Updates für Windows 10 aufschieben mit Gruppenrichtlinien

    , 24.06.2020
    Tags: , , ,

    Windows 10 Feature-UpdateMit Windows as a Service ent­stand das Bedürf­nis, die Installation von Funktions-Upgrades zu ver­schieben. Auch die monat­lichen kumu­lativen Updates sollen meist nicht sofort installiert wer­den. Die zuständigen GPO-Ein­stel­lungen änder­ten sich aber laufend. Micro­soft ver­einheitlicht diese Optionen nun für fast alle Releases.

    Das große Auf­räumen bei den GPO-Einstellungen für Windows Update spiegelt sich auch in der kürzlich veröffentlichten Update Baseline wider. Sie deaktiviert einen Großteil der über die Jahre gewachsenen Optionen.

    Microsoft reduziert automatische Feature-Updates

    Microsoft hat anlässlich von Windows 10 2004 den Rollout von Feature-Updates geändert, und zwar den Zeitpunkt, ab dem neue Releases automatisch installiert werden. Davon sind künftig nur noch Systeme betroffen, deren Windows 10 sich dem Support-Ende nähert.

    Bei allen anderen Versionen muss der Anwender das Feature-Update manuell auslösen. Microsoft zufolge erhalten daher viele Rechner nur mehr einmal pro Jahr eine neue Version von Windows 10.

    Offenbar benötigen Endbenutzer deswegen keine Möglichkeit mehr, Upgrades explizit zurück­zustellen. Die entsprechende Option hat Microsoft aus der App Einstellungen entfernt.

    Die erweiterten Update-Optionen in der App Einstellungen enthalten keine Möglichkeit für den Aufschub von Feature-Updates mehr.

    In zentral verwalteten Umgebungen spielt sie aber ohnehin keine Rolle, wenn der Aufschub für Feature-Updates über GPOs erfolgt oder diese über WSUS verteilt werden.

    Konsolidierung mit Fokus auf WUfB

    Microsoft nimmt außerdem das vermehrte Arbeiten von zu Hause oder unterwegs zum Anlass, WUfB als Alternative zu WSUS zu propagieren. Hier stellt sich nämlich oft das Problem, dass Updates vom firmen­internen WSUS-Server über eine (relativ langsame) VPN-Verbindung bezogen werden.

    In die gleiche Kerbe haut auch ein kürzlich erschienener Blog-Beitrag zu diesem Thema, der sich primär um den Aufschub von Updates dreht.

    Für Admins, die WSUS für das Patchen von Windows nutzen, reduziert sich dieses Problem darauf, die Updates zeit­gerecht zu genehmigen, um die Sicherheit der Systeme zu gewähr­leisten bzw. nicht den Support-Zeitraum für das installierte Release zu überschreiten.

    Stellt man jedoch auf WUfB um, dann muss das Einspielen von Updates mit Hilfe von Gruppen­richtlinien steuern. Die Optionen zum Aufschieben von Updates haben sich mit den verschiedenen Releases von Windows 10 aber ständig verändert. Das betraf die maximal möglichen Fristen ebenso wie die laufenden Umstellungen bei den Verteiler­ringen.

    Feature-Updates verzögern

    Für Windows 10 ab der Version 1903 heißt die Einstellung für diesen Zweck Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdates auswählen. Hier kann man für Feature-Updates maximal 365 Tage einstellen.

    Aufschub von Feature-Updates über die entsprechende Einstellung in den Gruppenrichtlinien

    Darüber hinaus lassen sich die Updates über das Feld Vorabversionen und Funktionsupdates aussetzen ab bis zu 35 Tage pausieren. Theoretisch könnte man diese Einstellung alle 34 Tage um die volle Frist verlängern, um einen unbegrenzt langen Aufschub zu erreichen.

    Unbegrenzter Aufschub durch neue Einstellung

    Da dies nicht sehr praktikabel ist, führte Microsoft mit Windows 10 2004 die Einstellung Zielversion des Funktionsupdates auswählen ein. Sie greift aber schon bei allen Releases ab 1803 und erlaubt es, eine beliebige zukünftige Version zu definieren, bis zu der alle Upgrades übersprungen werden. Damit erhalten Admins den gleichen Spielraum für das Verteilen von Feature-Updates wie mit WSUS.

    Der Scan für Feature-Updates lässt sich auf bestimmte Releases eingrenzen.

    Qualitäts-Updates

    Beim Ausrollen von Qualitäts-Updates empfiehlt Microsoft, keinen zeitlichen Verzug festzulegen (über Beim Empfang von Qualitätsupdates auswählen, was die Übersetzung von Select when Quality Updates are received sein soll).

    Vielmehr soll man hier mit der in 1903 eingeführten Einstellung Stichtage für automatische Updates und Neustarts angeben dafür sorgen, dass der Aufschub für Updates ab deren Erscheinen gezählt wird.

    Mit dieser Einstellung für Windows Update lässt sich das Einspielen von Patches in einer bestimmten Frist steuern.

    Sie greift jetzt auch bei allen Releases ab Windows 10 1709 und sorgt dafür, dass die Rechner nach Ablauf der Frist auch gleich gestartet werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    2 Kommentare

    Karl Wester-Ebb... (Besucher) sagt:
    25. Juni 2020 - 10:58

    Hallo Wolfgang, danke das du an dem Thema dran bleibst. Vielleicht solltest du auch mal in techcommunity.microsoft.com bloggen.

    "Hier kann man für Feature-Updates maximal 365 Tage einstellen." ab 2004 ADMX, rückwirkend für alte Releases, wie schon anderweitig gesagt, sollen es nun auch mehr Tage sein. Hast du dies schon verifiziert?

    Karl Wester-Ebb... (Besucher) sagt:
    25. Juni 2020 - 11:00

    ^ obsolet. Wer lesen kann.. später hast du es ja nun erwähnt.