Auch PCs in AD-Domäne erhalten Windows 10: Upgrade per GPO verhindern

Allerdings wären zahlreiche Rechner davon weiterhin nicht berührt, so dass die Get Windows 10 App dort keine Meldungen aus dem System Tray schickt . Dazu gehören vornehmlich Firmen-PCs, weil nach den ursprünglichen Plänen die Mitgliedschaft in einer AD-Domäne sowie die Enterprise Edition vor den aufdringlichen Hinweisen schützen.

Das ändert sich einem TechNet-Blog zufolge jedoch ab Ende Januar für PCs unter Windows 7 und 8.1, die einer Domäne angehören und die ihre Updates nicht über WSUS, SCCM oder eine ähnliche Lösung beziehen. Mit diesen Tools kann man nämlich das KB3035583 blockieren und so die Get Windows 10 App verbannen. Von der Ankündigung betroffen sind somit in erster Linie kleinere Unternehmen, die ihre Rechner direkt über Windows Update aktualisieren.

Upgrades über Gruppenrichtlinie unterdrücken

Im Gegensatz zu den bisher betroffenen Einzelplatz-PCs besteht in einer Domäne zumindest die Möglichkeit, unerwünschte Upgrades zentral per GPO zu fernzuhalten. Die damit verwalteten Computer sollen laut Microsoft die Dateien für Windows 10 weder herunterladen noch installieren.

Die zuständige Einstellung findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update und wurde bis dato noch nicht lokalisiert. Sie heißt Turn off the upgrade to the latest version of Windows through Windows Update.

ADMX von Windows 7 oder 8.1 erforderlich

Allerdings hat die Sache einen Haken, wenn man in einer gemischten Umgebung die administrativen Vorlagen bereits auf Windows 10 aktualisiert hat und einen zentralen Speicher auf dem SYSVOL eines DCs verwendet. In diesem Fall fehlt die erforderliche Einstellung.

Eine Abhilfe besteht darin, dass man WindowsUpdate.admx und die dazu gehörende .adml-Sprachdatei temporär durch eine Version ersetzt, die man aus \windows\PolicyDefinitions eines aktuellen Windows 8.1 kopiert.

Sie werden dort über das KB3065988 (bzw. KB3065987 unter Windows 7) installiert, das auch den Update-Client aktualisiert. Letzteres ist Voraussetzung dafür, dass er die Einstellung zum Ignorieren des Upgrades auf Windows 10 respektiert.

Weitere Registry-Schlüssel über GPO anpassen

Sollte sich in der Praxis erweisen, dass sich das Upgrade über diese Richtlinie nicht verlässlich blockieren lässt (wie es offenbar bei Einzelplatz-PCs gelegentlich der Fall ist), dann sollte man zusätzlich einige Registry-Schlüssel direkt setzen, um Windows Update auf Kurs zu bringen (siehe dazu: Automatisches Upgrade von Windows 7 und 8.1 auf Windows 10 blockieren).

In einer Domäne muss man dafür aber nicht mit regedit.exe oder .reg-Dateien hantieren, vielmehr kann man die Werte in der Registrierdatenbank ebenfalls über ein GPO setzen, und zwar über Group Policy Preferences (siehe dazu meine Anleitung: Registry-Schlüssel mit Group Policy Preferences erstellen und löschen).