Update-Installation und Reboot für Windows 10 über Gruppenrichtlinien konfigurieren

    Windows Update availableMit Windows 10 1903 brachte Micro­soft eine neue Ein­stellung für die Gruppen­richt­linien, um die Verteilung von Updates zu be­schleunigen. Sie setzt eine Reihe älterer Optionen außer Kraft. Mittel­fristig sollen viele Ein­stellungen für Windows Update ver­schwinden, wodurch Admins weniger Kon­trolle erhalten.

    Um den Zeitpunkt für den Download und die Installation von Updates sowie für den Neustart des Rechners zu bestimmen, führte Microsoft immer wieder neue Konzepte ein. Sie schlagen sich in den Gruppen­richtlinien als Wildwuchs an Einstellungen nieder, die teilweise unter Windows 10 keine Wirkung mehr haben oder die sich gegenseitig ausschließen.

    Das Bestreben bei allen Methoden besteht darin, sicherheits­kritische Updates möglichst schnell auf die Rechner zu bringen und den Neustart so legen, dass sich die Benutzer dadurch nicht allzu sehr gestört fühlen.

    Countdown ab Erscheinen eines Updates

    Die neue Einstellung Stichtage für automatische Updates und Neustarts angeben soll vor allem dafür sorgen, dass Updates möglichst schnell verteilt werden. Daher gelten dort die konfigurierten Fristen bereits ab dem Erscheinungs­datum der Patches.

    Mit einer neuen Einstellung für Windows Update lässt sich das Einspielen von Patches in einer bestimmten Frist erzwingen.

    Alle bisherigen Optionen für die Steuerung von Reboots begannen dagegen erst ab dem Zeitpunkt zu zählen, an dem das Update installiert und ein Neustart fällig war.

    Das gilt etwa für Frist festlegen, nach der ein ausstehender Neustart außerhalb der Nutzungszeit automatisch ausgeführt wird. Diese Einstellung wurde erst mit Windows 10 eingeführt und ist der Vorgänger der neuen Option. Das erkennt man sofort, wenn man den englischen GPO-Editor nutzt.

    Da heißt die bisherige Einstellung

    Specify the deadline before a pending restart will automatically be executed outside of active hours

    während die neue auf

    Specify deadlines for automatic updates and restarts

    lautet.

    Alte und neue Einstellung zur Konfiguration der Update-Fristen im englischen GPO-Editor

    Beide erlauben die Festlegung einer jeweils eigenen Frist für Qualitäts- und Feature-Updates, und zwar maximal 30 Tage (Vorgabe sind 7 Tage). Nach ihrem Ablauf kann der Anwender den Neustart des Rechners nicht mehr aufschieben, so dass Updates unmittelbar danach wirksam werden.

    Die neue Einstellung bietet jedoch noch zwei weitere Optionen. Zum einen kann man eine zusätzliche Gnadenfrist ("Karenzzeit") festlegen, damit Benutzer nach einer längeren Abwesenheit, etwa wegen Urlaubs, ihren Rechner nicht sofort neu starten müssen, kaum dass sie mit der Arbeit begonnen haben.

    Zusammenspiel mit Active Hours

    Darüber hinaus bewirkt die Checkbox Erst nach dem Ende der Karenzzeit automatisch neu starten, dass Rechner innerhalb der gesetzten Frist nur durch einen manuellen Reboot aktualisiert werden. Setzt man dieses Häkchen nicht, dann versucht Windows bereits vorher, außerhalb der Nutzungszeit ("Active hours") einen günstigen Zeitpunkt für einen Neustart zu finden.

    Nach Ablauf der Gnadenfrist nimmt Windows Update auch darauf keine Rücksicht mehr und zwingt den Benutzer zu einem Reboot auch während der Arbeitszeit.

    Diese Option hat die gleiche Wirkung wie die Einstellung Automatischen Neustart nach Updates während der Nutzungszeit deaktivieren ("Turn off auto-restart for updates during active hours"). Diese erfordert aber eine statische Festlegung der Nutzungszeit.

    Möchte man Neustarts während der Nutzungszeit verhindern, dann muss man dafür die Uhrzeiten festlegen.

    Seit der Version 1903 ermittelt Windows 10 die Active Hours aber selbständig anhand der User-Aktivitäten. Wenn man dieses Feature nutzen möchte, sollte man daher auf die Vorgabe von festen Uhrzeiten verzichten.

    Umstellung von Info-Dialog auf Erinnerung

    Während der definierten Frist ändert der Update-Client die Ansprache gegenüber dem Benutzer. In den ersten Tagen macht es ihn über Toast-Benachrichtigung auf ein anstehendes Update aufmerksam.

    Danach wechselt es automatisch auf eine verbindliche Erinnerung ("Engaged restart reminder"), bei welcher der User einen Reboot sofort veranlassen, für einen bestimmten Zeitpunkt planen oder einfach aufschieben kann.

    Nach einigen Tagen schaltet Windows 10 auf die nachdrückliche Erinnerung um.

    Die explizite Umstellung von der Toast-Nachricht auf die auf­dringlichere Variante bewirkt man über die Einstellung Wechsel zum erzwungenen Neustart und Benachrichtigungszeitplan für Updates festlegen ("Specify Engaged restart transition and notification schedule for updates"). Dabei kann man die Fristen selbst bestimmen.

    Die Umstellung der Benachrichtigung über anstehende Updates ließ sich bisher exakt konfigurieren. Die neue Option verhindert das

    Sie wird aber durch die erwähnte neue Einstellung außer Kraft gesetzt. Diese zeigt sich also wesentlich resoluter als die Vorgänger­variante, die sich bei Konflikten immer selbst deaktivierte.

    Neue Einstellung deaktiviert vier alte

    Die Absicht, mit einer einzigen Einstellung das Verhalten für die Installation von Updates und den Neustart weitgehend vorzugeben, zeigt sich auch durch den Wegfall einer weiteren Option. Bis dato konnte man den Reboot verhindern, solange ein Benutzer angemeldet war. Die neue Einstellung kümmert sich jedoch nicht darum.

    Insgesamt setzt die neue Einstellung vier bisherige außer Kraft, falls diese aktiviert sind. Verwendet man den deutschen GPO-Editor, dann kann man nicht erkennen, welche das sind, weil die Über­setzungen der Optionen voneinander abweichen.

    Aufgrund der schlechten Übersetzung ist im deutschen GPO-Editor nicht erkennbar, welche Einstellungen deaktiviert werden.

    Es handelt sich dabei um:

    • Frist festlegen, nach der ein ausstehender Neustart außerhalb der Nutzungszeit automatisch ausgeführt wird.
    • Wechsel zum erzwungenen Neustart und Benach­richtigungs­zeitplan für Updates festlegen
    • Neustart immer automatisch zur geplanten Zeit durchführen
    • Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind

    Viele Update-Einstellungen vor dem Aus

    Ein kürzlich erschienenes Whitepaper von Microsoft enthält eine Tabelle mit GPO- bzw. MDM-Einstellungen für Windows Update, die dem Hersteller zufolge deaktiviert werden sollten. Sie seien entweder veraltet oder würden in absehbarer Zeit ausgemustert.

    GPO- und MDM-Einstellungen für Windows Update, die man Microsoft zufolge nicht mehr verwenden soll.

    Darunter findet sich interessanter­weise auch die Konfiguration für automatische Updates. Diese Einstellung benötigt man bekanntlich für Clients, die ihre Updates von WSUS beziehen. Die Gruppen­richtlinien holen damit nur nach, was in das App Einstellungen schon längst passiert ist.

    Die Konfiguration von automatischen Updates ist auf der GUI nicht mehr vorgesehen.

    Das Microsoft-Dokument geht nicht näher auf die Konsequenzen dieser Entscheidung ein, spricht aber in einem anderen Abschnitt davon, dass bei verzögerten Updates zu prüfen sei, ob Dual Scan bewusst deaktiviert wurde und Clients daher auf WSUS umgeschaltet haben.

    Ausblick

    Wenn Microsoft mithin Dual Scan als die bevorzugte Konfiguration betrachtet, dann wird das große Bild für das neue Update-Management erkennbar. Anwender sollen demnach OS-Updates grundsätzlich über Windows Update beziehen, WSUS beschränkt sich dann auf andere Produkte wie Office. Dafür spricht auch, dass die Unified Update Platform für WSUS bis dato nicht verfügbar ist und möglicher­weise auch nie kommen wird.

    Die Konfiguration der Clients reduziert sich dann letztlich auf eine einzige Einstellung, die Fristen für das Einspielen der Updates festlegt. Sie gibt das Verhalten des Systems während dieser Phase vollständig vor. Flankierend kann man noch die Energie­optionen zentral anpassen, um das Zeitfenster für das Patch-Management zu vergrößern.

    Das Ziel dieser Maßnahmen ist es, das Verteilen von Updates zu beschleunigen, indem Admins die Patches nicht mehr wie in WSUS explizit freigeben können. Und Benutzer dürfen den Neustart des Rechners maximal 30 Tage nach dem Erscheinen eines Updates verzögern.

    Der gleiche Zeitraum steht Admins in Windows Update for Business (WUfB) zur Verfügung, um Qualitäts-Updates aufzuschieben. Die Empfehlung in Microsofts Whitepaper lautet jedoch auf 2 bis 3 Tage. Nachdem die Uhr bei der neuen Einstellung ab Erscheinen eines Updates tickt, lässt sich dadurch aber keine zusätzliche Zeit gewinnen.

    WUfB gewährt ebenfalls nur 30 Tage Aufschub ab dem Erscheinen eines Qualitäts-Updates.

    Die Bedeutung der neuen Einstellung zeigt sich auch daran, dass Microsoft diese über ein Update für den Servicing Stack auf ältere Versionen von Windows 10 portiert hat (ab 1709). Um sie zu konfigurieren, benötigt man aber die ADMX-Templates für 1903 oder 1909.

    Keine Kommentare