Tags: Gruppenrichtlinien, Patch-Management, WSUS
Über die Jahre haben sich Dutzende von Gruppenrichtlinien für Windows Update angesammelt, von denen viele keine Funktion mehr haben oder von denen Microsoft abrät. Bei vielen Einstellungen war dies für Admins aufgrund mangelnder Dokumentation gar nicht erkennbar. In einem Blog-Post schafft der Hersteller nun Klarheit.
Der Grund für die inflationäre Entwicklung bei den Gruppenrichtlinien für Windows Update liegt vor allem darin, dass Microsoft das Neustartverhalten von Windows nach einem Update x-mal geändert und dafür jedes Mal neue Einstellungen eingeführt hat.
Hinzu kamen die Richtlinien für Windows Update for Business (WUfB), die ebenfalls mehrfach geändert wurden. Zuletzt stellte Microsoft die Berechnung der Frist um, ab der ein Update installiert und der PC neu gestartet wird.
Neue Aufteilung im GPO-Editor
Der Hersteller kann die veralteten Einstellungen nicht einfach aus den administrativen Vorlagen entfernen, weil sich sonst vorhandene GPOs, in denen diese Settings verwendet werden, nicht mehr korrekt bearbeiten lassen.
Daher entschloss er sich in den ADMX für Windows 11, den Wust an Einstellungen zugunsten einer besseren Übersichtlichkeit auf vier Ordner zu verteilen. Einer davon heißt Legacy-Einstellungen und beherbergt die nicht mehr zeitgemäßen Optionen.
Dagegen sind die administrativen Vorlagen für Windows 10 21H2 nicht bloß inkompatibel mit jenen von Windows 11, sondern verzichten auch auf diese neue Gruppierung der Einstellungen. Dort findet der Admin weiterhin ein Kunterbunt aus aktuellen und überholten Settings in einer langen Liste vor.
Nicht mehr unterstützte Einstellungen
Ein Blog-Post auf Microsofts TechCommunity gibt nun Aufschluss darüber, welche Einstellungen vermieden werden sollten. Ziemlich einfach fällt die Entscheidung bei den folgenden acht Optionen, weil sie ab Windows 10 gar nicht mehr implementiert wurden. Mancher Admin mag sich gewundert haben, warum diese Einstellungen nach der Migration auf Windows 10 nicht mehr greifen.
- Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen
(Do not display ‘Install Updates and Shut Down” option in Shut Down Windows dialog box) - Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen
(Do not adjust default option to 'Install Updates and Shut Down' in Shut Down Windows dialog box) - Neustart für geplante Installationen verzögern
("Delay Restart for scheduled installations") - Softwarebenachrichtigungen aktivieren
("Turn on Software Notifications") - Automatische Updates sofort installieren
("Allow Automatic Updates immediate installation") - Erneut zu einem Neustart für geplante Installationen auffordern
("Re-prompt for restart with scheduled installations") - Zeitplan für geplante Installationen neu erstellen
("Reschedule Automatic Updates scheduled installations") - Empfohlene Updates über automatische Updates aktivieren
("Turn on recommended updates via Automatic Updates")
Änderung für Dual Scan
Eine weitere Einstellung, die bei Windows 10 zwar noch vorhanden, aber bei der Version 11 über Bord ging, betrifft Dual Scan:
- Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird
("Do not allow update deferral policies to cause scans against Windows Update")
Zur Erläuterung: Dual Scan wird immer dann eingeschaltet, wenn man Clients einem WSUS-Server zuordnet und gleichzeitig bei ihnen die Qualitäts- oder Feature-Updates über WUfB zurückstellt.
Die Rechner erhalten OS-Updates dann nicht mehr über WSUS, sondern über Windows Update. Mit der obigen Richtlinie lässt sich dies vermeiden und WSUS auch als Quelle für die Updates des Betriebssystems beibehalten.
An die Stelle dieser Option tritt nun in Windows 10 21H2 und Windows 11 die Einstellung Quelldienst für bestimmte Klassen von Windows-Updates angeben ("Specify source service for specific classes of Windows Updates"). Über sie kann man für jeden Update-Typ entweder WSUS oder Windows Update als Quelle angeben.
Neustart bei angemeldetem Benutzer
Eine weitere Einstellung, die User vor dem Reboot zu unpassenden Zeiten schützt, ist zwar noch an Bord, soll aber laut Microsoft nicht mehr verwendet werden:
- Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind ("No auto-restart with logged on users for scheduled automatic updates installations")
Laut Blog-Post verhalte sich diese Option zudem nicht so wie beschrieben.
Microsoft empfiehlt Standardverhalten
Die aktuelle Empfehlung des Herstellers begnügt sich nicht damit, bloß auf die veralteten Einstellungen zu verzichten. Vielmehr sollten Unternehmen die Updates am besten nach dem gleichen Muster beziehen wie Endverbraucher. Microsoft präferiert damit Windows Update über WSUS und der Neustart sollte einfach außerhalb der Nutzungszeit ("Active hours") erfolgen.
Falls Unternehmen das Einspielen von Patches dennoch anpassen möchten, dann sollten sie sich dabei auf die Einstellungen für das Aufschieben von Updates (WUfB) sowie auf Fristen für den Reboots der Rechner beschränken.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Updates für Windows 10 aufschieben mit Gruppenrichtlinien
- Update Baseline: Microsofts empfohlene GPO-Einstellungen für Windows-Updates
- Microsoft bringt neue Gruppenrichtlinie für optionale Updates in Windows 11
- Updates über WSUS deinstallieren
- Update-Klassifizierungen in WSUS für Windows 10/11 auswählen
Weitere Links