Update auf Windows 11 mit Gruppenrichtlinien blockieren oder erzwingen

    , 06.10.2021, zuletzt aktualisiert am 26.10.2021
    Tags: , ,

    Windows 11 UpdateMicrosoft begann bereits damit, Windows 11 über Windows Update und WSUS aus­zu­rollen. Wann welche PCs das Upgrade er­halten ist nicht ganz klar, aber die meisten Unter­nehmen wollen aktuell ohne­hin nicht um­steigen. Mittels GPO-Ein­stellung lässt sich das Upgrade blockieren oder auch gezielt anfordern.

    Obwohl Microsoft ein reibungsloses Update von Windows 10 auf 11 verspricht, werden die meisten Firmen noch einige Zeit für das Upgrade benötigen. Zum einen müssen die vorhandenen Anwen­dungen auf die Kompatibilität mit Windows 11 geprüft werden, zum anderen sollten auch die Benutzer auf die geänderte Bediener­führung vorbereitet werden.

    Vorhandene Hardware als Hindernis

    Noch schwerer wiegen indes die deutlich erhöhten Anforderungen an die Hardware. Die meisten Unter­nehmen werden sich erst einen Überblick darüber verschaffen müssen, welche PCs diese Voraus­setzungen erfüllen. Die grundsätzlich mögliche Installation auf nicht unterstützter Hardware ist im professionellen Umfeld normalerweise keine Option.

    Für Anwender, die vorerst nicht auf Windows 11 umsteigen können oder wollen, bietet Microsoft mit 21H2 ein letztes Upgrade für Windows 10 an. Das OS soll Support bis 2025 erhalten, wobei aus den Release-Informationen bis dato nicht hervorgeht, für welche Versionen und Editionen das gelten wird.

    Unerwünschte Updates durch User

    In nicht verwalteten Umgebungen können User bei kompatibler Hardware ein Upgrade auf Windows 11 auslösen, indem sie in der App Einstellungen unter Update und Sicherheit nach verfügbaren Updates suchen.

    Verteilt eine Firma die Updates über WSUS, dann hat ein Admin wie gewohnt die volle Kontrolle darüber, welche er freigeben möchte. Windows 11 läuft in WSUS als eigenes Produkt, das man überhaupt erst abonnieren muss, um die Updates dafür zu erhalten.

    Für Upgrades auf Windows 11 muss man das neue OS erst als Produkt abonnieren.

    Wenn professionelle Anwender, wie von Microsoft empfohlen, hingegen Windows Update for Business (WUfB) verwenden, dann ist die Lage etwas unüber­sichtlicher. Admins könnten die Endbenutzer in diesem Fall durch Ausblenden der entsprechenden Option am manuellen Abrufen von Updates hindern.

    Zuständig ist dafür die Einstellung Zugriff auf alle Windows-Update-Funktionen entfernen. Sie findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update.

    Über ein GPO kann man User daran hindern, das Update auf Windows 11 abzurufen.

    Das unterbindet zwar eigenmächtige Upgrades auf Windows 11, überlässt es aber Microsoft, wann das neue OS installiert wird. Aktuell sind von dieser Seite aber offenbar noch keine automatischen Updates auf das neue OS vorgesehen.

    Nach der letzten Änderung der Update-Logik erfolgt ein Feature-Update grundsätzlich erst dann automatisch, wenn sich die installierte Version von Windows 10 dem Support-Ende nähert. Dies gilt aktuell etwa für das Release 2004.

    Zielversion für Feature-Update definieren

    In diesem Fall kann man ebenfalls mithilfe der Gruppen­richt­linien steuern, auf welche Version das Feature-Update dann erfolgen soll. Dafür vorgesehen ist die mit Windows 10 2004 eingeführte Option Zielversion des Funktionsupdates auswählen (unter Windows Update für Unternehmen).

    Bislang war es dort aber nur möglich, das Release von Windows 10 einzutragen, also beispielsweise 21H1, um gezielt diese Version anzufordern. Dies reicht aber jetzt nicht mehr aus, weil die erste Ausführung von Windows 11 die gleiche Version aufweist wie das letzte Windows 10, nämlich 21H2.

    Das Update für die ADMX-Vorlage sieht ein Feld für das Betriebs­system vor.

    Das kumulative Update für September erweiterte daher die ADMX-Vorlage, so dass man nun zusätzlich das Betriebs­system  eintragen kann. Falls man einen zentralen Store für die admini­strativen Templates nutzt, muss man diese dort erst aktualisieren, denn der letzte ADMX-Download für 21H1 ist nicht mehr auf dem aktuellen Stand.

    In der neuen Vorlage trägt man unter Produktversion somit Windows 10 ein und unter Zielversion 21H2, wenn man das Update auf Windows 11 vermeiden möchte. Umgekehrt sorgt ein entsprechender Eintrag für ein Upgrade auf Windows 11.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    4 Kommentare

    Jens (Besucher) sagt:
    8. Oktober 2021 - 10:55

    Irgendwie erscheinen bei mir nicht diese 4 Unterordner, in der ich diese Policy auswählen kann. Ich habe die aktuellen ADMX-Dateien 21H2 heruntergeladen und in den Ordner der Dom-Policy kopiert. Was mache ich falsch? Sind die ADMX-Dateien vielleicht nicht aktuell, diese werden als Version Windows 10 Okt. 2020 ausgegeben?
    Gruß

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut sagt:
    8. Oktober 2021 - 13:20

    Das ist die neue Struktur, die Microsoft mit Windows 11 eingeführt hat. Sollte bei Windows 10 21H2 auch der Fall sein, ich kann aber den ADMX-Download dafür aktuell aber noch nicht finden.

    Martin (Besucher) sagt:
    13. Oktober 2021 - 9:54

    Mir geht es genau so. Finde die Unterordner nicht. Deshalb ist der Beitrag etwas... ungünstig.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut sagt:
    13. Oktober 2021 - 10:51

    Die neue Ordnerstruktur bekommt man, wenn man die aktuellsten ADMX installiert. Siehe dazu meinen Beitrag hier.