Как сделать централизованное обновление

Обновлено: 08.07.2024

Как известно из опыта обновления Windows не всегда нужны пользователям а иногда после них появляются проблемы. Много раз сталкивался с ситуациями когда после обновлений Windows падал в синий экран, или просто не запускались программы. Также на установку и скачивание обновлений нужно определенное время.

Но зачем устанавливать обновления если пользователь например работает только в определенных программах. И обновления системы ему вообще не нужны. Иногда встречаются ситуация когда обновления Windows вообще не нужно ставить по определенным причинам.

По этому имеет смыл отключить автоматическое обновление системы. Сделать это можно централизованно через групповые политики GPO. При условии что у вас есть AD (Active Directory). В качестве примера отключим автоматическое обновление через групповые политики в Windows server 2016.

Как отключить автоматическое обновление Windows через GPO

И так все достаточно просто нужно создать новую групповую политику или изменить существующею. Заходим на контроллер домена и запускаем Редактор управления групповыми политиками. Сделать это можно через Средства администрирования.

Средства администрирования

Тут выбираем Управление групповой политикой.

Управление групповыми политиками

Если вы хотите отключить автоматическое обновления для все компьютеров то можно изменить политику по умолчанию (Default Domain Policy). Если это нужно для определенной группы то создадим новую политику. Правой кнопкой создать объект групповой политики, назовем её Отключение обновлений.

Создание новой групповой политики

Теперь кликаем правой кнопкой Изменить.

Настройка политики

Идем по следующему пути. Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows- Центр обновления Windows. Тут справа ищем пункт Настройка автоматического обновления.

Отключение автоматического обновления windows

В открывшемся окне отключаем и сохраняем изменения.

Отключение обновлений через групповые политики

Вот и все теперь на компьютерах к которым будет применяться созданная нами политика, автоматическое обновление Windows будет отключено.

Delphi site: daily Delphi-news, documentation, articles, review, interview, computer humor.

Обновление систем на предприятии имеет несколько особенностей.

Во-первых, обновления от Microsoft часто весьма объемны по размеру и их одновременная загрузка на несколько систем может негативно сказаться на доступе в Интернет даже на безлимитных тарифах, не говоря уже про экономию для тарифов с оплатой за трафик.

Во-вторых, установка обновлений в организации должна быть контролируемой: обновления должны авторизоваться (получать разрешение от администратора на установку, лучше всего - после тестирования), операции нужно проводить по графику, с учетом типа компьютеров (отбор по группам, площадкам и т. п.), весь процесс должен протоколироваться с возможностью легкого составления отчетов по результатам.

В этих целях целесообразно использовать службу автоматического обновления - Windows Software Update Services (WSUS). Она распространяется бесплатно и предназначена для установки как обновлений операционной системы Windows, так и ряда продуктов Microsoft.

Сама служба представляет собой приложение, работающее на веб-сервере IIS. Поэтому для ее установки необходимо выполнить ряд условий (установить компоненты). Установка компонент выполняется мастером в Windows 2008 Server (рис. 9.16), но в случае Windows 2003 Server подготовительные операции следует выполнить в соответствии с инструкцией по установке (доступна на домашней странице продукта).

Установка роли WSUS на сервере Windows 2008

Рис. 9.16. Установка роли WSUS на сервере Windows 2008

Архитектуру обновления можно построить по нуждам организации: служба допускает виртуализацию, каскадирование (загрузка обновления с другого сервера WSUS), балансировку нагрузки (обслуживание инфраструктуры несколькими серверами) и т. п.

Основные настройки службы (параметры прокси-сервера, выбор продуктов, для которых закачиваются обновления, настройка языков, графика синхронизации и т. д.) выполняются во время установки продукта, но их можно уточнить и в консоли службы (рис. 9.17).

Консоль управления WSUS (настройка параметров)

Рис. 9.17. Консоль управления WSUS (настройка параметров)

После установки компьютеры необходимо разбить по группам (в зависимости от требований к установке обновлений) и настроить режимы (например, автоматическое согласие на установку определенной категории обновлений и т. п.).

Чтобы клиенты выполняли установку обновлений с сервера WSUS, надо в групповой политике явно указать имя сервера, с которого будет осуществляться обновление.

Обновиться с Windows 10 до Windows 11 было бы очень просто, если бы не несколько подводных камней, которые расставила сама компания Microsoft.

реклама


Надо сказать, что старт операционной системы Windows 11 не стал гладким, и был омрачен как проблемами с производительностью, так и противоречивыми системными требованиями, оставляющими за бортом большинство компьютеров с процессорами Intel старее восьмого поколения и AMD Ryzen старее второго поколения.

Впоследствии Microsoft добавила в список совместимых несколько чипов Intel седьмого поколения и мой Ryzen 5 1600 AF, который, несмотря на цифровой индекс, относится к архитектуре Zen+ и является практически аналогом Ryzen 5 2600, только с более низкими частотами. Поэтому к выбору процессора, совместимого с Windows 11, нужно отнестись с внимательностью, особенно среди бюджетных моделей.


реклама

Из ассортимента недорогих процессоров в Ситилинке можно смело брать популярные Athlon 3000G и Core i3-10100F, которые полностью совместимы с Windows 11.


Я узнал это, запустив на ПК утилиту Windows 11 PC Health Check, и нажав кнопку "Проверить сейчас". Но прежде обратите внимание на огрехи перевода - "2 лет" и на то, что утилита не может работать при масштабировании экрана в 150% - текст на кнопках "ползет". Далее подобные огрехов будет еще больше и они будут прямо влиять на процесс обновления.


реклама

Windows 11 PC Health Check показала вот такой результат. Мой процессор совместим и осталось разобраться с модулем TPM 2.0.


На материнской плате MSI B450-A PRO MAX он есть и включить его можно в BIOS, в разделе Settings - Security - Trusted Computing.


реклама

После включения модуля TPM 2.0 утилита Windows 11 PC Health Check показывает полную совместимость моего ПК с Windows 11. Казалось бы, теперь должна появиться большая кнопка "Обновиться сейчас", но ее нет.


Кнопка "Показать все результаты" открывает подробности совместимости.



Тут надо сделать небольшое отступление. Некоторые из нас еще помнят, как происходило обновление Windows 7 и Windows 8 до Windows 10 летом 2015 года. Многие пользователи получали с обновлениями скандально известную утилиту Get Windows 10, которая предлагала обновиться "сейчас" или "сегодня вечером", а нажатие крестика означало согласие пользователя.


Это был маркетинг самого низшего уровня, до которого обычно опускаются только разработчики мелкого программного "мусора", но в этот раз мы увидели это от огромной корпорации и такой подход к пользователям шокировал. Microsoft потом извинялась за утилиту Get Windows 10 и признала, что "переборщила", но, как говорится, "репутация создается годами, а теряется одним поступком".


В случае с Windows 11 такой агрессивной политики обновления нет, да и спорные системные требования оставляют за бортом множество ПК и ноутбуков, выпущенных за последние 10 лет, но еще вполне шустро справляющихся с Windows 10. Но, тем не менее, миграция пользователей с Windows 10 на Windows 11 идет довольно шустро и по статистике компании Adduplex на ноябрь 2021 года 8.6% пользователей уже перешли на новую ОС.


Но вернемся к моему ПК и обновлению. Перейдя в "Центр обновления Windows" я увидел ссылку "Проверка требований к оборудованию" и никаких кнопок "Обновиться".



Попробовав сделать этот цикл действий еще раз, я понял что обновиться до Windows 11 самым простым и логичным способом не получится. К счастью, есть второй способ обновиться до Windows 11, для этого надо перейти на страницу загрузки Windows 11 на сайте Microsoft и скачать приложение "Помощник по установке Windows 11".


Но прежде чем запускать его, я установил на ПК несколько программ, чтобы убедиться, что обновление не затронет не только данные пользователи и настройки, но и программы и игры. Утилиты freeshooter и HWiNFO, прописывающиеся в автозагрузку, отлично для этого подойдут.

Запускаем "Помощник по установке Windows 11" и следуем указаниям.


Начинается загрузка новой ОС.


Установка происходит в фоновом режиме и довольно быстро, гораздо быстрее, чем сброс Windows 10 к заводским настройкам. При этом можно пользоваться ПК.


Окно завершения установки.


После перезагрузки ПК еще несколько минут идет процесс обновления.


Этот процесс гораздо быстрее обычной установки и через несколько минут мы получаем обновленную систему. Сразу заметно, что обои Рабочего стола "слетели", но все ярлыки на месте.


Сведения о системе рапортуют о том, что у нас установлена самая свежая версия Windows 11.


Установленные еще в Windows 10 программы корректно запускаются.


Есть они и в "Приложениях и возможностях".


Все файлы пользователя на месте, как и настройки проводника.


В обновленном меню "Пуск" остались не только старые ярлыки, но и список документов с недавним доступом.



Специфические настройки Windows 10, реализуемые в реестре, сохранились и работают. Например, старое средство просмотра фотографий Windows.


Сохранились и настройки Microsoft Defender с исключениями файлов и папок.


Итоги

Несмотря на неразбериху с обновлением через "Центр обновления Windows" в моем случае и откровенно недоработанное средство Windows 11 PC Health Check процесс обновления Windows 10 до Windows 11 довольно быстр и безболезнен. Все настройки и программы пользователя остаются на месте, а слетевшие обои - не критичная проблема.

С другой стороны, быстрый процесс обновления и то, что от старой ОС остаются в рабочем состоянии даже настройки, сделанные через реестр, показывают, что под капотом у Windows 11 старая добрая Windows 10, которой скоро исполнится уже семь лет, и у которой просто поменяли интерфейс. Но ведь Microsoft заявляли, что Windows 10 станет последней Windows и других не будет, так что придраться не к чему.

Пишите в комментарии, а вы будете обновляться до Windows 11?

Подпишитесь на наш канал в Яндекс.Дзен или telegram-канал @overclockers_news - это удобные способы следить за новыми материалами на сайте. С картинками, расширенными описаниями и без рекламы.


Автоматическое обновление рабочих станций в сети, Как в локалке сделать централизованное обновление?


В локалке 40 компов, хочу на всех включить автоматическое обновление, чтобы поменьше дыр на рабочих станциях было. Инет не анлимитед, а компы будут много трафика жрать, да и пользователи не щелкают по значку в трее чтобы начать установку загруженных обновлений.
Может, кто поможет как это дело как-нибудь автоматизировать, например какой-нибудь сервер обновления с инета качает, а потом устанавливает на рабочие станцие централизованно.
Рабочие станции на XP pro rus sp2 и XP pro eng sp2.
Зарание спасибо за помощь.


wsus

Далее будет рассмотрен подробнейшим образом процесс подготовки всех компонентов системы для централизованного распространения обновлений. Разработал и протестировал данный метод, а также написал эту инструкцию мой коллега, за что ему огромное спасибо.

Подразумевается, что WSUS уже настроен и функционирует.

Внесем дополнительные изменения в настройки Windows Update, создав новый GPO или отредактировав уже существующий:

Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \

Центр обновления Windows

«Разрешить прием обновлений с подписью из службы обновления Майкрософт в интрасети

import-module servermanager

add-windowsfeature net-framework

После установки программы на сервер WSUS выполните следующие действия:

В производственной среде лучше использовать сертификат, изданный удостоверяющим центром (CA), который является частью инфраструктуры открытых ключей PKI компании.

Для компьютеров, которые входят в домен, сертификат можно распространить через групповую политику, добавив его в соответствующие узлы:

Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Политики открытого ключа\ Доверенные корневые центры сертификации

Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \

Политики открытого ключа\ Доверенные издатели

Для компьютеров из рабочей группы нужно установить параметр в реестре

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AcceptTrustedPublisherCerts = 1

Если все сделано правильно, то клиентские компьютеры смогут принимать сторонние обновления, в противном случае появится ошибка Windows Update 800B0109.

3.1. Adobe Flash Player

Затем выполните следующие шаги для создания локального обновления в Local Update Publisher:

  • В меню Tools щелкните Create Update.
  • В окне Import Update from File нажмите кнопку Затем выберите ранее загруженный msi-файл Flash Player. Все файлы упакованы в установщике Flash Player MSI.

3.1

3.12

3.13

3.14

Спустя несколько секунд на экране должно появиться извещение об успешной публикации обновления во WSUS.

Один из недостатков локальных обновлений заключается в том, что они не отображаются в административной консоли WSUS. Управлять и утверждать локальные обновления приходится с помощью инструмента Local Update Publisher:

  • В Local Update Publisher разверните LOCALHOST, Updates, Adobe Systems, Inc., Adobe Flash Player.
  • В области сведений щелкните правой кнопкой мыши на обновлении и нажмите кнопку Approve.

3.15

Отключение автоматических обновлений Adobe Flash Player . По умолчанию Flash Player проверяет наличие новых версий через каждые 30 дней. В корпоративной среде полезно отключить эту функцию и централизованно управлять обновлениями через WSUS. С помощью бесплатного инструмента, такого как Microsoft Orca, в базу данных MSI можно внести необходимый файл конфигурации.

В программе Local Update Publisher предусмотрены основные функции подготовки отчетов, с помощью которых можно увидеть, какие компьютеры в группе успешно получили обновления.

3.2. Adobe Reader

Распаковываем EXE с помощью архиватора (например, 7-Zip или WinRAR).

3.21

Запускаем Adobe Customization Wizard и открываем в нем AcroRead.msi, получившийся в результате распаковки EXE.

Далее вносим следующие изменения:

  • в разделе Personalization Options выбрать пункт Suppress display of EULA:

3.22

  • в разделе Installation Options отметить пункты Installer will choose which product will be the default,Remove all version of Reader, Enable Optimization,Enable Caching of installer files,Silent Installation и Suppress reboot.

3.23

  • в разделе Registry перейти к HKLM\Microsoft\Windows\CurrentVersion\Run. Правым кликом по параметру вызвать контекстное меню и выбрать Modify

3.24

3.25

3.26

  • в разделе Online and Adobe online services Features отключитьвсефункции

3.27

  • в разделе Direct Editor выбрать таблицу InstallExecuteSequence. Далее выбирая параметры

3.28

CreateShortcut, InstallService и StartService, нажать правым кликом и выбрать из контекстного меню Drop Rows

3.29

  • открываем AcroRead.msi с помощью Microsoft Orca и из таблицы Property копируем значение параметра ProductCode. Оно пригодится позже.

3.210

Затем выполните следующие шаги для создания локального обновления в Local Update Publisher:

  • В меню Tools щелкните Create Update.
  • В окне Import Update from File нажмите кнопку Затем выберите Setup.exe из ранее распакованного инсталлятора
  • С помощью кнопки Add Files добавьте остальные файлы из распакованного инсталлятора

3.211

3.212

  • На странице Package Level — Installed Rules нажмите кнопку Add Rule. В списке Rule Type выберите MSI Product Installed, в поле Product Code необходимо вписать значение параметра ProductCode, которое получили (см. выше) с помощью Microsoft Orca ( значение вписать без фигурных скобок !)

3.213

3.214

3.215

  • Далее нажимаем несколько раз Next, затем Finish. Обновление подготовлено.
  • Дальнейшее управление и утверждение локального обновления аналогично описанному в п. 3.1.

3.3. Обновление для Adobe Reader

Затем выполните следующие шаги для создания локального обновления в Local Update Publisher:

Может сложиться ситуация, когда кроме самого Adobe Reader уже были опубликованы файлы MSP (более ранние по сравнению с подготовленным сейчас). В этом случае, убедившись, что подготовленное сейчас обновление включает все изменения из предыдущих файлов MSP, необходимо выполнить следующее:

  • нажать правой кнопкой на подготовленном сейчас обновлении и выбрать Revise

3.3

  • в открывшемся окне нажмите Supersedes, затем Add, далее в списке Vendor выберите производителя Adobe Systems, Inc.. После этого выделите обновления, которые будут заменяться подготовленным сейчас и нажмите Select

3.31

  • На остальных экранах мастера нажмите Next и Finish.
  • В окне списка опубликованных обновлений статус замененных обновлений изменится на Superseded

3.32

  • Дальнейшее управление и утверждение локального обновления аналогично описанному в п. 3.1.

3.4. Java

Чтобы добыть пакет MSI, необходимо установить Java с помощью автономного установщика.

После успешной установки MSI можно найти здесь:

\AppData\LocalLow\Sun\Java\jre \ Этот MSI уже пригоден для распространения через Local Update Publisher.

Однако будет правильнее внести некоторые изменения. Например, отключить функцию проверки наличия обновления:

  • в Microsoft Orca открываем MSI
  • выбираем Transform, затем New Transform
  • выбираем таблицу Property
  • редактируем следующие свойства:

AUTOUPDATECHECK=0 (отключает добавление в автозагрузку планировщика обновлений JRE, т.е.

радикально отключает автообновление)

JAVAUPDATE=0 (отключает обновление, но не отключает предложение включить автообновление во время первого запуска, так же не отключает вкладку Update в Java Control Panel)

SYSTRAY=0 (отключает уведомление в трее о необходимости обновления)

3.4

  • Сохраняем модификацию: Transform, затем Generate Transform…

Теперь можно публиковать обновление в Local Update Publisher:

3.42

  • В поле Vendor введите Oracle. В поле Product укажите Java.
  • Поскольку MSI уже содержит все необходимые правила установки, то можно просто нажать Next в остальных окнах мастера. Однако можно добавить и свои правила, воспользовавшись, например, фильтрами WMI:

3.42

В примере выше обновление будет установлено только на ПК под управлением 64-bit ОС, в которых проинсталлирована Java 32-bit или Java 64-bit:

WMI Namespace: root\cimv2

WMI Namespace: root\cimv2

WMI Namespace: root\cimv2

Замечания по распространению обновлений Java:

начиная с Java 8 обновление 20 (8u20), на системах Windows инструмент удаления Java Uninstall Tool интегрируется с программой установки. Это позволяет удалять устаревшие версии Java из системы. Данное изменение применимо к 32- и 64-разрядным платформам Windows.

Однако Java Uninstall Tool отрабатывает только при установке руками и не запускается при распространении через Local Update Publisher.

В связи с чем необходимо будет выполнить отзыв предыдущего обновления во время распространения нового:

Читайте также: