Для централизованной настройки параметров получения и установки обновлений на рабочих станциях и серверах Windows можно использовать групповые политики. В этой статье мы рассмотрим базовые параметры GPO, которые позволяют управлять установкой обновлений на компьютерах, получающих обновления от локального сервера WSUS или напрямую с серверов Windows Update в интернете.
Содержание:
- Настройка параметров получения обновлений клиентам WSUS через GPO
- Назначить групповые политики WSUS на OU с компьютерами
- Применение групповых политик Windows Update на клиентах
- GPO для получения и установки обновлений Windows Update через Интернет
Настройка параметров получения обновлений клиентам WSUS через GPO
Если у вас развернут собственный сервер обновлений Windows Server Update Services (WSUS), вы должны настроить рабочие стации и сервера в вашем домене AD для получения обновлений с него (а не с серверов Microsoft Update через Интернет).
В нашем случае мы хотим создать две разные политики установки обновлений для рабочих станций и серверов. Для этого откройте консоль управления WSUS (
wsus.msc
) на сервере и создайте в разделе Computers -> All Computers две группы компьютеров:
- Workstations
- Servers
Затем перейдите в раздел настройки сервера WSUS (Options), и в параметре Computers измените значение Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).
Эта опция включает client side targeting для клиентов WSUS (таргетинг на стороне клиента). Благодаря этому вы сможете автоматически распределить компьютеры по группам обновлений в консоли WSUS по специальной метке в реестре клиента (такая метка создается через GPO или напрямую в реестре.
Теперь откройте консоль управления доменные групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.
Начнем с описания серверной политики ServerWSUSPolicy.
Настройки параметров службы обновлений Windows, находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows).
Мы хотим, чтобы продуктивные сервера не устанавливали обновления автоматически и не перезагружались без подтверждения администратора. Для этого настроим GPO так, чтобы сервера автоматически скачивали доступные обновления, но не устанавливали их. Администраторы будут запускать установку обновлений вручную (из панели управления или с помощью модуля PSWindowsUpdate) в согласованные окна обслуживания.
Настроим следующие параметры политики:
- Configure Automatic Updates (Настройка автоматического обновления):
Enable
.
3 – Auto download and notify for install
(Автоматически загружать обновления и уведомлять об их готовности к установке) – клиент автоматически скачивает новые обновлений и оповещает об их наличии; - Specify Intranet Microsoft update service location (Указать размещение службы обновлений Майкрософт в интрасети): Enable. Set the intranet update service for detecting updates (Укажите службу обновлений в интрасети для поиска обновлений):
http://srv-wsus.winitpro.ru:8530
, Set the intranet statistics server (Укажите сервер статистики в интрасети):
http://srv-wsus.winitpro.ru:8530
– здесь нужно указать адрес вашего сервера WSUS и сервера статистики (обычно они совпадают); - No auto-restart with logged on users for scheduled automatic updates installations (Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователя):
Enable
– запретить автоматическую перезагрузку при наличии сессии пользователя; - Enable client-side targeting (Разрешить клиенту присоединение к целевой группе):
Enable
. Target group name for this computer (Имя целевой группы для данного компьютера):
Servers
– в консоли WSUS отнести клиенты к группе Servers
Для рабочих станций мы хотим включить автоматическую загрузку и установку Windows Update сразу после получения новых обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически в нерабочее время (с предварительным предупреждением пользователей).
В настройках WorkstationWSUSPolicy указываем:
- Allow Automatic Updates immediate installation (Разрешить немедленную установку автоматических обновлений):
Disabled
— запрет на немедленную установку обновлений при их получении; - Allow non-administrators to receive update notifications (Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях):
Enabled
— отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку; - Configure auto-restart reminder notifications for updates и Configure auto-restart warning notifications schedule for updates – показывать пользователям уведомления о перезагрузке
- Configure Automatic Updates:
Enabled
. Configure automatic updating:
4 — Auto download and schedule the install
. Scheduled install day:
0 — Every day
. Scheduled install time:
05:00
– при получении новых обновлений клиент скачивает в локальный кэш и планирует их автоматическую установку на 5:00 утра; - Enable client-side targeting:
Workstations
– в консоли WSUS отнести клиента к группе Workstations; - No auto-restart with logged on users for scheduled automatic updates installations:
Disabled
— система автоматически перезагрузится через 5 минут после окончания установки обновлений; - Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates:
http://srv-wsus.winitpro.ru:8530
, Set the intranet statistics server:
http://srv-wsus.winitpro.ru:8530
–адрес WSUS сервера. - Включите опции Do not allow update deferral policies to cause scans against Windows Update (ссылка) и Do not connect to any Windows Update Internet locations. Это позволит предотвратить обращение клиента к серверам Windows Update в интернете.
- Turn off auto-restart for updates during active hours –
Enabled
. Отключить авто перезагрузку после установки обновлений в рабочее время (задать интервал рабочего времени в политике Active Hours Start и Active Hours End. Например, с 8 AM до 5 PM)
В обеих GPO включите принудительный запуск службы Windows Update (
wuauserv
) на компьютерах. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).
Назначить групповые политики WSUS на OU с компьютерами
Затем в консоли управления GPO прилинкуйте созданные вами политики к соответствующим контейнерам (подразумевается что для серверов и рабочих станций в AD созданы отдельные контейнеры OU).
Совет. Мы рассматриваем лишь один довольно простой вариант привязки политик WSUS к клиентам. В реальных организациях возможно привязать одну политику WSUS на все компьютеры домена (GPO с настройками WSUS вешается на корень домена), разнести различные виды клиентов по разным OU (как в нашем примере – мы создали разные политики WSUS для серверов и рабочих станций). В больших распределенных доменах можно привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные способы.
Щелкните в консоли GPMC по нужному OU, выберите пункт меню Link as Existing GPO и привяжите нужную политику WSUS.
Совет. Также привяжите серверную политику WSUS к OU Domain Controllers.
Аналогично назначьте политику для компьютеров на OU с рабочими станциями.
Применение групповых политик Windows Update на клиентах
Дождитесь применения новых настроек GPO на клиентах или обновите их вручную:
gpupdate /force
Чтобы с клиента ускорить процесс регистрации и сканирования состояния на сервере WSUS, выполните команды:
$updateSession = new-object -com "Microsoft.Update.Session"; $updates=$updateSession.CreateupdateSearcher().Search($criteria).Updates
wuauclt /reportnow
Все настройки Windows Update, которые мы задали групповыми политиками должны появится на клиентах в ветке реестре HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.
Настройки из этой ветки можно экспортировать в REG файл и использовать его для переноса настроек WSUS на другие компьютеры, на которых нельзя задать параметры обновления с помощью GPO (компьютеры в рабочей группе, изолированных сегментах, DMZ и т.д.)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://srv-wsus.winitpro.ru:8530"
"WUStatusServer"="http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
Через некоторое время все клиенты появятся в назначенных группах компьютеров в консоли WSUS. Здесь будут видны имена компьютеров, IP адреса, версии ОС, процент их пропатченности и дата последнего сканирования.
Клиенты скачивают CAB файлы обновлений в каталог
%windir%\SoftwareDistribution\Download
. Логи сканирования, загрузки и установки обновлений можно получить из файлов WindowsUpdate.log.
GPO для получения и установки обновлений Windows Update через Интернет
Если у вас отсутствует собственный сервер WSUS, вы можете использовать рассмотренные выше групповые политики для настройки параметров получения и установки обновлений на компьютеры из интернета (с серверов Windows Update).
В этом случае задайте в Not configured все параметры GPO, которые задают получение обновлений с WSUS:
- Specify Intranet Microsoft update service location: Not set
- Target group name for this computer: Not Set
- Do not allow update deferral policies to cause scans against Windows Update: Disabled
- Do not connect to any Windows Update Internet locations: Disabled
Такоие настройки GPO позволяет вам управлять тем, как компьютеры скачивают и устанавливают обновления Windows.
Обновления системы предназначены не только для добавления нового функционала, но и для исправления имеющихся уязвимости и улучшения безопасности операционной системы, поэтому важно регулярно их устанавливать. Рассмотрим варианты включения автоматических обновлений с помощью групповых политик на Windows Server 2022.
Настройка автоматических обновлений Windows Server с помощью редактора локальной групповой политики
“Редактор локальной групповой политики” позволяет настроить автоматическое обновление на локальном компьютере.
Чтобы открыть “Редактор локальной групповой политики”, нажмите сочетание клавиш WIN+R, впишите “gpedit.msc” и нажмите ОК:
Перейдите в Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Центр обновления Windows:
Найдите в списке пункт “Настройка автоматического обновления” и кликните по нему 2 раза.
В открывшемся окне нужно выбрать “Включено”, после чего вы сможете гибко настроить автоматическое обновление для своего сценария использования:
Для того, чтобы выбранные настройки сохранились, нажмите “Применить”.
Чтобы измененная групповая политика вступила в силу, в командной строке нужно прописать:
gpupdate /force.
Настройка автоматических обновлений Windows Server с помощью редактора групповой политики
Если у вас создан домен Active Directory и вы хотите включить автоматические обновления на всех компьютерах, находящихся в домене, то вам потребуется использовать “Редактор управления групповыми политиками” на контроллере домена.
Нажмите меню «Пуск», введите «Диспетчер серверов» и нажмите Enter.
Перейдите в Средства –> Управление групповой политикой:
Перейдите в Лес –> Домены –> <Ваш домен>, нажмите правой кнопкой мыши на «Объекты групповой политики» и выберете Создать:
Впишите имя создаваемого объекта групповой политики. Исходный объект выбирать не нужно.
После того, как создался новый объект, нажмите на него правой кнопкой мыши и выберете Изменить.
Перейдите в Конфигурация компьютера –> Политики –> Административные шаблоны –> Компоненты Windows –> Центр обновления Windows:
Найдите в списке пункт “Настройка автоматического обновления” и кликните по нему 2 раза.
В открывшемся окне, аналогично редактору локальной групповой политики, нужно выбрать “Включено”, после чего настроить автоматическое обновление:
Для того, чтобы выбранные настройки сохранились, нажмите “Применить”.
Чтобы домен начал использовать созданный объект групповой политики, нужно нажать правой кнопкой мыши на домен и выбрать Связать существующий объект групповой политики:
Выберете новый объект групповой политики. После этого нужно подождать 10-20 минут для того, чтобы объект применился.
ПоделитьсяНашли опечатку?Пожалуйста, сообщите об этом — просто выделите ошибочное слово или фразу и нажмите Shift Enter.
|
Добавить комментарий |
На работе комп (win 10 corp/pro) введен в домен. Доменные настройки и обновления винды есть только для XP и win7. Соответственно win10 тоже настроился на локальный wsus, на котором для него ничего нет. Как можно (через реестр или как) указать системе обычные сервера обновлений через инет, а не локальные, не выводя из домена?
Переделать доменные настройки не предлагать 
p.s. почему то просьба НЕ предлагать переделать настройки домена никого не волнует. я НЕ администратор данного домена, он находиться в другом городе и администрируется другими людьми (я лишь нахожусь в небольшом филиале и не имею к нему ни малейшего доступа). у нас официально не используется win 10 в работе и поэтому у нас и НЕ БУДЕТ в ближайшее время изменений в wsus. это не моя прихоть! я лишь сам интересуюсь десяткой и работаю на ней, так как сам по себе домен и большинство настроек он нормально принимает как и win 7
-
Вопрос задан
-
24705 просмотров
Пригласить эксперта
>>Источник<<
Чтобы воспользоваться Редактором реестра, выполните следующие действия:
Нажмите кнопку Пуск, выберите пункт Выполнить и наберите в поле Открыть команду regedit.
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
Параметр: UseWUServer
Значение: установите значение 1, чтобы указать службе Автоматического обновления использовать сервер, на котором запущены службы SUS, вместо веб-узла Windows Update.
Тип: Reg_DWORD
Поставить: 0
wsus, на котором для него ничего нет.
Сообщите об этом администратору WSUS. Необходимо включить соответствующую категорию обновлений для синхронизации.
Или скачивать их Каталог Центра обновления Майкрософт. Поскольку для Windows 10 выпускается одно кумулятивное обновление в месяц (редко, обновление безопасности, отдельно — но входящее в следующее кумулятивное) это не доставит больших хлопот.
Журнал обновлений Windows 10
А ведь сразу даже в голову не пришло:
указать системе обычные сервера обновлений через инет, а не локальные
C:\Windows\System32\drivers\etc\hosts
Войдите, чтобы написать ответ
-
Показать ещё
Загружается…
Минуточку внимания
В Windows 10 подход к обновлению системы кардинально изменился, в связи с чем возможности по настройке автоматического обновления сильно урезаны. Кроме того, доступные настройки зависят от используемой редакции Windows.
Так в Windows 10 Home все новые функции, апдейты и обновления безопасности устанавливаются с Windows Update, при этом у пользователя нет никакой возможности управления процессом обновления. Единственное, что может сделать пользователь — это ненадолго отложить перезагрузку. Редакция Pro более гуманна и позволяет управлять некоторыми параметрами обновления — выбирать источник обновления, задавать расписание и откладывать установку обновлений (кроме обновлений безопасности) на длительный срок. Возможность полного отключения автоматического обновления не предусмотрена ни в одной из редакций в принципе.
Конечно, автоматическое обновление является важным компонентом операционной системы, а регулярная загрузка и установка обновлений, особенно критических исправлений и обновлений безопасности, необходима для стабильного и безопасного функционирования системы. Однако у пользователя должна быть возможность выбрать когда, как и какие обновления загружать и устанавливать. И даже возможность полностью выключить автоматическую проверку наличия обновлений тоже должна быть. О том, как реализовать эту возможность и пойдет речь далее.
Я постараюсь описать все известные мне способы управления автоматическими обновлениями в Windows 10. Начнем с самого простого и доступного.
Центр обновления Windows
В Windows 10 привычный классический «Центр обновления Windows» окончательно убран из панели управления и более недоступен. Новый центр обновления находится в разделе параметров системы и для его открытия надо в меню «Пуск» перейти в раздел «Параметры» — «Обновление и безопасность».
В основном окне центра обновления выбора практически нет, можно только просмотреть список доступных обновлений и сведения о них.
Единственная доступная настройка позволяет выбрать время для обязательной перезагрузки. Здесь можно указать желаемые день и время перезагрузки либо перезагрузиться сразу, чтоб долго не мучаться 🙂
В редакции Home это все доступные настройки, а в старших редакциях Windows 10 (Pro, Enterprise и Education) пользователь может перейти по ссылке «Дополнительные параметры».
В дополнительных параметрах есть возможность выбрать способ установки обновлений. Правда выбор небогатый и состоит всего из двух вариантов:
• Автоматически — обновления автоматически загружаются и устанавливаются, после чего следует автоматическая перезагрузка;
• Уведомлять о планировании перезагрузки — загрузка и установка обновлений также происходит автоматически, но перезагрузку можно запланировать на удобное для себя время.
Также можно включить опцию «Отложить обновления», которая позволяет на некоторое время отключить загрузку и установку обновлений. Эта опция рассчитана в основном на корпоративных пользователей и предназначена для того, чтобы дать им возможность протестировать новый функционал (который теперь может включаться в обновления) перед его массовым внедрением в организации. У пользователей редакции Home такой возможности нет, поэтому они невольно выступают тестерами 🙂 для корпоративного сектора.
В отложенные обновления не входят критические исправления и обновления безопасности, которые будут автоматически устанавливаться в любом случае. Точный срок, на который откладываются обновления, неизвестен, в разных источниках встречаются цифры от нескольких дней до нескольких месяцев.
Еще один интересный момент. В Windows 10 встроен новый механизм доставки обновлений (Windows Update Delivery Optimisation), основанный на P2P технологии. Проще говоря, после загрузки обновлений с серверов Windows Update ваш компьютер начинает раздавать их на другие устройства в сети, по принципу торрент-клиента.
Эта функция включена по умолчанию и для ее отключения надо перейти по ссылке «Выберите, как и когда получать обновления» и установить ползунок в положение Откл.
Просмотреть установленные обновления можно в Панели управления, перейдя в раздел «Программы и компоненты» — «Установленные обновления». Если после обновления появились проблемы, то здесь же любое из установленных обновлений можно удалить.
Отключение автоматического обновления драйверов
Операционная система Windows содержит в себе хранилище драйверов для наиболее распространенных устройств. Загрузка новых версий драйверов по умолчанию производится автоматически, с помощью Windows Update. В некоторых случаях наличие в системе нужного драйвера довольно удобно, однако Windows Update далеко не всегда содержит самый свежий\лучший драйвер, да и обновлять драйвера лучше вручную во избежании неожиданных проблем с оборудованием. Поэтому автоматическое обновление драйверов лучше все-таки отключить, благо эта возможность в Windows 10 пока еще есть.
Для того, чтобы добраться до настроек обновления драйверов, нужно открыть в панели управления раздел «Система» и выбрать пункт «Дополнительные параметры системы», затем перейти на вкладку «Оборудование» и нажать кнопку «Параметры установки устройств». Также открыть нужное окно можно, нажав Win+R и выполнив команду rundll32 newdev.dll,DeviceInternetSettingUi.
Для отключения автоматической загрузки драйверов выбираем пункт «Никогда не устанавливать драйверы из центра обновления Windows».
Отключение автоматического обновления современных приложений
Современные приложения (приложения из магазина Windows) также обновляются автоматически. Чтобы это исправить, надо в меню «Пуск» открыть пункт «Магазин», кликнуть по значку человечка, в открывшемся меню выбрать пункт «Параметры», а затем в пункте «Обновлять приложения автоматически» поставить переключатель в положение Выкл.
После этого приложения из магазина не будут обновляться автоматически, и при необходимости их придется обновлять вручную.
Примечание. Изначально пользователи Windows 10 Home не могли отключить автоматическое обновление приложений из магазина Windows. Эта возможность была добавлена позднее, с обновлением KB3081448.
Утилита Show or hide update
Старый Центр обновления помимо прочего давал возможность выбирать и откладывать на неопределенный срок (скрывать) обновления. В новом этой возможности изначально нет, но зато есть специальная утилита от Microsoft с названием Show or hide update, которая умеет делать примерно то-же. Утилита не входит в состав системы а загружается отдельно.
Установка не требуется, достаточно скопировать и запустить файл wushowhide.diagcab, после чего утилита приступает к сбору данных о доступных обновлениях.
После сбора данных предлагается выбрать действие. Для скрытия обновлений выбираем «Hide updates».
Отмечаем те обновления, которые необходимо скрыть, и жмем «Далее».
Пока обновление скрыто, операционная система не будет его устанавливать. А при необходимости скрытые обновления можно восстановить, для чего надо снова запустить утилиту, выбрать «Show hidden updates» и поставить галочку напротив нужного обновления. После этого обновление будет установлено в общем порядке.
Использование «Show or hide update» дает возможность отложить установку любых проблемных обновлений (в том числе и обновлений безопасности), однако полностью избежать обновления таким образом не получится. Все мелкие обновления входят в состав крупных и рано или поздно будут установлены.
Это были простые способы, потихоньку переходим к более продвинутым.
Настройка автоматического обновления с помощью PowerShell
Для управления обновлениями можно воспользоваться модулем PSWindowsUpdate из центра сценариев Microsoft. Для использования скачиваем архив, распаковываем его и кладем в папку %WINDIR%\System32\WindowsPowerShell\v1.0\Modules. Затем запускаем консоль PowerShell и разрешаем выполнение неподписанных скриптов командой:
Set-ExecutionPolicy Bypass -Force
Импортируем модуль в текущий сеанс:
Import-Module PSWindowsUpdate
И выводим список команд для модуля:
Get-Command -Module PSWindowsUpdate
Модуль содержит 14 командлетов:
Get-WUList — выдает список доступных обновлений;
Get-WUInstall — запускает загрузку и установку обновлений;
Get-WUUninstall — удаляет выбранные обновления;
Invoke-WUInstall — служит для управления обновлением на удаленных компьютерах;
Hide-WUUpdate — скрывает выбранные обновления;
Get-WUHistory — выводит информацию об установленных обновлениях;
Add-WUOfflineSync — регистрирует службу которая позволяет производить установку обновлений из локального кеша (Offline sync service);
Remove-WUOfflineSync — удаляет зарегистрированную службу;
Get-WUServiceManager — выводит список доступных служб обновления (Windows Update, WSUS и т.п.);
Add-WUServiceManager — регистрирует выбранную службу обновления;
Remove-WUServiceManager — удаляет выбранную службу обновления;
Get-WUInstallerStatus — показывает статус службы Windows Update Installer;
Get-WURebootStatus — позволяет уточнить необходимость перезагрузки;
Update-WUModule — служит для централизованного обновления модуля PSWindowsUpdate на удаленных компьютерах.
Для примера выведем список доступных обновлений и скроем одно из них:
Get-WUList
Hide-WUUpdate -KBArticleID KB3087040 -Confirm:$false
После этого обновление KB3087040 не будет установлено. При необходимости его можно разблокировать такой командой:
Hide-WUUpdate -KBArticleID KB3087040 -HideStatus:$false
Вообще модуль PSWindowsUpdate имеет довольно много возможностей, с которыми, по хорошему, надо подробно разбираться. Поддержка Windows 10 автором пока не заявлена, однако команды вполне корректно выполняются.
Настройка автоматического обновления с помощью групповых политик
Этот способ доступен только для старших редакций Windows 10, т.к. в редакции Home нет редактора групповых политик. Для открытия оснастки редактора локальных групповых политик нажимаем Win+R и выполняем команду gpedit.msc. Настройки автоматического обновления находятся в разделе Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows.
Все основные настройке задаются в политике «Настройка автоматического обновления». Сначала ее надо включить, после чего можно выбрать один из 4-х вариантов обновления:
2 — уведомление о загрузке и установке обновлений;
3 — автоматическая загрузка и уведомление об установке;
4 — автоматическая загрузка и установка по расписанию;
5 — разрешить локальному администратору выбирать параметры автоматического обновления.
Если выбран вариант 4, то дополнительно можно задать день и час для установки обновлений, а также указать устанавливать обновления только в период простоя, во время автоматического обслуживания системы.
Примечание. При активации данной политики настройки в Центре обновления Windows становятся недоступны. Исключение составляет вариант под номером 5, позволяющий локальным администраторам изменять режим обновления в центре обновления.
Если выбран вариант автоматической загрузки и установки по расписанию, то дополнительно можно использовать следующие настройки.
Всегда автоматически перезагружаться в запланированное время
Если эта политика включена, то после установки обновлений компьютер будет перезагружен независимо не от чего. Чтобы перезагрузка не была внезапной и пользователи успели сохранить результаты своей работы, можно задать таймер перезагрузки от 15 минут до 3 часов.
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи
Тут все ясно из названия политики. Если эта политика включена, то после установки обновлений компьютер не перезагружается автоматически, а выводит уведомление о завершении установки и ждет перезагрузки пользователем. Отменяет действие предыдущей политики.
Повторный запрос для перезагрузки при запланированных установках
Эта политика определяет время, через которое система выдаст повторный запрос при отмене запланированной перезагрузки. Если эта политика не активна, то запросы будут выдаваться каждые 10 минут.
Задержка перезагрузки при запланированных установках
В этой политике задается время, которое должно пройти с момента окончания установки обновлений до перезагрузки.
Перенос запланированных автоматических установок обновлений
В том случае, если компьютер был выключен и установка обновлений не была произведена в запланированное время, она будет запущена сразу после следующего запуска компьютера. В этой политике можно указать время, которое должно пройти с момента загрузки системы до начала установки.
Запретить установку устройств, не описанных другими параметрами политики
Эта политика служит для отключения автоматического обновления драйверов и находится в разделе Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничение на установку устройств.
Примечание. Я описал настройку локальных групповых политик, но есть и точно-такие же доменные. И если компьютер находится в сети предприятия и является членом домена Active Directory, то (как правило) настройки автоматического обновления определяются доменными политиками. Доменные политики имеют высший приоритет и переопределяют любые локальные настройки.
Настройка автоматического обновления с помощью реестра
Наиболее мощное средство управления системой — редактирование реестра. В реестре можно задать все те-же настройки, что и с помощью групповых политик, кроме того он дает возможность полностью выключить автоматическое обновление.
Для настройки открываем редактор реестра (Win+R -> Regedit) и заходим в раздел HKLM\SOFTWARE\Policies\Microsoft\Windows. Создаем новый раздел WindowsUpdate, в нем подраздел с именем AU. В разделе AU создаем параметры типа DWORD, которые отвечают за автоматическое обновление.
Вот наиболее важные из них.
AUOptions — основной параметр, отвечающий за способ получения и установки обновлений. Может иметь следующие значения:
• 2 — уведомлять перед загрузкой и установкой любых обновлений;
• 3 — автоматически загружать обновления и уведомлять о готовности установки;
• 4 — автоматически загружать обновления и устанавливать согласно расписанию;
• 5 — Разрешить локальным администраторам управлять параметрами обновления.
NoAutoUpdate — параметр, позволяющий полностью отключить автоматический поиск и установку обновлений. Значение 1 — автоматическое обновление отключено, 0 — обновления будут загружаться и устанавливаться согласно установкам, заданным в параметре AUOptions.
В случае, если значение включено автоматическая загрузка и установка по расписанию (AUOptions = 4), то дополнительно можно указать дополнительные параметры.
ScheduledInstallDay — день недели, на который запланирована установка обновлений. Значение 0 означает ежедневную установку, значения от 1 до 7 указывают на конкретный день недели (1 — понедельник).
ScheduledInstallTime -время, на которое запланирована установка обновлений. Для этого параметра доступны значения от 0 до 23 часов, что соответствует часам в сутках.
AutomaticMaintenanceEnabled — значение 1 означает, что установку обновлений надо производить во время простоя, в рамках автоматического обслуживания системы.
NoAutoRebootWithLoggedOnUsers — значение 1 запрещает автоматическую перезагрузку после установки обновлений. Служба автоматического обновления будет ожидать перезагрузки любым вошедшим в систему пользователем.
Примечание. Чисто теоретически управление обновлениями с помощью редактирования реестра может работать и в Windows 10 Home. На практике это не проверялось по причине отсутствия у меня нужной редакции.
Для отключения автоматического обновления драйверов надо в разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching найти параметр SearchOrderConfig и установить его значение равным 0.
Отключение службы автоматического обновления
И на самый экстренный случай отключить автоматическое обновление можно, остановив соответствующую службу. Для этого надо открыть оснастку «Службы» (Win+R -> services.msc), найти службу с названием «Центр обновления Windows» и остановить ее. А чтобы она не запустилась самостоятельно, тип запуска надо установить в положение Отключено.
То же самое можно сделать и с помощью PowerShell. Для остановки используем такую команду:
Stop-Service wuauserv -Force
Для отключения такую:
Set-Service wuauserv -StartupType Disabled
Посмотреть состояние службы можно так:
Get-Service wuauserv
Ну а так можно вернуть все обратно и запустить службу:
Set-Service wuauserv -StartupType Manual
Start-Service wuauserv
После отключения службы Центр обновления станет выдавать ошибку при попытке проверить наличие обновлений. Это крайне грубый способ, хотя он и работает на всех без исключения редакциях десятки, но повторюсь — использовать его стоит в экстренных случаях, например при необходимости срочно остановить процесс обновления.
Заключение
Как видите, хотя управлять автоматическими обновлениями в Windows 10 стало сложнее, способов для этого достаточно. В заключение скажу, что Microsoft не рекомендует надолго откладывать или полностью останавливать автоматическое обновление. Обновления имеют определенный срок годности, поэтому если не обновляться в течение 8 месяцев, то новые обновления невозможно будет установить.