Как принудительно обновить групповые политики на удаленных компьютерах в домене Active Directory
Данный материал является переводом оригинальной статьи «Active Directory Pro : Robert Allen : How to Update Group Policy on Remote Computers» и рассчитан на начинающих администраторов Windows.
В конфигурации по умолчанию доменные компьютеры обновляют групповые политики (Group Policy) при запуске операционной системы, а затем политики автоматически обновляются в фоновом режиме каждые 90 минут. Но бывают случаи, когда вы вносите изменения в существующие объекты групповой политики (Group Policy Objects/GPO) или создаете новые GPO, и вам нужно, чтобы изменения вступили в силу немедленно.
Далее мы рассмотрим три различных способа удаленного обновления групповой политики. Первый способ лучше всего подходит для старых клиентов Windows, второй и третий способы — для систем, работающих под управлением 2012 года и более поздних версий.
Этот способ использует на клиентских компьютерах встроенную в Windows команду под названием gpupdate. Чтобы немедленно принудительно обновить групповую политику на локальном компьютере, используют команду вида:
gpupdate /force
Параметр /force принудительно обновит все политики, а не только новые.
Однако, если у вас множество компьютеров, которые нуждаются в обновлении, было бы непросто входить в каждый из них и выполнять эту команду. Чтобы выполнить указанную (или любую другую) команду на удаленном компьютере, вы можете воспользоваться утилитой PsExec из набора инструментов Sysinternals.
Вот пример использования PsExec для удаленного обновления групповой политики:
PsExec \\Computername gpupdate
Просто замените Computername на фактическое имя хоста удаленного компьютера.
Способ 2: Использование Консоли Group Policy Management
В Windows Server 2012 и более поздних версиях теперь можно принудительно обновлять групповую политику на удаленных компьютерах с помощью консоли управления групповой политикой Group Policy Management.
Этот метод очень прост и позволяет запускать обновление в одном подразделении (Organizational Unit/OU) или во всех подразделениях Active Directory.
Шаг 1: Найдите в главном меню Консоль управления групповой политикой «Group Policy Management».
Вы можете открыть эту консоль на компьютере, на котором установлены средства RSAT.
Шаг 2: В дереве структуры подразделений (OU) домена Active Directory щелкните правой кнопкой мыши OU, чтобы открыть контекстное меню команд управления и вызвать пункт «Group Policy Update«.
Вы можете обновить отдельное подразделение или родительское подразделение, и оно обновит все дочерние подразделения.
Мы собираемся обновить свое родительское подразделение «ADPRO Computers». В этом подразделении есть несколько подразделений, разбитых на отделы. Это приведет к запуску обновления групповой политики на всех компьютерах, вложенных в эти OU.
Отвечаем утвердительно на вопрос о запуске обновления на указанном количестве компьютеров.
Далее мы увидим окно, показывающее нам статус обновления групповой политики на каждом компьютере.
Вот так просто использовать консоль управления групповой политикой для удаленного принудительного обновления групповой политики.
Способ 3: Использование Powershell командлета Invoke-GPUpdate
В Windows 7 / Windows Server 2012 и более новых ОС можно принудительно выполнить немедленное обновление с помощью PowerShell командлета Invoke-Gpupdate.
Вам потребуется установить PowerShell, а также упомянутую консоль управления групповой политикой (Group Policy Management) из состава RSAT.
Пример вызова команды обновления групповых политик:
Invoke-GPUpdate –Computer 'COMPUTER02' -RandomDelayInMinutes 0
Значение параметра RandomDelayInMinutes указывает задержку выполнения в минутах. Установив для него значение 0, вы сразу же обновите групповую политику.
Единственным недостатком использования этой команды является то, что клиенты получат всплывающее окно CMD, как показано ниже.
Это окно отображается около 3 секунд, а затем закрывается.
Если вы хотите использовать команду PowerShell для принудительного обновления
$computers = Get-ADComputer -Filter "*"
$computers | ForEach-Object -Process { Invoke-GPUpdate -Computer $_.name -RandomDelayInMinutes 0 -Force }Приведенные выше команды будут извлекать каждый компьютер из домена, помещать их в переменную и запускать команды для каждого объекта в переменной.
Замечание (вне рамок перевода текста исходной статьи):
При использовании командлета Invoke-GPUpdate на целевой системе в логе фиксируется 2 события: с кодом 1500 (обновление политик компьютера) и с кодом 1501 (обновление политик пользователя).
Если на удалённых компьютерах требуется форсированное обновление только компьютерных политик и не требуется обновление пользовательских политик, то можно избежать появления вышеописанного окна CMD. Это возможно, если воспользоваться таргетированием выполнения, то есть добавить к команде опцию -Target.
Пример команды, при которой обновится только политика компьютера (регистрация события 1500, окно в сессии пользователя не появляется):
Invoke-GPUpdate -Computer "computername" -RandomDelayInMinutes 0 -Target Computer
Пример команды, при которой обновится только политика пользователя (регистрация события 1501, окно в сессии пользователя появляется
Invoke-GPUpdate -Computer "computername" -RandomDelayInMinutes 0 -Target User
Дополнительно по теме групповых политик можно ознакомится со статьёй о построении отчёта о результирующих групповых политиках, применяемых к конкретному компьютеру и/или пользователю «GPResult Tool: How To Check What Group Policy Objects are Applied».
Обновление групповой политики удаленно и локально
Обновлено 29.08.2022
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз мы с вами мы с вами разбирали процедуру создания центрального хранилища административных шаблонов GPO. Движемся дальше и сегодня мы рассмотрим, самую распространенную задачу связанную с групповыми политиками, а именно научимся ее обновлять локально и удаленно, я расскажу в каких ситуациях данная информация вам можете помочь. Мы рассмотрим, какие инструменты у вас есть в арсенале, и я уверяю вас, что вы явно знали не обо всех.
Для чего нужно уметь обновлять групповую политику?
Перед тем, как перейти к практической части я бы хотел описать ряд ситуаций, которые вы можете встретить в своей практике, где вам можете потребоваться ручное обновление GPO. Еще хочу напомнить, что по умолчанию, любая операционная система Windows, являющаяся членом домена AD сама, автоматически производит обновление групповых политик каждые 90-120 минут, это позволяет не генерировать много сетевого трафика и сделать балансировку при обращении к мастеру PDC, но бывают и другие ситуации.
Предположим, что вы внесли важные обновления настроек для ваших серверов, например для авторизации CredSSP, или закрываете какую-то дыру безопасности, логично, что в Active Directory, это делается через групповые политики. Когда у вас 5-10 серверов, то нет проблем чтобы зайти на каждый из них через удаленный рабочий стол и выполнить команду, а когда серверов сотни, тут уже нужна массовость. Еще не нужно сбрасывать со счетов ситуации, когда вы по RDP не можете зайти, через редактор политик обновить не получается, что делать, тут можно сделать все удаленно через PowerShell или командную строку, об этом то же поговорим.
Вы всегда должны уметь и иметь возможность вносить массовые изменения на ваших серверах, и применять их как можно скорее
Методы обновления GPO
Давайте составим список способов и инструментов, которые вы можете использовать:
- Командная строка Windows — позволяет быстро выполнить обновление, работает локально
- Оболочка PowerShell — так же, как и cmd позволяет сделать обновление, как локально, так и удаленно
- Оснастка «Управление групповой политикой» — удаленное обновление GPO, есть возможность выбрать отдельные объекты
- Утилита PsExec — позволяет удаленно выполнить задачу
Давайте теперь опробуем каждый из этих методов.
Как обновить GPO через командную строку
Для выполнения этого метода, вы должны зайти локально на компьютер или сервер, открыть командную строку и ввести вот такую, небольшую команду:
gpupdate /force
Ключ /force произведет принудительное обновление групповой политики. Хочу отметить, что некоторые настройки могут применяться, только после выхода из системы. Если политика показала, что успешно обновилась, но эффекта не произошло, то смотрите мою статью «Почему не применяются GPO», придется делать траблшутинг.
Как вы можете обратить внимание, что команда выше производит обновление политик, как для пользователя, так и для компьютера, но при желании вы можете этим манипулировать и явным образом указать, что подлежит апдейту. Для этого есть ключ /Target:{Computer | User}. Предположим, что мне нужно выполнить только для пользователя, для этого пишем:
gpupdate /force /target:User
Еще интересный ключик, это выполнить задержку /Wait:{ваше значение}.
По умолчанию значение 600 секунд.
Как обновить GPO через PowerShell
Оболочка PowerShell так же имеет отдельный командлет, который легко может инициировать запрос на обновление групповой политики, называется он Invoke-GPUpdate.
Invoke-GPUpdate — это командлет обновляющий параметры групповой политики, включая настройки безопасности, которые установлены на удаленных компьютерах с помощью планирования хода выполнения команды Gpupdate. Вы можете комбинировать этот командлет по сценарию, чтобы запланировать команду Gpupdate на группе компьютеров. Обновление может быть запланировано для немедленного запуска параметров политики или ожидания в течение определенного периода времени, максимум до 31 дня. Чтобы избежать нагрузки на сеть, время обновления будет смещено на случайную задержку.
Давайте запросим обновление политик GPO на моем тестовом сервере с Windows Server 2019, для этого запускаем оболочку PowerShell и вводим команду:
Invoke-GPUpdate –RandomDelayInMinutes 0
Ключ –RandomDelayInMinutes 0 установит задержку в выполнении на ноль секунд, в противном случае обновление будет выполнено рандомно, через некоторое время.
Обратите внимание, что командлет не выдает никаких результатов, если все работает нормально. В некоторых случаях ваши пользователи могут увидеть всплывающее окно командной строки с заголовком taskeng.exe, которое отображает сообщение «Политика обновления». Через секунду окно исчезает.
Если нужно произвести обновление на удаленном компьютере, то нужно воспользоваться ключом -Computer, команда примет вот такой вид:
Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org –RandomDelayInMinutes 0
Если нужно выполнить принудительно без запроса подтверждения пользователя, то укажите ключ -Force.
Если нужно указать явно, что необходимо запросить политики только для пользователя или компьютера, то можно использовать ключ -Target, который имеет значения User или Computer. Кстати если удаленный компьютер не отвечает, то вы получите ошибку:
Invoke-GPUpdate : Компьютер «dc01.root.pyatilistnik.org» не отвечает. Целевой компьютер выключен или отключены правила брандмауэра удаленного управления запланированными задачами (Invoke-GPUpdate : Computer «dc01.
root.pyatilistnik.org» is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.).
Имя параметра: computer
строка:1 знак:1
+ Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org -Target User –Ra …
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationTimeout: (:) [Invoke-GPUpdate], ArgumentException
+ FullyQualifiedErrorId : COMException,Microsoft.GroupPolicy.Commands .InvokeGPUpdateCommand
Еще одним преимуществом командлета PowerShell является то, что у вас есть больше возможностей в выборе машин, которые вы хотите обновить. Например, с помощью приведенной ниже команды вы должны выбрать все компьютеры, которые начинаются с «Note*«.
Get-ADComputer –Filter ‘Name -like «Note*»‘ | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Если нужно выбрать все компьютеры, то ставим звездочку «*»
Get-ADComputer –Filter * | foreach{ Invoke-GPUpdate –Computer $_.
name -Force -RandomDelayInMinutes 0}
При желании вы можете найти все компьютеры по версиям операционных систем и сделать обновление групповых политик по данному критерию.
Не забываем, что можно ограничить поиск отдельным организационным подразделением, для этого есть ключ -Searchbase и команда примет вот такой вид:
Get-ADComputer –Filter * -Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Еще вы можете подготовить текстовый файл со списком серверов, который так же можно через цикл обработать, вот по такому принципу:
$comps = Get-Content «C:\temp\comps.txt»
foreach ($comp in $comps)
{
Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0
}
Я также добавил здесь параметр -Force, чтобы обеспечить повторное применение параметров групповой политики, даже если клиент замечает, что новые версии GPO недоступны.
Таким образом, когда мы говорим о принудительном обновлении групповой политики, мы на самом деле имеем в виду две разные вещи. Без параметра Force мы просто незамедлительно инициируем обновление; если мы добавим параметр Force, мы форсируем обновление, даже если обновлять нечего. Параметр Force вступает в игру, если вы считаете, что что-то пошло не так в предыдущем обновлении объекта групповой политики.
Очень важно выполнять скрипт в системе, на которой установлен пакет RSAT, или отдельный его компонент консоль управления групповой политикой, инача вы будите получать ошибку.
Invoke-GPUpdate : The term ‘Invoke-GPUpdate’ is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, o
r if a path was included, verify that the path is correct and try again.
At C:\Temp\GPupdate-Force.ps1:12 char:5
+ Invoke-GPUpdate -ComputerName $server -AsJob -Target «Computer»-R …
+ ~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (Invoke-GPUpdate:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException
Обновление групповой политики через оснастку GPMC
Начиная с операционной системы Windows Server 2012 R2, компания Microsoft расширила функционал оснастки по управлению политиками.
Разработчики внедрили механизм, массового и точечного инициирования применения политик GPO к нужным объектам и заметьте через графический интерфейс. Откройте оснастку «Управление групповой политикой«, проще всего, это сделать через окно «Выполнить«, введя там там команду gpmc.msc.
Далее, что вы делаете. Находите нужную вам OU, щелкнуть правым кликом и из контекстного меню выбрать пункт «Обновление групповой политики«.
У вас появится окно «Принудительное обновление групповой политики», в котором вы увидите количество объектов, к которым будет применено действие
На следующем экране вы увидите результат отработки команды, в первом моем примере политики успешно применилась.
При желании все результаты команды можно сохранить в CSV файле
Вот пример содержимого такого файла
на компьютерах, где таким методом была запущена процедура принудительного применения GPO, вы в логах Windows можете обнаружить событие с кодом 1704:
Политика безопасности в объектах групповой политики успешно применена.
То же самое можно посмотреть и в Windows Admin Center, где нужно зайти в раздел события.
Ошибка 8007071a «Удаленный вызов процедуры был отменен»
Иногда в консоли GPMC вы можете получать ошибку:
8007071a «Удаленный вызов процедуры был отменен»
Связана она с тем, что на удаленных компьютерах у вас брандмауэр Windows блокирует эти вызовы, чтобы это поправить я вам советую сделать разрешающую политику, подробнее читайте, как исправить ошибку 8007071a.
Обновление GPO через PSexec
Я вам очень часто рассказываю в своих примерах из моей практики, об утилите PSexec и сборнике SysInternals от Марка Руссиновича. Суть метода в том, что с помощью специальной утилиты вы сможете выполнить удаленную команду, ранее я так удаленно включал RDP на сервере или клиентской машинке.
Скачать SysInternals вы можете по ссылке
Далее вы распаковываете архив, если он в таком виде и открываете папку с утилитами SysInternals в командной строке, напомню сделать, это можно через команду cd или через правый клик с зажатым Shift по нужной папке, выбрав пункт «Открыть окно команд».
Обращаю внимание, что у вас должны быть соблюдены несколько требований:
- Как и в случае Invoke-GPUpdate, вы должны изменить настройки брандмауэра на своих клиентах. Поскольку PsExec использует протокол SMB, вам нужно открыть TCP-порт 445. Как открыть порт я уже подробно рассказывал, можете посмотреть, советую использовать для этого групповую политику.
- Второе, это наличие прав на удаленном компьютере, чтобы запустить там Gpupdate
Теперь выполните команду:
psexec \\имя компьютера –i gpupdate
Обратите внимание, что параметр -i здесь важен. Это гарантирует, что PsExec взаимодействует с удаленным рабочим столом, что необходимо для обновления пользовательских политик. Если этот параметр не указан, будут обновлены только конфигурации компьютера, хотя ни PsExec, ни gpupdate не выдадут сообщение об ошибке. Без параметра –i gpupdate обновит пользовательские настройки, только если вы вошли в систему с одинаковой учетной записью на исходном и целевом компьютере.
В результате будет удаленный запуск утилиты gpupdate, если все хорошо, то вы получите сообщение «gpupdate exited on svt2019s01.root.pyatilistnik.org with error code 0«.
на удаленном компьютере в журналах системы вы увидите два события 1500 и 1501.
Событие 1500: Параметры групповой политики для этого компьютера обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.
Событие 1501: Параметры групповой политики для этого пользователя обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.
Так же вы можете подключиться вообще к удаленной командной строке, через команду:
psexec \\имя компьютера –i cmd
Далее просто пишите gpupdate /force, обратите внимание я через команду hostname показал, что подключение идет с одного компьютера на другой.
Если компьютер не подключен к сети, вы получите следующее сообщение об ошибке:
Couldn’t access ComputerName:The network name cannot be found.
Make sure that the default admin$ share is enabled on ComputerName
Чтобы массово обновить групповую политику на всех компьютерах домена, воспользуйтесь знаком звездочки «*»:
psexec \\* -i gpupdate
Если это не помогло и выскочила ошибка, то может воспользоваться через PowerShell. В оболочке перейдите в каталог с утилитами PSTools и выполните:
Get-ADComputer –filter ‘Name -like «*»‘ | Select-Object -ExpandProperty Name | foreach{ Invoke-Expression –Command «.\psexec.exe \\$_ -i gpupdate.exe»}
Или можно из конкретного OU добавив
Get-ADComputer –filter ‘Name -like «*»‘-Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | Select-Object -ExpandProperty Name | foreach{ Invoke-Expression –Command «.\psexec.exe \\$_ -i gpupdate.exe»}
Другой вариант — сначала экспортировать все имена компьютеров из контейнера Active Directory в текстовый файл с помощью командлета Get-ADComputer:
Get-ADComputer –filter ‘Name -like «win*»‘ -Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | Select-Object -ExpandProperty Name | Out-File -Encoding ascii c:\tmp\ComputerList.
txt
Обратите внимание, что мы должны кодировать выходной файл с помощью ASCII, чтобы мы могли прочитать его содержимое из пакетного файла следующим образом:
For /f «tokens=*» %%a in (c:\tmp\ComputerList.txt) Do psexec \\%%a -i gpupdate
PsExec против Invoke-GPUpdate
Основным недостатком метода PsExec является то, что он относительно медленный. Это может занять от 3 до 4 секунд на компьютер, а для компьютеров, которые не подключены к сети, это может занять еще больше времени. PsExec иногда даже зависал во время моих тестов.
Разрешение входящих подключений через порт 445 является угрозой безопасности. Компьютерные черви могут использовать этот порт, а хакеры могут делать много неприятных вещей с помощью PsExec. Открытие порта планировщика заданий для Invoke-GPUpdate также проблематично, но я думаю, что порт 445 более популярен среди программистов вредоносных программ.
Таким образом, в большинстве сценариев Invoke-GPUpdate является лучшим вариантом. Однако, если вы все равно открыли порт 445 по другим причинам и не хотите открывать порты Invoke-GPUpdate, вы можете предпочесть PsExec для принудительного обновления групповой политики.
Удаленное обновление GPO через Enter-PSSession
Еще в PowerShell есть командлет для удаленного подключения к компьютеру, называется он Enter-PSSession, его принцип работ, как у PsExec. Откройте оснастку PowerShell и введите:
Enter-PSSession -ComputerName svt2019s01
Далее вы подключитесь к удаленному компьютеру, где потом просто введите gpupdate /force.
Удаленное обновление GPO через Windows Admin Center
Если вы в своей практике используете утилиту удаленного администрирования Windows Admin Center, то вы легко можете подключиться к удаленному серверу и обновить политики GPO все через тот же gpupdate /force.
На этом у меня все. Я вам постарался подробно рассказать, о всех методах локального и дистанционного обновления групповых политик пользователя и компьютера на ваших компьютерах домена. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Политики Центра обновления Windows, которые вы должны установить, и почему
Добро пожаловать в простой справочник, который поможет вам управлять однопользовательскими устройствами, многопользовательскими устройствами, учебными устройствами, киосками, рекламными щитами, производственными машинами и многим другим.
В своем блоге от 19 января о том, почему вам не следует устанавливать эти 25 политик Windows, я поделился тем, как изменился опыт обновления Windows за последние несколько лет, как это влияет на политики обновления Windows, которые мы политики обновления не стоит устанавливать и почему. Руководствуясь вашими отзывами, я хочу поделиться списком политик, которые вы следует настроить и дать представление о том, почему эти политики могут быть полезны при управлении обновлениями для различных вариантов использования, в частности:
- Однопользовательские или персональные устройства
- Многопользовательские устройства
- Учебное оборудование
- Киоски и рекламные щиты
- Заводские станки, американские горки и тому подобное
- Устройства Microsoft Teams Rooms
Использовать значения по умолчанию
Начнем с основ. Наша рекомендация? Чем меньше политик, тем лучше. Используйте значения по умолчанию! Варианты по умолчанию часто лучше всего подходят для того, чтобы пользователи оставались продуктивными, а их устройства оставались безопасными.
По умолчанию устройства будут сканировать ежедневно, автоматически загружать и устанавливать все применимые обновления в оптимальные моменты времени, чтобы уменьшить помехи при использовании, а затем автоматически пытаться перезапуститься, когда конечный пользователь отсутствует. Для большинства сценариев это лучший опыт. На самом деле, это также то, с чем сталкиваются сотни миллионов пользователей Windows на своих домашних или персональных компьютерах.
Тем не менее, ниже вы найдете некоторые распространенные варианты использования, которые мы наблюдаем в различных организациях, со списком дополнительных поддерживаемых элементов управления, которые вы можете использовать для удовлетворения конкретных требований к пользовательскому интерфейсу этого сценария.
Все описанные ниже политики можно найти по следующим путям:
- Путь групповой политики: … /Компоненты Windows/Обновления Windows/Управление взаимодействием с конечным пользователем
- База данных CSP: CSP политики — обновление
Параметры политики для управления взаимодействием с конечным пользователем, как они отображаются в параметрах Центра обновления Windows в редакторе локальной групповой политики .
Для этого сценария может потребоваться:
- Меньше сбоев в течение рабочего дня или при активном использовании устройства.
- Устройство нельзя отключить во время совещаний и/или презентаций.
- Все данные должны быть сохранены.
- Хотите немного контролировать свое устройство.
- Устройства должны соответствовать определенному стандарту соответствия.
Примечание. Все требования, за исключением обеспечения соответствия устройств определенному стандарту соответствия, выполняются по умолчанию.
Политика | Описание | Когда устанавливать и почему |
Имя GP: Имена настроек GP : ConfigureDeadlineGracePeriod Для обновлений компонентов: ConfigureDeadlineForFeatureUpdates, | Эта политика позволяет указать количество дней до принудительной установки обновления на устройство в часы активности, когда пользователь может присутствовать. | Эта политика всегда рекомендуется для коммерческих или образовательных сред, где необходимо соответствие требованиям или уместно, чтобы устройства оставались безопасными.
Примечание. С нашей точки зрения безопасность имеет первостепенное значение, и сроки — отличный способ ее обеспечить. |
Определение крайних сроков для автоматических обновлений и перезапусков с помощью политики
Многопользовательские устройства
Многопользовательские устройства — это общие устройства, которые используются несколькими людьми в течение определенного периода времени. Это распространенный сценарий, особенно для таких устройств, как HoloLens или ПК, который используется в лаборатории или библиотеке. Для этих устройств может быть установлен период, когда их можно использовать. Например, если они подключены на ночь в лаборатории, которая не разрешает доступ после 12:00, вы можете с уверенностью обновить их в это время. Кроме того, вы, вероятно, не хотите, чтобы конечный пользователь планировал обновление, так как он может неудобно планировать его в то время, когда присутствует другой пользователь, что может привести к ухудшению работы.
Для этого сценария может потребоваться:
- Небольшое количество уведомлений или их отсутствие в течение периода использования.
- Нет автоматических перезагрузок в течение периода использования.
- Конечные пользователи не должны иметь возможность запланировать перезагрузку.
- Планирование автоматического пробуждения и перезагрузки на определенное время.
- Устройства для обеспечения безопасности и защиты.
Примечание. Большую часть вышеперечисленного можно выполнить с помощью интерфейса по умолчанию без настроенных политик. Тем не менее, если опыт по умолчанию не соответствует вашим потребностям, вы можете рассмотреть следующее.
Политика | Описание | Когда устанавливать и почему |
Имя GP: Имя параметра GP : | Эта политика позволяет управлять поведением автоматического обновления.
Время установки по расписанию (3) ограничивает установку устройства в указанное время, пока не наступит крайний срок. | Если политика не настроена, конечные пользователи получают поведение по умолчанию (автоматическая установка и перезапуск). Если день и время не указаны, по умолчанию используется 3 часа ночи ежедневно.
Эту политику рекомендуется использовать только в том случае, если существует обычное определенное окно, когда многопользовательское устройство не используется. |
Имя GP: Имя настройки GP : | Эта политика лишает конечного пользователя возможности сканировать, загружать или устанавливать со страницы настроек Центра обновления Windows. | Эта политика рекомендуется только в том случае, если у вас есть конечные пользователи, которые настраивают параметры обновления и вызывают поведение при обновлении, которое нарушает работу других пользователей, совместно использующих устройство. |
Имя GP: Имя настройки GP : | Эта политика позволяет указать часы, в течение которых устройство не должно перезагружаться.
Это переопределяет интеллектуальные активные часы по умолчанию, рассчитанные на устройстве на основе использования пользователем. | Мы рекомендуем вам просто использовать встроенные интеллектуальные часы активности по умолчанию, которые рассчитываются на устройстве.
Тем не менее, вы можете использовать эту политику, если считаете это необходимым и если установлен период времени, в течение которого разрешено использовать устройство или в течение которого перезагрузка недопустима. |
Имя GP: Названия параметров GP : Для обновлений функций: ConfigureDeadlineForFeatureUpdates, ConfigureDeadlineGracePeriodForFeatureUpdates | Эта политика позволяет указать количество дней до принудительной установки обновления на устройство в часы активности, когда пользователь может присутствовать. | Эта политика всегда рекомендуется для коммерческих или образовательных сред, где необходимо соответствие требованиям или уместно, чтобы устройства оставались безопасными.
Примечание. С нашей точки зрения безопасность имеет первостепенное значение, и сроки — отличный способ ее обеспечить. |
Например, если это устройство находится в библиотеке или лаборатории, и вы обнаружите, что интеллектуальные часы активности не соответствуют вашим потребностям, вы можете установить часы активности в рабочие часы этого здания, чтобы гарантировать, что устройство не обновлять до тех пор, пока он больше не используется.
Образовательные устройства
Образовательные устройства — это однопользовательские или общие устройства, используемые учащимися и учителями в школьной среде. Сюда входят как персональные устройства, так и те, которые можно хранить в компьютерной тележке в классе для совместного использования. Для этого сценария любая форма уведомления может быть чрезвычайно разрушительной в классе.
Для этого сценария может потребоваться:
- Никаких уведомлений в течение учебного дня.
- Никаких автоматических перезагрузок в течение учебного дня.
- Устройства для обеспечения безопасности и защиты.
Примечание. Хотя автоматическая перезагрузка в течение учебного дня, скорее всего, может быть обеспечена настройками по умолчанию, вы можете принять во внимание следующее, чтобы обеспечить защиту устройств и предотвратить получение уведомлений в течение учебного дня.
Политика | Описание | Когда устанавливать и почему |
Имя GP: Имя настройки GP : | Эта политика позволяет определить, какие уведомления Центра обновления Windows будут видеть пользователи, включая возможность отключения всех уведомлений, включая предупреждения о перезапуске.
«Применять только в часы активности» приводит к отключению уведомлений только в часы активности. | Возможность «Применить только в часы активности» является новой и в настоящее время доступна только для устройств в программе предварительной оценки Windows для бизнеса, использующих каналы разработки или бета-версии. Эта политика позволяет отключать уведомления об обновлениях Windows только в часы активности. Пожалуйста, попробуйте опыт в бета-канале и оставьте отзыв!
Для тех, кто работает на устройствах с Windows 10 или Windows 11 версии 21h3, мы не рекомендуем настраивать это, а вместо этого рекомендуем использовать возможности по умолчанию. |
Имя GP: Имена настроек GP : Для обновлений функций: ConfigureDeadlineForFeatureUpdates, ConfigureDeadlineGracePeriodForFeatureUpdates | Эта политика позволяет указать количество дней до принудительной установки обновления на устройство в часы активности, когда пользователь может присутствовать. | Эта политика всегда рекомендуется для коммерческих или образовательных сред, где необходимо соответствие требованиям или уместно, чтобы устройства оставались безопасными.
Примечание. С нашей точки зрения безопасность имеет первостепенное значение, и сроки — отличный способ ее обеспечить. |
Имя GP: Имя настройки GP : | Эта политика позволяет указать часы, в течение которых устройство не должно перезагружаться.
Это переопределяет интеллектуальные активные часы по умолчанию, рассчитанные на устройстве на основе использования пользователем. | Мы рекомендуем вам просто использовать встроенные интеллектуальные часы активности по умолчанию, которые рассчитываются на устройстве.
Тем не менее, вы можете использовать эту политику, если считаете это необходимым и если установлен период времени, в течение которого разрешено использовать устройство или в течение которого перезагрузка недопустима. Например, если это устройство находится в библиотеке или лаборатории, и вы обнаружите, что интеллектуальные часы активности не соответствуют вашим потребностям, вы можете установить часы активности в рабочие часы этого здания, чтобы гарантировать, что устройство не обновлять до тех пор, пока он больше не используется. |
Параметры отображения уведомлений об обновлениях для конечного пользователя
Киоски и рекламные щиты
Киоски — это простые пользовательские интерфейсы, которые можно использовать без обучения или документации для выполнения определенной задачи или получения информации. Примером может служить банкомат (банкомат). Эти устройства часто остаются без присмотра в течение длительного периода времени, а это означает, что нет конечного пользователя, с которым можно было бы взаимодействовать или инициировать перезагрузку.
Точно так же рекламные щиты, которые передают информацию, часто предназначены для отображения или взаимодействия с конечным пользователем, но не имеют конечного пользователя, который взаимодействует с обновлениями. Тем не менее, эти устройства должны оставаться безопасными и обновляться, хотя конечные пользователи не должны ходить или ездить, видя уведомления «Перезагрузить сейчас» на экране.
Для этого сценария может потребоваться:
- Никаких уведомлений.
- Нет автоматических перезагрузок в определенные периоды.
- Планирование перезагрузки на определенное время при низкой видимости/использовании.
- Нет взаимодействия с конечным пользователем.
Примечание. По умолчанию устройство автоматически перезагружается в нерабочее время после завершения установки. Однако, чтобы гарантировать отсутствие сбоев уведомлений, мы рекомендуем настроить следующее.
Политика | Описание | Когда устанавливать и почему |
Имя GP: Имя настройки GP : | Эта политика позволяет определить, какие уведомления Центра обновления Windows будут видеть пользователи. | Эта политика рекомендуется для устройств, у которых нет активных конечных пользователей, где уведомления могут быть разрушительными и бесполезными (например, киоски и рекламные щиты). |
Имя GP: Имя параметра GP : | Эта политика позволяет управлять поведением автоматического обновления.
Время установки по расписанию (3) ограничивает установку устройства в указанное время, пока не наступит крайний срок. | Если политика не настроена, устройство будет следовать поведению по умолчанию (автоматическая установка и перезапуск). Если день и время не указаны, по умолчанию используется 3 часа ночи ежедневно.
Эта политика доступна для использования в течение определенного периода, когда киоск или рекламный щит мало используются или мало видны. Тем не менее, вы можете добиться аналогичного результата, настроив часы активности (см. следующую строку). |
Имя GP: Имя настройки GP : | Эта политика позволяет указать часы, в течение которых устройство не должно перезагружаться.
Это переопределяет интеллектуальные активные часы по умолчанию, рассчитанные на устройстве на основе использования. | Вы можете настроить активные часы для окна, когда устройство, скорее всего, используется или видимо. Это гарантирует, что перезагрузка произойдет за пределами этого окна, когда это может вызвать меньше сбоев. |
Имя GP: Имена настроек GP : Для обновлений функций: ConfigureDeadlineForFeatureUpdates, ConfigureDeadlineGracePeriodForFeatureUpdates | Эта политика позволяет указать количество дней до принудительной установки обновления на устройство в часы активности, когда пользователь может присутствовать. | Эта политика всегда рекомендуется для коммерческих или образовательных сред, где необходимо соответствие требованиям или уместно, чтобы устройства оставались безопасными.
Примечание. |
Это включает в себя возможность отключить все уведомления, включая предупреждения о перезапуске.
С нашей точки зрения безопасность имеет первостепенное значение, и сроки — отличный способ ее обеспечить. Заводские станки, американские горки и тому подобное
Есть некоторые устройства, которые мы часто даже не думаем о необходимости обновления, если только мы не управляем ими. Машины в заводских цехах, американские горки в парках развлечений и другая важная инфраструктура могут потребовать обновлений. Учитывая важность этих устройств, крайне важно, чтобы они оставались безопасными, оставались функциональными и не прерывались в середине задачи. Часто это некоторые из устройств в последней волне при развертывании обновления после того, как все остальное было проверено.
Для этого сценария может потребоваться:
- Конечный пользователь инициирует обновление или обновление в определенное время.
- Никаких автоматических перезагрузок — никогда.
Примечание. Это один из немногих случаев использования, когда крайние сроки соблюдения не рекомендуются, поскольку в этом сценарии автоматические обновления неприемлемы.
Политика | Описание | Когда устанавливать и почему |
Имя GP: Имена настроек GP : Уведомление о загрузке/Уведомление об установке Алловавтообновление = 0 | Эта политика позволяет управлять поведением автоматического обновления.
Время установки по расписанию (3) ограничивает установку устройства в указанное время, пока не наступит крайний срок.
Уведомление о загрузке (0) потребует от конечного пользователя действий (через уведомления или страницу настроек) для загрузки обновления. | Политику установки по расписанию рекомендуется использовать, когда есть определенный период, когда устройство не используется.
Уведомлять о загрузке или Уведомлять об установке рекомендуется только в сценариях, где любые неожиданные обновления, не инициированные конечным пользователем, имеют негативные последствия.
Примечание. Если требуется полный доступ, вы также можете отключить автоматические обновления, отключив эту политику. Конечный пользователь должен будет вручную запускать сканирование, загрузку, установку и перезапуск. Это рекомендуется только в определенных случаях, когда требуется высокоуровневое управление обновлениями. Это подвергает устройство высокому риску стать небезопасным и пропустить обновления. |
Устройства Microsoft Teams Rooms
Microsoft Teams Rooms активно управляются Microsoft «из коробки». дата с проверенными обновлениями. По умолчанию только обновления, проверенные Microsoft, будут предлагаться на устройстве и будут автоматически установлены. Мы не рекомендуем настраивать какие-либо политики на устройстве Microsoft Teams Rooms, особенно любые предлагаемые политики, поскольку они могут конфликтовать с тем, что уже реализовано в управлении Microsoft Teams Rooms.
Эти конфликты могут привести к ухудшению работы. Узнайте больше об управлении обновлениями Microsoft Teams Rooms.
Заключение
Выше приведены лишь некоторые из распространенных вариантов использования, о которых мы слышали от таких организаций, как ваша. Если вас интересуют рекомендации по управлению обновлениями Windows для серверов, следите за обновлениями! И не забудьте использовать значения по умолчанию!
Мы всегда учимся и стараемся совершенствоваться. С этой целью, пожалуйста, сообщите нам, если есть пробелы в возможностях, которые мы предоставляем. Кроме того, если у вас есть вопросы или вы видите отсутствующий вариант использования, по которому вы хотите получить рекомендации, просто оставьте комментарий ниже, напишите мне на @ariaupdated в Твиттере или задайте нам вопросы в течение следующих рабочих часов Windows!
Продолжить разговор. Найдите лучшие практики. Посетите Техническое сообщество Windows .
Будьте в курсе.
Чтобы быть в курсе последних обновлений о новых выпусках, инструментах и ресурсах, следите за обновлениями в этом блоге и следите за нами @MSWindowsITPro в Твиттере.
Настройка Центра обновления Windows для бизнеса с помощью групповой политики — развертывание Windows
- Статья
Применимо к
- Windows 10
- Windows 11
Ищете информацию для потребителей? См. Центр обновления Windows: часто задаваемые вопросы
Обзор
Групповую политику можно использовать через консоль управления групповыми политиками (GPMC), чтобы контролировать работу Центра обновления Windows для бизнеса. Вы должны рассмотреть и разработать стратегию развертывания обновлений, прежде чем вносить изменения в настройки Центра обновления Windows для бизнеса.
Дополнительные сведения см. в разделе Подготовка стратегии обслуживания для обновлений клиента Windows.
ИТ-администратор может устанавливать политики для Центра обновления Windows для бизнеса с помощью групповой политики или локально (для каждого устройства). Все соответствующие политики находятся по пути Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows .
Чтобы управлять обновлениями с помощью Центра обновления Windows для бизнеса, как описано в этой статье, вам следует подготовиться, выполнив следующие шаги, если вы еще этого не сделали:
- Создайте группы безопасности Active Directory, соответствующие кольцам развертывания, которые вы используете для поэтапного обновления.
- Разрешить доступ к службе Центра обновления Windows.
- Загрузите и установите шаблоны ADMX, соответствующие вашей версии Windows 10. Дополнительные сведения см. в статьях Как создать центральное хранилище административных шаблонов групповой политики в Windows и управлять им и Пошаговое руководство: управление Windows 10 с помощью административных шаблонов.
Настройка Центра обновления Windows для бизнеса
В этом примере для управления обновлениями используется одна группа безопасности. Как правило, мы рекомендуем иметь как минимум три кольца (ранние тестировщики для предварительных сборок, широкое развертывание для выпусков, критические устройства для зрелых выпусков) для развертывания.
Выполните следующие действия на устройстве со средствами удаленного администрирования сервера или на контроллере домена:
Настройте кольцо
Запустите консоль управления групповыми политиками (gpmc.msc).
Разверните **Лес > Домены > <ваш домен> .
Щелкните правой кнопкой мыши <ваш домен> и выберите Создайте объект групповой политики в этом домене и свяжите его здесь .
В В диалоговом окне New GPO введите Центр обновления Windows для бизнеса — группа 1 в качестве имени нового объекта групповой политики.
Щелкните правой кнопкой мыши объект «Центр обновления Windows для бизнеса — группа 1» и выберите Изменить .
В редакторе управления групповыми политиками выберите Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Центр обновления Windows . Теперь вы готовы приступить к назначению политик этому кольцу (группе) устройств.
Управление предложениями Центра обновления Windows
Вы можете контролировать применение обновлений, например, откладывая установку обновления на устройство или приостанавливая обновления на определенный период времени.
Определите, какие обновления вы хотите предлагать своим устройствам
И функции, и качественные обновления автоматически предлагаются для устройств, которые подключены к Центру обновления Windows с помощью политик Центра обновления Windows для бизнеса. Однако вы можете выбрать, хотите ли вы, чтобы устройства дополнительно получали другие обновления Microsoft или драйверы, применимые к этому устройству.
Чтобы включить обновления Microsoft, с помощью консоли управления групповыми политиками перейдите к Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Настроить автоматические обновления и выберите Установить обновления для других продуктов Microsoft .
Драйверы включаются автоматически, поскольку они полезны для систем устройств. Мы рекомендуем вам разрешить политике драйверов разрешить обновление драйверов на устройствах (по умолчанию), но вы можете отключить этот параметр, если предпочитаете управлять драйверами вручную. Если вы хотите отключить обновления драйверов по какой-либо причине, используйте Консоль управления групповыми политиками, чтобы перейти к пункту 9.0032 Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Не включать драйверы в обновления Windows и включить политику.
Мы также рекомендуем разрешить обновления продуктов Microsoft, как обсуждалось ранее.
Установите, когда устройства будут получать обновления компонентов и исправлений
Я хочу получать предварительные версии следующего обновления компонентов
Убедитесь, что вы зарегистрированы в программе предварительной оценки Windows для бизнеса. Это бесплатная программа, доступная для коммерческих клиентов, которая помогает им проверять обновления функций перед их выпуском. Присоединение к программе позволяет вам получать обновления до их выпуска, а также электронные письма и контент, связанный с тем, что будет в следующих обновлениях.
Используйте Консоль управления групповыми политиками, чтобы перейти к: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Центр обновления Windows для бизнеса > Управление предварительными сборками и установите для политики значение Включить предварительные сборки для любых тестовых устройств, которые вы хотите для установки предварительных сборок.
С помощью консоли управления групповыми политиками перейдите к Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Центр обновления Windows для бизнеса > Выберите, когда будут получены предварительные сборки и обновления функций . На панели параметров используйте раскрывающееся меню, чтобы выбрать одну из предварительных сборок. Мы рекомендуем Windows Insider Program Slow для коммерческих клиентов, использующих предварительные сборки для проверки.
Выберите OK .
Я хочу управлять тем, какие выпущенные обновления функций будут получать мои устройства
Администратор Центра обновления Windows для бизнеса может откладывать или приостанавливать обновления. Вы можете отложить обновления функций на срок до 365 дней и обновления качества на срок до 30 дней. Отсрочка просто означает, что вы не получите обновление до тех пор, пока оно не будет выпущено, по крайней мере, на указанное вами количество дней отсрочки (дата предложения = дата выпуска + дата отсрочки).
Вы можете приостановить обновление функций или исправлений на срок до 35 дней с указанной вами даты начала.
- Чтобы отложить или приостановить обновление компонента: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Центр обновления Windows для бизнеса > Выберите, когда будут получены предварительные сборки и обновления компонентов
- Отложить или приостановить качественное обновление: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Центр обновления Windows для бизнеса > Выбор времени получения качественных обновлений
Пример
В этом примере есть три кольца для обновлений качества. Первое кольцо («пилот») имеет период отсрочки 0 дней. Второе кольцо («быстрое») имеет отсрочку на пять дней. Третье кольцо («медленное») имеет отсрочку на 10 дней.
После выпуска качественного обновления оно предлагается устройствам в пилотном кольце при следующем поиске обновлений.
Пять дней спустя
Устройствам в быстром кольце предлагается качественное обновление при следующем поиске обновлений.
Десять дней спустя
Через десять дней после выпуска качественного обновления оно предлагается устройствам в медленном кольце при следующем поиске обновлений.
Если проблем не возникнет, всем устройствам, выполняющим поиск обновлений, будет предложено качественное обновление в течение 10 дней после его выпуска в три этапа.
Что делать, если при обновлении возникает проблема?
В этом примере обнаружена некоторая проблема во время развертывания обновления в «пилотном» кольце.
В этот момент ИТ-администратор может установить политику для приостановки обновления. В этом примере администратор устанавливает флажок Приостановить обновления качества .
Теперь все устройства не обновляются на 35 дней. Когда пауза будет снята, им будет предложено следующее обновление качества , которое в идеале не будет иметь такой же проблемы.
Если проблема не устранена, ИТ-администратор может снова приостановить обновления.
Я хочу остаться на определенной версии
Если вам нужно, чтобы устройство оставалось на версии после того, как истечет отсрочка для следующей версии, или если вам нужно пропустить версию, используйте параметр Select the target feature update version вместо использования Укажите, когда Предварительные сборки и обновления функций получают параметр для отсрочки обновления функций. При использовании этой политики укажите версию, которую вы хотите использовать на своих устройствах. Если вы не обновите его до окончания обслуживания устройства, оно будет автоматически обновлено через 60 дней после окончания обслуживания для своего выпуска.
При установке политики целевой версии, если вы укажете версию обновления функции, которая старше вашей текущей версии, или зададите недопустимое значение, устройство не будет получать никаких обновлений функций, пока политика не будет обновлена.
Если вы укажете политику целевой версии, отсрочка обновления компонентов не будет действовать.
Управление взаимодействием пользователей с обновлениями
Я хочу управлять загрузкой, установкой и перезапуском устройств после обновлений
Мы рекомендуем разрешить автоматическое обновление — это поведение по умолчанию. Если вы не настроите политику автоматического обновления, устройство попытается загрузить, установить и перезапустить в оптимальное для пользователя время с помощью встроенной аналитики, такой как интеллектуальные часы активности и интеллектуальная проверка занятости.
Для более точного управления можно установить максимальный период активных часов, который пользователь может установить с помощью Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Указать диапазон активных часов для автоматического перезапуска .
Лучше воздержаться от настройки политики активных часов, поскольку она включена по умолчанию, если не отключены автоматические обновления, и обеспечивает лучший опыт, когда пользователи могут устанавливать свои собственные часы активности.
Если вы хотите установить часы активности, используйте Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Отключить автоматический перезапуск для обновлений в часы активности .
Для обновления в нерабочее время не нужно задавать никаких дополнительных настроек: просто не отключайте автоматические перезагрузки. Для еще более детального контроля рассмотрите возможность использования автоматических обновлений, чтобы запланировать время установки, день или неделю. Для этого используйте Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Настройка автоматических обновлений и выберите Автоматическая загрузка и установка по расписанию . Вы можете настроить этот параметр в соответствии со временем, в течение которого обновление должно быть установлено на ваших устройствах.
При установке этих политик установка происходит автоматически в указанное время, и устройство перезапускается через 15 минут после завершения установки (если она не прервана пользователем).
Я хочу, чтобы устройства были безопасными и соответствовали срокам обновления
Мы рекомендуем вам использовать Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Укажите крайний срок для автоматических обновлений и перезапусков для обновлений функций и исправлений, чтобы обеспечить безопасность устройств в Windows 10 версии 1709 и более поздних. Это работает, позволяя вам указать количество дней, которое может пройти после того, как обновление будет предложено устройству, прежде чем оно должно быть установлено. Также вы можете установить количество дней, которое может пройти после отложенного перезапуска, прежде чем пользователь будет принудительно перезагружен.
Эта политика также предлагает возможность отказаться от автоматических перезапусков до наступления крайнего срока, предоставив «активный перезапуск» до фактического истечения крайнего срока. В этот момент устройство автоматически запланирует перезапуск независимо от активных часов.
Эти уведомления — это то, что видит пользователь в зависимости от выбранных вами настроек:
Когда установлено Укажите крайние сроки для автоматических обновлений и перезапусков (Для Windows 10 версии 1709 и более поздних):
Пока ожидается перезапуск, до наступления крайнего срока:
Первые несколько дней пользователь получает всплывающее уведомление
По истечении этого периода пользователь получает это диалоговое окно:
Если пользователь запланировал перезагрузку или если запланирован автоматический перезапуск, за 15 минут до запланированного времени пользователь получает это уведомление о предстоящем перезапуске:
Если перезапуск все еще ожидается после истечения крайнего срока:
В течение 12 часов до истечения крайнего срока пользователь получает это уведомление о приближении крайнего срока:
По истечении крайнего срока пользователь вынужден перезагрузиться, чтобы его устройства соответствовали требованиям, и получает это уведомление:
Я хочу управлять уведомлениями, которые видит пользователь
Есть дополнительные настройки, влияющие на уведомления.
Мы рекомендуем вам использовать уведомления по умолчанию, поскольку они направлены на обеспечение наилучшего взаимодействия с пользователем при настройке установленных вами политик соответствия. Если у вас есть дополнительные потребности, которые не удовлетворяются настройками уведомлений по умолчанию, вы можете использовать Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Параметры отображения для уведомлений об обновлениях со следующими значениями:
0 (по умолчанию) — использовать стандартные уведомления Центра обновления Windows. 1 — Отключить все уведомления, кроме предупреждений о перезапуске 2 — отключить все уведомления, включая предупреждения о перезапуске
Параметр 2 создает проблемы для персональных устройств; это рекомендуется только для киоск-устройств, где автоматический перезапуск отключен.
Примечание
Начиная с Windows 11, версия 22х3, Применять только в часы активности был добавлен в качестве дополнительной опции для Параметры отображения уведомлений об обновлениях .
Если выбран параметр Применять только в часы активности , уведомления будут отключены только в часы активности, если используются параметры 1 или 2 . Чтобы гарантировать, что устройство остается обновленным, уведомление по-прежнему будет отображаться в часы активности, если выбран параметр Применять только в часы активности , а также по достижении крайнего срока при настройке Указать крайние сроки для автоматических обновлений и перезапусков.
Еще больше параметров доступно в разделе Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Настроить расписание предупреждений о перезапуске при автоматическом перезапуске для обновлений . Этот параметр позволяет указать период для предупреждений об автоматическом перезапуске (от 2 до 24 часов; 4 часа по умолчанию) перед обновлением, а также указать период для уведомлений о предстоящем автоматическом перезапуске (15-60 минут — это по умолчанию).
Мы рекомендуем использовать уведомления по умолчанию.
Я хочу управлять параметрами обновления, к которым пользователь имеет доступ
Каждое устройство Windows предоставляет пользователям различные элементы управления, которые они могут использовать для управления обновлениями Windows. Они могут получить доступ к этим элементам управления с помощью Поиска, чтобы найти обновления Windows, или выбрав Обновления и безопасность в Настройки . Мы предоставляем возможность отключать различные элементы управления, доступные пользователям.
Пользователи с доступом к настройкам приостановки обновления могут запретить обновления функций и качества в течение 7 дней. Вы можете запретить пользователям приостанавливать обновления через страницу настроек Центра обновления Windows, используя Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Удалить доступ к «Приостановить обновления .
Когда вы отключите этот параметр, пользователи увидят Некоторые параметры управляются вашей организацией , а параметры приостановки обновления будут выделены серым цветом.
Если вы используете сервер обновления Windows Server (WSUS), вы можете запретить пользователям сканировать Центр обновления Windows. Для этого используйте Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Удалить доступ для использования всех функций Центра обновления Windows .
Я хочу включить функции, появившиеся в результате обслуживания, которые отключены по умолчанию
( Начиная с Windows 11, версия 22h3 или более поздняя )
Новые функции и улучшения представлены в ежемесячном накопительном обновлении, чтобы обеспечить непрерывные инновации для Windows 11 , Чтобы дать организациям время на планирование и подготовку, некоторые из этих новых функций по умолчанию временно отключены. Функции, отключенные по умолчанию, перечислены в статье базы знаний для ежемесячного накопительного обновления.