ますのです。Windows7からWindows10への移行で四苦八苦しております。
WSUSクライアント環境のはずなのに、Windows10に変えてから未承認の更新プログラムも落ちてきていておかしいな。。。という世知辛い環境が出来上がってしまいました。
制御箇所変わったのかな?と毎度おなじみMicrosoftDocsで拾ってきましたので確認します。
案の定グループポリシーの設定あるじゃないのぉぉぉということでやっていくであります。
【元記事1】:Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまう事象について
【元記事2】:WSUS クライアントのグループ ポリシー : その 3 – Windows 10 基本編
原因は「Windows10 1607」で変更されたWindows Update for Business の影響みたいですね。
今まではWindowsUpdate or WSUSからの1か所からの受信のみでしたが、Windows Update および WSUS の両方から更新プログラムを受け取るようになったようです。
今まではWindowsUpdate or WSUSからの1か所からの受信のみでしたが、Windows Update および WSUS の両方から更新プログラムを受け取るようになったようです。
今回の対応をざっくりまとめるとこんな感じのようです。
- クライアントPC側の自動更新でWindowsUpdateから更新プログラムをダウンロードする機能を未構成にする
- ユーザ操作でダウンロードしないようにインターネット上のWindowsUpdateに繋がらないように制御する
れっつとらいであります!
目次
適用1:WindowsUpdate.admxをADサーバの所定の位置に格納する
対象のadmxは「WindowsUpdate.admx」になります。
このデータをADサーバのsysvol内のPoliciesフォルダ内にぶち込みましょう。「ja」にはadmlデータを保存します。
管理用テンプレート「admx」のダウンロードはこちらから
このデータをADサーバのsysvol内のPoliciesフォルダ内にぶち込みましょう。「ja」にはadmlデータを保存します。
管理用テンプレート「admx」のダウンロードはこちらから
適用2:WindowsUpdateへアクセス禁止とするグループポリシーを”有効”設定する
今回は元記事2の「A. 更新プログラムを WSUS サーバーのみから取得するようにしたい場合」で進めていきます。
先ずはWSUS設定の基本的な部分は抑えていますという前提でこの2つは省略。
1. [コンピューターの構成] -> [管理用テンプレート] -> [Windows Update] |
[イントラネットの Microsoft 更新サービスの場所を指定する]:有効 |
2. [コンピューターの構成] -> [管理用テンプレート] -> [Windows Update] |
[自動更新を構成する]:有効 |
はい。本題です。これの有効化が必須ですね!
3-1. [コンピューターの構成] -> [管理用テンプレート] -> [Windows Update] |
[インターネット上の Windows Update に接続しない]:有効 |
わたしの環境では[Windows Update のすべての機能へのアクセスをオフにする]はここにありました。
->[コンピューターの構成] -> [管理用テンプレート] -> [Windows Update]
有効化しても制御が上手くいかなかったので[インターネット上の Windows Update に接続しない]で実施しています。
※[インターネット上の Windows Update に接続しない] を有効にした場合は、ストアアプリのインストールや更新ができません。ストアアプリのインストールや更新を許可したい場合は、[Windows Update のすべての機能へのアクセスをオフにする] を有効にしてください。と注意喚起があったのであとはご自身の環境に合わせて実施ください。
適用3:デュアルスキャン(ユーザ側での手動インストール)を抑止するポリシーを”有効”設定する
この設定をしないとユーザ側で手動でWindowsUpdateにアクセスした時はダウンロードできちゃうみたい。
Windows10端末>設定>Windows Update>更新の確認クリックすると勝手に落ちるのはこのせいか。。。と納得であります。
Windows10端末>設定>Windows Update>更新の確認クリックすると勝手に落ちるのはこのせいか。。。と納得であります。
4.[コンピューターの構成] -> [管理用テンプレート] -> [Windows Update] |
[Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない]:有効 |
5.[コンピューターの構成] -> [管理用テンプレート] -> [Windows Update] -> [Windows Update for Business] |
[ 機能更新プログラムをいつ受信するかを選択してください]:有効 ->品質更新プログラムがリリースされた後、受信を延期する日数:0 ->品質更新プログラムの一時停止を開始しています:(空白) |
5に関しては設定しなくてもユーザ側でいじらなければ大丈夫。ユーザ側で項目消したいというときに使う項目です。
値も任意で良いと書いているので、とりあえず0入れて様子しているであります。
値も任意で良いと書いているので、とりあえず0入れて様子しているであります。
以上の設定でWindows10でもWSUSだけで更新プログラムが当たるように制御することが出来ます。
Windows10に変わってから色々な仕様が変わって情シス界隈はてんやわんやでありますな。わたしだけてんやわんやだとしたら、日々の管理が出来ていないと罵倒されるであります^q^
Windows10に変わってから色々な仕様が変わって情シス界隈はてんやわんやでありますな。わたしだけてんやわんやだとしたら、日々の管理が出来ていないと罵倒されるであります^q^
皆さんの参考になれば幸いでございます。
[amazon_link asins=’4877833366,4990152352,’ template=’Custom-01′ store=’soypocket-22′ marketplace=’JP’ link_id=’7788d78b-222d-495e-ab22-1f2ce70728e9′]