Microsoft mustert 25 Gruppenrichtlinien für Windows Update aus


    Tags: , ,

    Windows 11 UpdateÜber die Jahre haben sich Dutzende von Gruppen­richt­linien für Windows Update ange­sammelt, von denen viele keine Funktion mehr haben oder von denen Microsoft abrät. Bei vielen Ein­stellungen war dies für Admins aufgrund man­gelnder Dokumen­tation gar nicht erkennbar. In einem Blog-Post schafft der Hersteller nun Klarheit.

    Der Grund für die inflationäre Entwicklung bei den Gruppen­richtlinien für Windows Update liegt vor allem darin, dass Microsoft das Neustart­verhalten von Windows nach einem Update x-mal geändert und dafür jedes Mal neue Einstellungen eingeführt hat.

    Hinzu kamen die Richtlinien für Windows Update for Business (WUfB), die ebenfalls mehrfach geändert wurden. Zuletzt stellte Microsoft die Berechnung der Frist um, ab der ein Update installiert und der PC neu gestartet wird.

    Neue Aufteilung im GPO-Editor

    Der Hersteller kann die veralteten Einstellungen nicht einfach aus den administrativen Vorlagen entfernen, weil sich sonst vorhandene GPOs, in denen diese Settings verwendet werden, nicht mehr korrekt bearbeiten lassen.

    Daher entschloss er sich in den ADMX für Windows 11, den Wust an Einstellungen zugunsten einer besseren Übersicht­lichkeit auf vier Ordner zu verteilen. Einer davon heißt Legacy-Einstellungen und beherbergt die nicht mehr zeitgemäßen Optionen.

    Die Templates für Windows 11 lagern die veralteten Einstellungen in einen eigenen Ordner aus.

    Dagegen sind die administrativen Vorlagen für Windows 10 21H2 nicht bloß inkompatibel mit jenen von Windows 11, sondern verzichten auch auf diese neue Gruppierung der Einstellungen. Dort findet der Admin weiterhin ein Kunterbunt aus aktuellen und überholten Settings in einer langen Liste vor.

    Nicht mehr unterstützte Einstellungen

    Ein Blog-Post auf Microsofts TechCommunity gibt nun Aufschluss darüber, welche Einstellungen vermieden werden sollten. Ziemlich einfach fällt die Entscheidung bei den folgenden acht Optionen, weil sie ab Windows 10 gar nicht mehr implementiert wurden. Mancher Admin mag sich gewundert haben, warum diese Einstellungen nach der Migration auf Windows 10 nicht mehr greifen.

    • Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen
      (Do not display ‘Install Updates and Shut Down” option in Shut Down Windows dialog box)
    • Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen
      (Do not adjust default option to 'Install Updates and Shut Down' in Shut Down Windows dialog box)
    • Neustart für geplante Installationen verzögern
      ("Delay Restart for scheduled installations")
    • Software­benach­richtigungen aktivieren
      ("Turn on Software Notifications")
    • Automatische Updates sofort installieren
      ("Allow Automatic Updates immediate installation")
    • Erneut zu einem Neustart für geplante Installationen auffordern
      ("Re-prompt for restart with scheduled installations")
    • Zeitplan für geplante Installationen neu erstellen
      ("Reschedule Automatic Updates scheduled installations")
    • Empfohlene Updates über automatische Updates aktivieren
      ("Turn on recommended updates via Automatic Updates")

    Änderung für Dual Scan

    Eine weitere Einstellung, die bei Windows 10 zwar noch vorhanden, aber bei der Version 11 über Bord ging, betrifft Dual Scan:

    • Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird
      ("Do not allow update deferral policies to cause scans against Windows Update")

    Zur Erläuterung: Dual Scan wird immer dann eingeschaltet, wenn man Clients einem WSUS-Server zuordnet und gleichzeitig bei ihnen die Qualitäts- oder Feature-Updates über WUfB zurückstellt.

    Die Rechner erhalten OS-Updates dann nicht mehr über WSUS, sondern über Windows Update. Mit der obigen Richtlinie lässt sich dies vermeiden und WSUS auch als Quelle für die Updates des Betriebs­systems beibehalten.

    Windows 10 21H2 und Windows 11 unterstützen verschiedene Quellen für jeden Update-Typ.

    An die Stelle dieser Option tritt nun in Windows 10 21H2 und Windows 11 die Einstellung Quell­dienst für bestimmte Klassen von Windows-Updates angeben ("Specify source service for specific classes of Windows Updates"). Über sie kann man für jeden Update-Typ entweder WSUS oder Windows Update als Quelle angeben.

    Neustart bei angemeldetem Benutzer

    Eine weitere Einstellung, die User vor dem Reboot zu unpassenden Zeiten schützt, ist zwar noch an Bord, soll aber laut Microsoft nicht mehr verwendet werden:

    • Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind ("No auto-restart with logged on users for scheduled automatic updates installations")

    Laut Blog-Post verhalte sich diese Option zudem nicht so wie beschrieben.

    Microsoft empfiehlt Standardverhalten

    Die aktuelle Empfehlung des Herstellers begnügt sich nicht damit, bloß auf die veralteten Einstellungen zu verzichten. Vielmehr sollten Unternehmen die Updates am besten nach dem gleichen Muster beziehen wie Endverbraucher. Microsoft präferiert damit Windows Update über WSUS und der Neustart sollte einfach außerhalb der Nutzungszeit ("Active hours") erfolgen.

    Falls Unternehmen das Einspielen von Patches dennoch anpassen möchten, dann sollten sie sich dabei auf die Einstellungen für das Aufschieben von Updates (WUfB) sowie auf Fristen für den Reboots der Rechner beschränken.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links