Tags: Windows 10, PowerShell, Patch-Management
Mit Windows 10 1703 hat Microsoft das Service-Modell von Current Branch (for Business) auf den Semi-annual Channel umgestellt. Dadurch ändern sich die Bezeichnungen und Optionen in den Einstellungen für GPOs. Möchte man wissen, welchem Update-Kanal ein Computer folgt, dann gibt es dafür ebenfalls neue Registry-Keys.
Im Semi-Annual Channel, dem Windows 10 seit der Version 1703 und der Server seit 1709 unterliegen, erscheint alle sechs Monate ein Features-Update des Betriebssystems (typischerweise im März und Oktober). Der Support für jedes Release währt 18 Monate.
Neue Optionen für WUfB
Bezieht man Upgrades über Windows Update for Business (WUfB), dann können wie zuvor nur die Editionen Pro und Enterprise einem eigenen Service-Branch zugeordnet werden, um die Installation hinauszuschieben. In der Vergangenheit hieß dieser Zweig Current Branch for Business (CBB).
Meldet man sich als Administrator an und öffnet die App Einstellungen bei Update und Sicherheit => Erweiterte Optionen, dann zeigt sich hier eine Auswahl zwischen Semi-Annual Channel (Targeted) und Semi-Annual Channel. Voreingestellt ist die erste Option.
Sie bedeutet, dass ein Feature-Upgrade sofort eingespielt werden kann, sobald es verfügbar ist. Dies ist identisch mit dem Verhalten des vormaligen Current Branch.
Dagegen kann der Semi-Annual Channel einen Aufschub von bis zu 4 Monaten bewirken, je nachdem wann Microsoft ein Release dort veröffentlicht. Das entspräche bei Ausreizung dieser Frist in etwa dem CBB. Zusätzlich kann man eine weitere Verzögerung von bis zu 365 Tagen über das entsprechende Drop-Down-Menü festlegen.
Konfiguration über GPO
Konfiguriert man den Service-Branch über Gruppenrichtlinien, dann kann man dort zwischen weiteren Optionen auswählen. Dazu zählen jene, die vor dem offiziellen Release verfügbar sind, nämlich Preview Build - Fast, Preview Build - Slow und Release Preview.
Die zuständige Einstellung heißt Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdates auswählen. Sie befindet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update => Windows Update für Unternehmen.
Release und Service Branch auslesen
Wenn man herausfinden möchte, welches Release von Windows 10 oder Windows Server auf einem Rechner läuft, dann erteilt winver.exe diese Auskunft (soweit vorhanden, unter Server Core fehlt es). Auf der Kommandozeile erhält man diese Information aber nicht so einfach, der alte ver-Befehl sagt dazu nichts. Wie vor dem Release 1703 erledigt folgendes Kommando diese Aufgabe:
(Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\" -Name ReleaseID).ReleaseId
Zusätzlich wird man häufig noch wissen wollen, welchem Service-Branch eine Installation folgt. Auch diese Information kann man der Registry entnehmen. Im Vergleich zu älteren Versionen von Windows haben sich die zuständigen Schlüssel aber geändert.
Gespeichert ist die Information in einem Key namens BranchReadinessLevel. Diesen gibt es gleich zweifach, und zwar unter
HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
falls eine Gruppenrichtlinie konfiguriert wurde, und zusätzlich unter
HKLM:\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings
Letztere spiegelt die Konfiguration über die GUI wider und kommt nur zum Zug, wenn kein GPO wirksam ist. Das folgende kurze Script fragt daher zuerst den Key für die Policy ab, um den Service-Branch zu ermitteln. Gibt es diesen Schlüssel nicht, dann erst berücksichtigt es die GUI-Einstellung.
Der Wert für den Service-Kanal ist eine Potenz von 2, der mit dem Preview Build - Fast beginnt.
Möchte man zusätzlich herausfinden, um wie viele Tage die Feature-Upgrades aufgeschoben wurden, dann kann man dies nach dem gleichen Muster tun wie für den Service-Branch. Dafür gibt es den Key DeferFeatureUpdatesPeriodInDays, der ebenfalls doppelt existiert, und zwar in den gleichen Containern wie BranchReadinessLevel.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft aktualisiert Windows 10 21H2 automatisch auf 22H2
- Update-Klassifizierungen in WSUS für Windows 10/11 auswählen
- Patch-Status von PCs überwachen mit Windows Update for Business Reports
- Microsoft Defender: Updates für Viren-Signaturen über Gruppenrichtlinien und PowerShell steuern
- Windows Autopatch: Weitere WSUS-Alternative aus der Cloud
Weitere Links