищете информацию для потребителей? Looking for consumer information? См. статью Центр обновления Windows: вопросы и ответы See Windows Update: FAQ

Обзор Overview

Вы можете использовать групповую политику с помощью консоли управления групповыми политиками (GPMC), чтобы управлять тем, как работает центр обновления Windows. You can use Group Policy through the Group Policy Management Console (GPMC) to control how Windows Update for Business works. Прежде чем вносить изменения в параметры центра обновления Windows для бизнеса, необходимо принять и разсмотреть стратегию развертывания обновлений. You should consider and devise a deployment strategy for updates before you make changes to the Windows Update for Business settings. Дополнительные сведения приведены в статье Подготовка стратегии обслуживания для обновлений для Windows 10 . See Prepare servicing strategy for Windows 10 updates for more information.

ИТ-администратор может настроить политики для центра обновления Windows для бизнеса с помощью групповой политики или настроить их локально (на уровне устройства). An IT administrator can set policies for Windows Update for Business by using Group Policy, or they can be set locally (per device). Все необходимые политики находятся в разделе Конфигурация компьютера с путями > административных шаблонов > компонентах windows > центра обновления Windows. All of the relevant policies are under the path Computer configuration > Administrative Templates > Windows Components > Windows Update.

Для управления обновлениями с помощью центра обновления Windows для бизнеса, как описано в этой статье, необходимо подготовиться к следующим действиям, если вы еще не сделали этого. To manage updates with Windows Update for Business as described in this article, you should prepare with these steps, if you haven’t already:

• Создайте группы безопасности Active Directory, которые выравниваются вместе с кольцами развертывания, которые вы используете для поэтапного развертывания обновлений. Create Active Directory security groups that align with the deployment rings you use to phase deployment of updates. Дополнительные сведения о циклах развертывания в Windows 10 см. в разделе Построение кругов развертывания для обновлений Windows 10. See Build deployment rings for Windows 10 updates to learn more about deployment rings in Windows 10.
• Предоставление доступа к службе центра обновления Windows. Allow access to the Windows Update service.
• Скачайте и установите шаблоны ADMX, соответствующие версии для Windows 10. Download and install ADMX templates appropriate to your Windows 10 version. Дополнительные сведения о том, как создавать и управлять центральным хранилищем для административных шаблонов групповой политики в Windows , и пошаговым шагом в разделе Управление Windows 10 с помощью административных шаблонов. For more information, see How to create and manage the Central Store for Group Policy Administrative Templates in Windows and Step-By-Step: Managing Windows 10 with Administrative templates.

Настройка центра обновления Windows для бизнеса Set up Windows Update for Business

В этом примере для управления обновлениями используется одна группа безопасности. In this example, one security group is used to manage updates. Обычно мы рекомендуем использовать по крайней мере три кольца (ранних тестовых тестеров для предварительных сборок, обширное развертывание для выпусков, важные устройства для взрослых выпусков) для развертывания. Typically we would recommend having at least three rings (early testers for pre-release builds, broad deployment for releases, critical devices for mature releases) to deploy. Дополнительные сведения об обновлениях для Windows 10 содержатся в разделе Сборка для развертывания сборок. See Build deployment rings for Windows 10 updates for more information.

Выполните указанные ниже действия на устройстве, на котором запущены средства администрирования удаленного сервера или на контроллере домена. Follow these steps on a device running the Remote Server Administration Tools or on a domain controller:

Настройка звонка Set up a ring

1. Запустите консоль управления групповыми политиками (GPMC. msc). Start Group Policy Management Console (gpmc.msc).
2. Разверните домен > Domains > * * *. Expand **Forest > Domains > * **.
3. Щелкните правой кнопкой мыши и выберите создать объект групповой политики в этом домене и свяжите его. Right-click and select Create a GPO in this domain and link it here.
4. В диалоговом окне Создание объекта групповой политики введите в поле » Обновление Windows для бизнеса» группу 1 в качестве имени нового объекта «Групповая политика». In the New GPO dialog box, enter Windows Update for Business — Group 1 as the name of the new Group Policy Object.
5. Щелкните правой кнопкой мыши объект «обновление Windows для бизнеса — Группа 1» , а затем выберите команду изменить. Right-click the «Windows Update for Business — Group 1» object, and then select Edit.
6. В редакторе управления групповыми политиками перейдите на вкладку Конфигурация компьютера > политики > административные шаблоны > компоненты windows > центр обновления Windows. In the Group Policy Management Editor, go to Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update. Теперь вы можете приступить к назначению политик для этого кольца (группы) устройств. You are now ready to start assigning policies to this ring (group) of devices.

Управление предложениями центра обновления Windows Manage Windows Update offerings

Вы можете управлять тем, какие обновления применяются, например, откладывая, когда обновление установлено на устройстве, или приостанавливая обновления за определенный период времени. You can control when updates are applied, for example by deferring when an update is installed on a device or by pausing updates for a certain period of time.

Определение обновлений, которые должны предоставляться вашим устройствам Determine which updates you want offered to your devices

Обновления компонентов и качества для Windows 10 автоматически предлагаются для устройств, которые подключены к обновлению Windows с помощью центра обновления Windows для бизнеса. Both Windows 10 feature and quality updates are automatically offered to devices that are connected to Windows Update using Windows Update for Business policies. Тем не менее, вы можете указать, должны ли устройства дополнительно получать другие обновления или драйверы, применимые к этому устройству. However, you can choose whether you want the devices to additionally receive other Microsoft Updates or drivers that are applicable to that device.

Чтобы включить обновления Майкрософт, используйте консоль управления групповыми политиками. Перейдите к разделу Конфигурация компьютера > административные шаблоны > компонентах windows > центр обновления windows > настроить автоматические обновления и выберите установить обновления для других продуктов Майкрософт. To enable Microsoft Updates use the Group Policy Management Console go to Computer Configuration > Administrative Templates > Windows Components > Windows Update > Configure Automatic Updates and select Install updates for other Microsoft products.

Драйверы автоматически включаются, так как они являются полезными для систем устройств. Drivers are automatically enabled because they are beneficial to device systems. Рекомендуется разрешить политике с драйверами обновлять на устройствах (по умолчанию), но вы можете отключить этот параметр, если вы предпочитаете управлять драйверами вручную. We recommend that you allow the driver policy to allow drivers to update on devices (the default), but you can turn this setting off if you prefer to manage drivers manually. Если вы хотите отключать обновления драйверов по некоторым причинам, используйте консоль управления групповыми политиками, чтобы перейти к разделу Конфигурация компьютера > административных шаблонов > компонентах windows > центра обновления windows > не включают драйверы с обновлениями для Windows и включите политику. If you want to disable driver updates for some reason, use the Group Policy Management Console to go to Computer Configuration > Administrative Templates > Windows Components > Windows Update > Do not include drivers with Windows Updates and enable the policy.

Кроме того, рекомендуется разрешить обновление продуктов Майкрософт, как описано выше. We also recommend that you allow Microsoft product updates as discussed previously.

Настройка времени получения обновлений функций и качества на устройствах Set when devices receive feature and quality updates

Я хочу получать предварительные версии следующего обновления компонентов I want to receive pre-release versions of the next feature update

1. Убедитесь в том, что вы зарегистрированы в программе предварительной оценки Windows для бизнеса. Ensure that you are enrolled in the Windows Insider Program for Business. Это полная бесплатная программа, которую можно использовать в целях проверки обновлений компонентов до их выпуска. This is a completely free program available to commercial customers to aid them in their validation of feature updates before they are released. Присоединение к программе позволяет получать обновления перед выпуском, а также получать сообщения электронной почты и сведения о том, что происходит в следующих обновлениях. Joining the program enables you to receive updates prior to their release as well as receive emails and content related to what is coming in the next updates.
2. С помощью консоли управления групповыми политиками перейдите к разделу Конфигурация компьютера > административные шаблоны > компонентах windows > центр обновления windows > центр обновления Windows для бизнеса > управление предварительными сборками и Настройка политики для включения предварительных сборок для всех тестовых устройств, для которых вы хотите установить предварительные сборки. Use Group Policy Management Console to go to: Computer Configuration > Administrative Templates > Windows Components > Windows Update > Windows Update for Business > Manage preview builds and set the policy to Enable preview builds for any of test devices you want to install pre-release builds.
3. Использование консоли управления групповыми политиками для перехода к параметрам конфигурации компьютера > административных шаблонах > компонентах windows > центр обновления windows > центр обновления Windows для бизнеса > выберите время получения предварительных сборок и обновлений компонентов. Use Group Policy Management Console to go to Computer Configuration > Administrative Templates > Windows Components > Windows Update > Windows Update for Business > Select when Preview Builds and Feature Updates are received. В области Параметры для выбора одной из предварительных сборок используется меню раскрывающемся. In the Options pane, use the pulldown menu to select one of the preview builds. Мы перекомментируйте программу предварительной оценки Windows с помощью предварительных сборок для проверки подлинности для коммерческих пользователей. We recomment Windows Insider Program Slow for commercial customers using pre-release builds for validation.
4. Нажмите кнопку ОК. Select OK.

Я хочу управлять тем, какая выпущенная функция обновляет полученные устройства I want to manage which released feature update my devices receive

Администратор Windows Update для бизнеса может откладывать или приостанавливать обновления. A Windows Update for Business administrator can defer or pause updates. Вы можете отложить обновление компонентов до 365 дней и отложить обновление качества в течение 30 дней. You can defer feature updates for up to 365 days and defer quality updates for up to 30 days. Откладывание означает, что вы не будете получать обновление до тех пор, пока не будет выпущено хотя бы указанное количество дней РБП (Дата предложения = Дата выпуска + Дата отсрочки). Deferring simply means that you will not receive the update until it has been released for at least the number of deferral days you specified (offer date = release date + deferral date). Вы можете приостановить обновление компонента или качества в течение до 35 дней с указанной даты начала. You can pause feature or quality updates for up to 35 days from a given start date that you specify.

• Чтобы отложить или приостановить обновление компонента, выберите пункт «Конфигурация компьютера > административные шаблоны» > компонентах windows > центра обновления windows > Windows Update для бизнеса > выбрать время получения предварительных сборок и обновлений компонентов . To defer or pause a feature update: Computer configuration > Administrative Templates > Windows Components > Windows Update > Windows Update for Business > Select when Preview Builds and Feature Updates are Received
• Задержать или приостановить обновление качества: Конфигурация компьютера > административные шаблоны > компонентов windows > центра обновления windows > Windows Update для бизнеса > выбрать время получения обновлений качества Defer or pause a quality update: Computer configuration > Administrative Templates > Windows Components > Windows Update > Windows Update for Business > Select when Quality Updates are Received

Пример. Example

В этом примере для обновлений качества используется три кольца. In this example, there are three rings for quality updates. Первый звонок («пилотный») имеет период отсрочки в 0 дней. The first ring («pilot») has a deferral period of 0 days. Второй звонок («быстрый») включает РБП в течение пяти дней. The second ring («fast») has a deferral of five days. Третий звонок («медленное») включает РБП в десять дней. The third ring («slow») has a deferral of ten days.

После выпуска обновления качества, оно будет предлагаться для устройств в пилотном абоненте в следующий раз, когда они проверяются на наличие обновлений. When the quality update is released, it is offered to devices in the pilot ring the next time they scan for updates.

Пять дней позже Five days later

Устройства в быстром круге предлагают обновленное качество при следующей проверке на наличие обновлений. The devices in the fast ring are offered the quality update the next time they scan for updates.

Десять дней позже Ten days later

Десять дней после выпуска обновления качества выводятся на устройствах, находящийся в медленном канале, при следующей проверке на наличие обновлений. Ten days after the quality update is released, it is offered to the devices in the slow ring the next time they scan for updates.

Если проблемы не возникают, на всех устройствах, которые проверяются на наличие обновлений, будет предложено обновление качества в десять дней выпуска в три волны. If no problems occur, all of the devices that scan for updates will be offered the quality update within ten days of its release, in three waves.

Что делать, если при обновлении возникла проблема? What if a problem occurs with the update?

В этом примере обнаружена проблема, связанная с развертыванием обновления на кольцах «пилотный». In this example, some problem is discovered during the deployment of the update to the «pilot» ring.

На этом этапе ИТ-администратор может настроить политику, чтобы приостановить обновление. At this point, the IT administrator can set a policy to pause the update. В этом примере администратор устанавливает флажок » приостановить обновление качества «. In this example, the admin selects the Pause quality updates check box.

Теперь все устройства приостановлены от обновления в течение 35 дней. Now all devices are paused from updating for 35 days. После удаления приостановки будет предложено следующее обновление качества, которое, в идеале, не будет иметь такой же проблем. When the pause is removed, they will be offered the next quality update, which ideally will not have the same issue. Если проблема не устранена, ИТ-администратор может снова приостановить обновление. If there is still an issue, the IT admin can pause updates again.

Я хочу сохранить определенную версию I want to stay on a specific version

Если вы хотите, чтобы устройство оставалось на более поздней версии, а не в момент времени, когда вы пройдете на следующую версию или хотите пропустить версию (например, обновление для выпусков обновлений в выпуске), используйте параметр выбрать версию обновления для целевой функции , вместо того чтобы использовать параметр указать, когда для РБП по обновлению компонентов поступили обновления компонентов. If you need a device to stay on a version beyond the point when deferrals on the next version would elapse or if you need to skip a version (for example, update fall release to fall release) use the Select the target Feature Update version setting instead of using the Specify when Preview Builds and Feature Updates are received setting for feature update deferrals. При использовании этой политики укажите версию, которую вы хотите использовать для ваших устройств. When you use this policy, specify the version that you want your device(s) to use. Если вы не обновите этот параметр до тех пор, пока устройство не достигнет конца обслуживания, оно будет автоматически обновляться после того, как в течение 60 дней после окончания обслуживания для ее выпуска. If you don’t update this before the device reaches end of service, the device will automatically be updated once it is 60 days past end of service for its edition.

Если вы задаете политику целевой версии, если указана версия обновления компонентов, более ранняя, чем текущая, или задано недействительное значение, устройство не будет получать обновления функций до обновления политики. When you set the target version policy, if you specify a feature update version that is older than your current version or set a value that isn’t valid, the device will not receive any feature updates until the policy is updated. Если указать конечную политику версии, РБП не будет применяться. When you specify target version policy, feature update deferrals will not be in effect.

Управление работой пользователей с обновлениями Manage how users experience updates

Я хочу управлять тем, когда устройства загружаются, устанавливаются и перезапускаются после обновлений. I want to manage when devices download, install, and restart after updates

Рекомендуется разрешить обновление автоматически — это поведение по умолчанию. We recommend that you allow to update automatically—this is the default behavior. Если вы не настроили политику автоматического обновления, устройство попытается скачать, установить и перезапустить в наиболее подходящее время для пользователя, используя встроенную логику, например интеллектуальные активные часы и интеллектуальную проверку погрузки. If you don’t set an automatic update policy, the device will attempt to download, install, and restart at the best times for the user by using built-in intelligence such as intelligent active hours and smart busy check.

Для более детального контроля можно задать максимальный период активности (в часах), который пользователь может настроить с помощью конфигурации компьютера > административных шаблонов > компонентов windows > центра обновления windows > укажите диапазон периода активности для автоматического перезапуска. For more granular control, you can set the maximum period of active hours the user can set with Computer Configuration > Administrative Templates > Windows Components > Windows Update > Specify active hours range for auto restart.

Лучше отключить настройку политики активности, поскольку она включена по умолчанию, когда автоматическое обновление отключено, и обеспечивает более высокое качество связи, когда пользователи могут задать собственные активные часы. It’s best to refrain from setting the active hours policy because it’s enabled by default when automatic updates are not disabled and provides a better experience when users can set their own active hours. Если вы хотите настроить часы в активном состоянии, используйте Параметры конфигурации компьютера > административных шаблонов > компонентов windows > центра обновления windows > отключите автоматическую перезагрузку для обновлений в течение периода активности. If you do want to set active hours, use Computer Configuration > Administrative Templates > Windows Components > Windows Update > Turn off auto-restart for updates during active hours.

Чтобы обновить данные за пределами активного часа, вам не нужно настраивать дополнительные параметры: просто не отключайте автоматический перезапуск. To update outside of the active hours, you don’t need to set any additional settings: simply don’t disable automatic restarts. Для более детального контроля можно использовать функцию автоматического обновления для планирования времени установки, дня или недели. For even more granular control, consider using automatic updates to schedule the install time, day, or week. Для этого воспользуйтесь конфигурацией компьютера > административных шаблонов > компонентах windows > центра обновления windows > настроить автоматические обновления и выберите пункт Автоматическая загрузка и запланируйте установку. To do this, use Computer Configuration > Administrative Templates > Windows Components > Windows Update > Configure Automatic Updates and select Auto download and schedule the install. Вы можете настроить этот параметр таким образом, чтобы он отображался в том виде, в котором оно должно быть установлено на ваших устройствах. You can customize this setting to accommodate the time that you want the update to be installed for your devices.

Когда вы настраиваете эти политики, установка автоматически происходит в указанное время, а после завершения установки устройство будет перезагружено на 15 минут (если оно не прервано пользователем). When you set these policies, installation happens automatically at the specified time and the device will restart 15 minutes after installation is complete (unless it’s interrupted by the user).

Я хочу защитить устройства и обеспечить соответствие требованиям крайних сроков обновления I want to keep devices secure and compliant with update deadlines

Мы рекомендуем использовать Параметры конфигурации компьютера > административных шаблонов > компонентах windows > центра обновления windows > задать крайний срок для автоматических обновлений и перезапускать обновления компонентов и качества для обеспечения надежной защиты устройств в Windows 10 версии 1709 и более поздних версий. We recommend that you use Computer Configuration > Administrative Templates > Windows Components > Windows Update > Specify deadline for automatic updates and restarts for feature and quality updates to ensure that devices stay secure on Windows 10, version 1709 and later. Это позволяет указать количество дней, которое может пройти после того, как обновление будет предложено для устройства, прежде чем оно должно быть установлено. This works by enabling you to specify the number of days that can elapse after an update is offered to a device before it must be installed. Кроме того, вы можете задать количество дней, которое может пройти после ожидания перезапуска, прежде чем пользователь будет принудительно перезапускаться. Also you can set the number of days that can elapse after a pending restart before the user is forced to restart.

Кроме того, эти политики позволяют отказаться от автоматического перезапуска, пока не будет достигнут крайний срок, выполнив действие «запущенный перезапуск», пока не истечет срок действия. This policies also offers an option to opt out of automatic restarts until a deadline is reached by presenting an «engaged restart experience» until the deadline has actually expired. На этом этапе устройство автоматически запланирует перезагрузку независимо от периода активности. At that point the device will automatically schedule a restart regardless of active hours.

Эти уведомления отображаются пользователем в зависимости от выбранных параметров. These notifications are what the user sees depending on the settings you choose:

При указании крайних сроков для автоматических обновлений и перезапусков устанавливается (для Windows 10, версия 1709 и более поздние версии): When Specify deadlines for automatic updates and restarts is set (For Windows 10, version 1709 and later):

В ожидании перезапуска перед крайним сроком происходит следующее: While restart is pending, before the deadline occurs:

В течение первых нескольких дней пользователь получает всплывающее уведомление For the first few days, the user receives a toast notification

По прошествии этого периода пользователь получит это диалоговое окно: After this period, the user receives this dialog:

Если запланирована перезагрузка пользователя или запланировано автоматическое перезагрузка, за 15 минут до запланированного времени, когда пользователь получит это уведомление о том, что перезагрузка будет выполнена, выполните указанные ниже действия. If the user scheduled a restart, or if an auto restart is scheduled, 15 minutes before the scheduled time the user is receives this notification that the restart is about to occur:

Если перезапуск по-прежнему находится в состоянии ожидания после прохождения крайнего срока, сделайте следующее: If the restart is still pending after the deadline passes:

В течение 12 часов до наступления крайнего срока пользователь получает это уведомление о том, что приближается крайний срок. Within 12 hours before the deadline passes, the user receives this notification that the deadline is approaching:

После окончания срока действия пользователь принудительно перезапустится, чтобы обеспечить соответствие устройств требованиям и получить это уведомление. Once the deadline has passed, the user is forced to restart to keep their devices in compliance and receives this notification:

Я хочу управлять уведомлениями, которые видит пользователь I want to manage the notifications a user sees

На эти уведомления влияют дополнительные параметры. There are additional settings that affect the notifications.

Мы рекомендуем использовать уведомления по умолчанию, так как они предназначены для обеспечения оптимального взаимодействия с пользователем при настройке политик соответствия требованиям. We recommend that you use the default notifications as they aim to provide the best user experience while adjusting for the compliance policies that you have set. Если у вас есть дополнительные требования, которые не соответствуют настройкам уведомлений по умолчанию, вы можете использовать конфигурацию компьютера > административных шаблонов > компонентов windows > центра обновления windows > отображения параметров уведомлений для обновления со следующими значениями: If you do have further needs that are not met by the default notification settings, you can use Computer Configuration > Administrative Templates > Windows Components > Windows Update > Display options for update notifications with these values:

0 (по умолчанию) — использование уведомлений по умолчанию в Windows Update 1 — отключение всех уведомлений, Кроме предупреждений о перезапуске 2 — отключение всех уведомлений, в том числе предупреждений о перезапуске. 0 (default) – Use the default Windows Update notifications 1 – Turn off all notifications, excluding restart warnings 2 – Turn off all notifications, including restart warnings

Вариант 2 создает слабый интерфейс для персональных устройств. рекомендуется использовать только для устройств с киосками, в которых автоматическое перезагрузка отключено. Option 2 creates a poor experience for personal devices; it’s only recommended for kiosk devices where automatic restarts have been disabled.

В параметрах «Конфигурация компьютера» доступны дополнительные параметры, > административные шаблоны > компонентах windows > центра обновления windows > настроить автоматическое оповещение о повторном запуске приперезапуске для обновлений. Still more options are available in Computer Configuration > Administrative Templates > Windows Components > Windows Update > Configure auto-restart restart warning notifications schedule for updates. Этот параметр позволяет указать период уведомления о предупреждении об автоматическом перезапуске (от 2-24 часов; 4 часа по умолчанию) до обновления и задать период для уведомлений о возможной ошибке автоматического перезапуска (15-60 минут является значением по умолчанию). This setting allows you to specify the period for auto-restart warning reminder notifications (from 2-24 hours; 4 hours is the default) before the update and to specify the period for auto-restart imminent warning notifications (15-60 minutes is the default). Мы рекомендуем использовать уведомления по умолчанию. We recommend using the default notifications.

Управление параметрами обновления, к которым пользователь может получить доступ I want to manage the update settings a user can access

Каждое устройство с Windows предоставляет пользователям множество элементов управления, которые можно использовать для управления обновлениями Windows. Every Windows device provides users with a variety of controls they can use to manage Windows Updates. Они могут получить доступ к этим элементам управления, выполнив поиск по запросу «обновления Windows» или выбрав » обновления и безопасность » в меню » Параметры«. They can access these controls by Search to find Windows Updates or by going selecting Updates and Security in Settings. Мы предоставляем возможность отключить различные элементы управления, доступные для пользователей. We provide the ability to disable a variety of these controls that are accessible to users.

Пользователи, у которых есть доступ к параметрам приостановки обновления, могут предотвратить обновление компонентов и качества в течение 7 дней. Users with access to update pause settings can prevent both feature and quality updates for 7 days. Вы можете запретить пользователям приостанавливать обновления на странице «Параметры центра обновления Windows» с помощью конфигурации компьютера > административных шаблонов > компонентов windows > центра обновления windows > удалить Access для «приостановить обновления». You can prevent users from pausing updates through the Windows Update settings page by using Computer Configuration > Administrative Templates > Windows Components > Windows Update > Remove access to “Pause updates. Если вы отключите этот параметр, пользователи увидят некоторые параметры, которыми управляет ваша организация , а параметры приостановки обновления будут затенены. When you disable this setting, users will see Some settings are managed by your organization and the update pause settings are greyed out.

Если вы используете сервер обновлений Windows Server (WSUS), вы можете запретить пользователям сканировать Windows Update. If you use Windows Server Update Server (WSUS), you can prevent users from scanning Windows Update. Для этого воспользуйтесь конфигурацией компьютера > административных шаблонов > компонентах windows > центра обновления windows > снимите Access, чтобы использовать все возможности Центра обновления Windows. To do this, use Computer Configuration > Administrative Templates > Windows Components > Windows Update > Remove access to use all Windows Update features.

Источник