Auch PCs in AD-Domäne erhalten Windows 10: Upgrade per GPO verhindern

    Windows Update IconPCs unter Windows 7 und 8.1 blieben bisher vom ständigen Hinweis auf das kostenlose Upgrade verschont, wenn sie Mitglied in einer AD-Domäne sind. Das ändert sich ab Ende Januar. Möchte man vermeiden, dass Benutzer ihren Rechner über die Get Windows 10 App aktualisieren, dann kann man das per GPO tun.

    Das kostenlose Upgrade auf das neue Betriebssystem scheint aus der Sicht von Microsoft offenbar nicht Anreiz genug, um die angepeilten Marktanteile für Windows 10 zu erreichen. Ende 2015 kündigte der Hersteller daher an, dass er das Upgrade in diesem Jahr als Empfohlenes Update unter die Leute bringen möchte.

    Kleinere Netzwerke ohne WSUS betroffen

    Allerdings wären zahlreiche Rechner davon weiterhin nicht berührt, so dass die Get Windows 10 App dort keine Meldungen aus dem System Tray schickt . Dazu gehören vornehmlich Firmen-PCs, weil nach den ursprünglichen Plänen die Mitgliedschaft in einer AD-Domäne sowie die Enterprise Edition vor den aufdringlichen Hinweisen schützen.

    Die Get Windows 10 App erinnert Benutzer immer wieder an das Windows-10-Upgrade.

    Das ändert sich einem TechNet-Blog zufolge jedoch ab Ende Januar für PCs unter Windows 7 und 8.1, die einer Domäne angehören und die ihre Updates nicht über WSUS, SCCM oder eine ähnliche Lösung beziehen. Mit diesen Tools kann man nämlich das KB3035583 blockieren und so die Get Windows 10 App verbannen. Von der Ankündigung betroffen sind somit in erster Linie kleinere Unternehmen, die ihre Rechner direkt über Windows Update aktualisieren.

    Upgrades über Gruppenrichtlinie unterdrücken

    Im Gegensatz zu den bisher betroffenen Einzelplatz-PCs besteht in einer Domäne zumindest die Möglichkeit, unerwünschte Upgrades zentral per GPO zu fernzuhalten. Die damit verwalteten Computer sollen laut Microsoft die Dateien für Windows 10 weder herunterladen noch installieren.

    Eine neue Einstellung in den Gruppenrichtlinien soll das Upgrade auf Windows 10 blockieren.

    Die zuständige Einstellung findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update und wurde bis dato noch nicht lokalisiert. Sie heißt Turn off the upgrade to the latest version of Windows through Windows Update.

    ADMX von Windows 7 oder 8.1 erforderlich

    Allerdings hat die Sache einen Haken, wenn man in einer gemischten Umgebung die administrativen Vorlagen bereits auf Windows 10 aktualisiert hat und einen zentralen Speicher auf dem SYSVOL eines DCs verwendet. In diesem Fall fehlt die erforderliche Einstellung.

    Eine Abhilfe besteht darin, dass man WindowsUpdate.admx und die dazu gehörende .adml-Sprachdatei temporär durch eine Version ersetzt, die man aus \windows\PolicyDefinitions eines aktuellen Windows 8.1 kopiert.

    Sie werden dort über das KB3065988 (bzw. KB3065987 unter Windows 7) installiert, das auch den Update-Client aktualisiert. Letzteres ist Voraussetzung dafür, dass er die Einstellung zum Ignorieren des Upgrades auf Windows 10 respektiert.

    Weitere Registry-Schlüssel über GPO anpassen

    Sollte sich in der Praxis erweisen, dass sich das Upgrade über diese Richtlinie nicht verlässlich blockieren lässt (wie es offenbar bei Einzelplatz-PCs gelegentlich der Fall ist), dann sollte man zusätzlich einige Registry-Schlüssel direkt setzen, um Windows Update auf Kurs zu bringen (siehe dazu: Automatisches Upgrade von Windows 7 und 8.1 auf Windows 10 blockieren).

    In einer Domäne muss man dafür aber nicht mit regedit.exe oder .reg-Dateien hantieren, vielmehr kann man die Werte in der Registrierdatenbank ebenfalls über ein GPO setzen, und zwar über Group Policy Preferences (siehe dazu meine Anleitung: Registry-Schlüssel mit Group Policy Preferences erstellen und löschen).

    1 Kommentar

    WWI sagt:
    27. April 2016 - 12:00

    Turn off the upgrade to the latest version of Windows through Windows Update.

    gibts halt im server 2012 nicht ?
    Gibts dazu einen passenden patch ?