Wraz z rozwojem Internetu ciągła aktualizacja systemu operacyjnego stała się powszechna. Teraz programiści mogą naprawiać i ulepszać system przez cały okres wsparcia. Jednak częste aktualizacje systemu Windows 10 nie zawsze są wygodne. Dlatego dobrze byłoby mieć możliwość ich wyłączenia.

Powody wyłączenia automatycznych aktualizacji

Powody mogą być bardzo różne i tylko Ty możesz zdecydować, ile potrzebujesz, aby wyłączyć aktualizacje. Warto wziąć pod uwagę, że wraz z ulepszeniami niektórych możliwości dostarczane są ważne poprawki luk w zabezpieczeniach systemu. A jednak sytuacje, w których należy wyłączyć niezależne aktualizacje, zdarzają się dość często:

• płatny Internet - czasami aktualizacja jest dość duża i pobranie jej może być kosztowne, jeśli płacisz za ruch. W takim przypadku lepiej odłożyć pobieranie i pobrać później na innych warunkach;
• brak czasu - po pobraniu aktualizacja rozpocznie instalację przy wyłączonym komputerze. Może to być niewygodne, jeśli trzeba szybko zakończyć pracę, na przykład na laptopie. Ale co gorsza, prędzej czy później Windows 10 będzie wymagał ponownego uruchomienia komputera, a jeśli tego nie zrobisz, to po pewnym czasie ponowne uruchomienie zostanie wymuszone. Wszystko to rozprasza i zakłóca pracę;
• bezpieczeństwo – choć same aktualizacje często zawierają istotne zmiany systemowe, nikt nie jest w stanie wszystkiego przewidzieć. W rezultacie niektóre aktualizacje mogą narazić Twój system na atak wirusów, podczas gdy inne po prostu go uszkodzą zaraz po instalacji. Rozsądnym podejściem w tej sytuacji jest aktualizacja jakiś czas po wydaniu kolejnej wersji, po wcześniejszym zapoznaniu się z recenzjami.

Wyłącz automatyczne aktualizacje systemu Windows 10

Istnieje wiele sposobów wyłączenia aktualizacji systemu Windows 10. Niektóre z nich są bardzo proste dla użytkownika, inne są bardziej złożone, a jeszcze inne wymagają instalacji programów innych firm.

Wyłączanie poprzez Centrum aktualizacji

Wyłączenie tej opcji za pomocą Aktualizacji nie jest najlepszą opcją, chociaż programiści Microsoft oferują ją jako oficjalne rozwiązanie. W rzeczywistości możesz wyłączyć automatyczne pobieranie aktualizacji w ich ustawieniach. Problem polega na tym, że to rozwiązanie będzie w ten czy inny sposób tymczasowe. Wydanie dużej aktualizacji systemu Windows 10 spowoduje zmianę tego ustawienia i przywrócenie aktualizacji systemu. Ale nadal będziemy badać proces zamykania:

Po tych zmianach drobne aktualizacje nie będą już instalowane. Ale to rozwiązanie nie pomoże Ci na zawsze pozbyć się pobierania aktualizacji.

Opublikowane 18 lutego 2009 przez · Brak komentarzy

W tym artykule opowiem o niektórych kluczach rejestru powiązanych z usługą Windows Update. Pokażę Ci różne opcje, z których mogą korzystać te klucze rejestru.

Jeśli przegapiłeś drugą część tego artykułu, koniecznie przeczytaj

Chociaż zarówno usługa Windows Update, jak i WSUS są ogólnie dość łatwe w konfiguracji, czasami można uzyskać większą kontrolę, wprowadzając pewne zmiany w rejestrze systemu Windows. W tym artykule pokażę kilka kluczy rejestru powiązanych z usługą Windows Update. Pokażę Ci różne opcje, z których mogą korzystać te klucze rejestru.

Zacząć

Najpierw uszczęśliwię prawników i ostrzegę, że wprowadzanie zmian w rejestrze może być bardzo niebezpieczne. Wprowadzenie nieprawidłowych ustawień rejestru może doprowadzić do zniszczenia systemu Windows i/lub wszelkich uruchomionych aplikacji na komputerze. Przed próbą wprowadzenia zmian w rejestrze należy wykonać pełną kopię zapasową systemu. Jestem gotowy pokazać, jak to się robi.

Jest jeszcze jedna rzecz, o której muszę ci powiedzieć. Dostrojenie, o którym chcę Ci powiedzieć, dotyczy tylko komputerów z systemem Windows XP. Możesz wprowadzać zmiany bezpośrednio na konkretnych komputerach lub możesz je zastosować w ramach skryptu logowania. Ponadto niektóre klucze, o których będę mówić, mogą domyślnie nie istnieć. Jeśli chcesz użyć klucza, który nie istnieje, musisz go najpierw utworzyć. Powinieneś także wiedzieć, że zachowanie aktualizacji systemu Windows można kontrolować za pomocą zasad grupy. Zasady grupy mogą czasami modyfikować klucze rejestru, aby odpowiadały określonemu przez nie zachowaniu.

Eskalacja przywilejów

Jednym z problemów związanych z pobieraniem aktualizacji z serwera WSUS jest to, że użytkownicy nie mogą zatwierdzać ani odrzucać aktualizacji, jeśli nie są członkami lokalnej grupy administratorów. Można jednak użyć rejestru do podniesienia uprawnień użytkowników, aby mogli instalować lub odmówić zainstalowania zmian, niezależnie od tego, czy są członkami lokalnej grupy administratorów, czy nie. Z drugiej strony możesz także uniemożliwić użytkownikom instalowanie aktualizacji i pozostawić to uprawnienie administratorowi (Adminowi).

Odpowiedzialny za to klucz rejestru to: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins

Klucz ElevateNonAdmins ma dwie możliwe wartości. Domyślna wartość 1 umożliwia instalowanie aktualizacji użytkownikom niebędącym administratorami. Jeśli zmienisz tę wartość na 0, tylko administratorzy będą mogli instalować aktualizacje.

Grupy docelowe

Jedną z największych zalet programu WSUS jest to, że umożliwia kierowanie po stronie klienta. Pomysł pozycjonowania po stronie klienta polega na tym, że można definiować różne grupy komputerów i rozdzielać prawa do instalowania aktualizacji w zależności od członkostwa w grupie. Domyślnie pozycjonowanie po stronie klienta nie jest używane, ale jeśli zdecydujesz się z niego skorzystać, pomogą Ci w tym dwa klucze rejestru. Pierwszy z tych kluczy obejmuje kierowanie po stronie klienta, a drugi wskazuje nazwę grupy, do której należy komputer. Oba te klucze muszą zostać utworzone w: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

Pierwszy klucz to klucz DWORD o nazwie TargetGroupEnabled. Możesz ustawić ten klucz na 0, co wyłącza kierowanie po stronie klienta, lub 1, co włącza kierowanie po stronie klienta.

Drugi klucz, który powinieneś utworzyć, powinien nazywać się TargetGroup i mieć wartość ciągu. Wartością tego klucza musi być nazwa grupy, do której komputer ma być przypisany.

Instalowanie serwera WSUS

Jeśli zajmujesz się Internetem od jakiegoś czasu, prawdopodobnie wiesz, że projektowanie stron internetowych zmienia się z biegiem czasu. Podstawą zmian w sieci są często takie czynniki, jak rozwój firmy, nowe wymagania dotyczące bezpieczeństwa i ograniczenia korporacyjne. Jak to się ma do aktualizacji systemu Windows? Program WSUS jest skalowalny i można go instalować hierarchicznie. Oznacza to, że w organizacji może być zainstalowanych wiele serwerów WSUS. Jeśli komputer PC zostanie przeniesiony do innej części firmy, serwer WSUS pierwotnie zdefiniowany dla tego komputera może nie być już odpowiedni dla nowej lokalizacji. Na szczęście kilka prostych modyfikacji rejestru może zmienić serwer WSUS, z którego komputer otrzymuje aktualizacje.

Do identyfikacji serwera WSUS służą dwa klucze. Każdy z nich znajduje się w: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Pierwszy klucz nazywa się WUServer. Ten klucz musi być ustawiony na wartość tekstową opisującą adres URL serwera WSUS (na przykład: http://nazwa_serwera).

Kolejnym kluczem, który powinieneś zmienić, jest klucz o nazwie WUStatusServer. Pomysł związany z tym kluczem jest taki, że komputer (PC) powinien raportować swój stan serwerowi WSUS, aby serwer WSUS mógł wiedzieć, jakie zmiany zostały zainstalowane na komputerze. Klucz WUStatusServer zwykle zawiera dokładnie tę samą wartość co klucz WUServer (na przykład: http://nazwa_serwera).

Agent automatycznej aktualizacji

Mówiłem więc o tym, jak podłączyć komputer (PC) do konkretnego serwera WSUS lub dla określonej grupy (grupy docelowej), ale to dopiero połowa procesu. Usługa Windows Update korzysta z agenta aktualizacji, który faktycznie instaluje aktualizacje. Istnieje kilka kluczy rejestru znajdujących się w HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU, które kontrolują agenta automatycznej aktualizacji.

Pierwszym z tych kluczy jest klucz AUOptions. Tę wartość DWORD można ustawić na 2, 3, 4 lub 5. Wartość 2 oznacza, że ​​agent powinien powiadamiać użytkownika o pobraniu aktualizacji. Wartość 3 oznacza, że ​​aktualizacja zostanie pobrana automatycznie, a użytkownik zostanie powiadomiony o instalacji. Wartość 4 oznacza, że ​​aktualizacja powinna zostać automatycznie pobrana i zainstalowana zgodnie z harmonogramem. Aby ta opcja działała, musisz także ustawić wartości dla kluczy ScheduledInstallDay i ScheduledInstallTime. Później opowiem więcej o tych kluczach. Wreszcie wartość 5 oznacza, że ​​wymagana jest automatyczna aktualizacja, ale użytkownicy końcowi mogą ją skonfigurować.

Następnym kluczem, o którym chcę porozmawiać, jest klucz AutoInstallMinorUpdates. Ten klucz może mieć wartość 0 lub 1. Jeśli wartość klucza wynosi 0, drobne aktualizacje są przetwarzane w taki sam sposób, jak inne aktualizacje. Jeśli wartość klucza wynosi 1, drobne aktualizacje są instalowane dyskretnie w tle.

Kolejnym kluczem powiązanym z agentem automatycznej aktualizacji jest klucz DetectionFrequency. Ten klucz pozwala ustawić, jak często agent powinien sprawdzać dostępność aktualizacji. Wartość klucza musi być liczbą całkowitą z zakresu od 1 do 22, która odzwierciedla liczbę godzin pomiędzy próbami żądania aktualizacji.

Powiązany z nim klucz rejestru to klucz DetectionFrequencyEnabled. Jak sama nazwa wskazuje, klawisz ten umożliwia włączenie lub wyłączenie funkcji Częstotliwość wykrywania. Jeśli ustawisz wartość tego klucza na 0, to wartość klucza DetectionFrequency zostanie zignorowana, a jeśli ustawisz wartość tego klucza na 1, agent będzie musiał użyć wartości klucza DetectionFrequency.

Następnym kluczem, o którym chcę porozmawiać, jest klucz NoAutoUpdate. Jeśli wartość tego klucza wynosi 0, wówczas włączona jest automatyczna aktualizacja. Jeśli wartość klucza wynosi 1, automatyczna aktualizacja jest wyłączona.

Ostatnim kluczem rejestru, o którym chcę porozmawiać, jest klucz NoAutoRebootWithLoggedOnUsers. Jak zapewne wiesz, niektóre aktualizacje mogą nie zostać zastosowane bez ponownego uruchomienia systemu. Jeśli użytkownik pracuje w tym czasie, ponowne uruchomienie może być bardzo niepożądane. Jest to szczególnie prawdziwe, jeśli użytkownik odszedł od biurka i nie zapisał swojej pracy. W takim przypadku pomocny będzie klucz NoAutoRebootWithLoggedOnUsers. Wartość tego klucza może wynosić 0 lub 1. Jeśli wartość klucza wynosi 0, użytkownicy otrzymają 5-minutowe ostrzeżenie, zanim system automatycznie uruchomi się ponownie. Jeśli wartość klucza wynosi 1, użytkownicy otrzymają po prostu wiadomość z prośbą o pozwolenie na ponowne uruchomienie, ale użytkownicy mogą to zrobić według własnego uznania.

Wniosek

Istnieje wiele innych kluczy rejestru związanych z usługą Windows Update. O pozostałych opowiem w drugiej części tego artykułu.

www.windowsnetworking.com

Zobacz też:

Komentarze czytelników (Brak komentarzy)

Wymiana 2007

Jeśli chcesz przeczytać poprzednie części tej serii artykułów, skorzystaj z linków: Monitorowanie Exchange 2007 za pomocą Menedżera systemu...

Wprowadzenie W tym wieloczęściowym artykule chcę pokazać proces, którego ostatnio użyłem do migracji z istniejącego środowiska Exchange 2003...

Jeśli przegapiłeś pierwszą część tej serii, przeczytaj ją w artykule Korzystanie z narzędzia Exchange Server Remote Connectivity Analyzer Tool (Część...

Jeśli przegapiłeś poprzednią część tej serii artykułów, przejdź do Monitorowanie Exchange 2007 za pomocą System Center Operations Manager...

Automatyczne aktualizacje są ważną funkcją każdego systemu operacyjnego. Dzięki niemu komputer otrzymuje na czas ważne aktualizacje, dzięki czemu system jest stabilniejszy i bezpieczniejszy. W systemie Windows 7 funkcja jest początkowo aktywowana. Oznacza to, że jeśli istnieje połączenie z serwerami Microsoft, usługa aktualizacji sprawdza dostępność nowych pakietów, pobiera je i instaluje. Zwykle wszystkie procesy przebiegają praktycznie niezauważone przez użytkownika, ale gdy pojawiają się ciągłe oferty aktualizacji do 10, jest to już przesada.

Teoretycznie nie ma potrzeby wyłączania automatycznego pobierania aktualizacji. Jest przydatny, ponieważ likwiduje luki w zabezpieczeniach, optymalizuje działanie systemu operacyjnego i dodaje do niego nowe funkcje (dot. „dziesiątek”). Istnieje również lista powodów, dla których należy wyłączyć usługę automatycznej aktualizacji:

1. Użytkownikowi nie podoba się to, że podczas aktualizacji prędkość Internetu spada i/lub nie można wyłączyć komputera na dłuższy czas.
2. Komputer ma drogi lub ograniczony dostęp do bezprzewodowego Internetu.
3. Problemy po uruchomieniu zaktualizowanego systemu operacyjnego.
4. Błędy podczas instalacji pakietów aktualizacji.
5. Na woluminie systemowym nie ma wystarczającej ilości miejsca, aby pomieścić rosnącą objętość systemu Windows 7, która rośnie z każdą aktualizacją.

Rodzaje

Zanim jednak wyłączysz aktualizację Windows 7, zastanów się, czy jest ona naprawdę konieczna. Oprócz dezaktywacji usługi można ją przełączyć na następujące tryby pracy.

1. W pełni automatyczny - operacje przebiegają bez interwencji użytkownika, powiadamiając go jedynie o zakończeniu instalacji pakietów.
2. Wyszukuje i pobiera najnowsze poprawki zgodnie z harmonogramem, a instalacja pakietów przeprowadzana jest przez użytkownika.
3. Automatyczne sprawdzanie i powiadamianie użytkownika o dostępności aktualizacji.
4. Samoaktualizacja jest wyłączona. Wszystko odbywa się ręcznie.

Opcje wybiera się w komponencie Centrum aktualizacji.

Metody rozłączania

Ustawienia dowolnego systemu Windows są przechowywane w jego rejestrze. Dostęp do klucza odpowiedzialnego za ustawienia Centrum aktualizacji można uzyskać na kilka prostych i kilku bardziej złożonych sposobów. Przyjrzyjmy się im wszystkim.

Zmień ustawienia Centrum aktualizacji

Zacznijmy od skonfigurowania usługi dla siebie. Aby uzyskać dostęp do interfejsu konfiguracyjnego, należy otworzyć „Centrum aktualizacji” za pomocą jednej z poniższych metod.

System

1. Z menu kontekstowego Mój komputer wywołaj jego „Właściwości”.

1. W lewym pionowym menu kliknij odpowiedni link znajdujący się w dolnej części okna.

1. Przejdź do „Panelu sterowania”.
2. Otwórz sekcję „System, Bezpieczeństwo”.

1. Wywołaj element o tej samej nazwie.

Jeśli elementy panelu sterowania są renderowane jako ikony, a nie kategorie, w oknie głównym pojawi się łącze do elementu.

1. Tak więc po wejściu do żądanego okna kliknij „Parametry ustawień”.

1. Przejdź do sekcji „Ważne aktualizacje” i wybierz odpowiednią opcję z rozwijanej listy.

Jedynym sposobem na całkowite wyłączenie otrzymywania aktualizacji na komputerze z systemem Windows 7 jest zatrzymanie usługi.

Wyłączenie usługi

Zarządzanie usługami w „siódemce” odbywa się poprzez:

• bezpośrednia edycja kluczy rejestru, co jest bardzo niewygodne;
• programy innych firm do konfiguracji systemu operacyjnego (pominiemy tę opcję);
• Przystawka konsoli MMC;
• Konfiguracja systemu;
• wiersz poleceń;
• Edytor zasad grupy (obecny w Windows 7 Ultimate, Enterprise).

Usuwanie usługi z autostartu

Najszybszym sposobem wyłączenia aktualizacji jest skorzystanie z konfiguratora systemu.

1. Uruchom „msconfig” w oknie interpretera poleceń, które otworzy się po przytrzymaniu klawiszy Win + R lub kliknięciu przycisku „Uruchom” w Start.

1. Przejdź do zakładki „Usługi”.
2. Znajdź „Windows Update” (może Windows Update) i odznacz pole obok niego.

1. Zapisz nowe ustawienia.

Do końca bieżącej sesji usługa będzie działać, prawidłowo wykonując przypisane jej zadania. Aby zastosować nową konfigurację, należy ponownie uruchomić system Windows 7.

Skorzystajmy z przystawki konsoli MMC

Przystawka konsoli systemowej o tej samej nazwie zapewnia dostęp do zarządzania wszystkimi usługami na komputerze. Zaczyna się tak.

1. Otwórz menu kontekstowe katalogu „Mój komputer”.
2. Wywołaj polecenie „Zarządzaj”.

1. W lewym pionowym menu rozwiń pozycję „Usługi i aplikacje”. Następnie kliknij link „Usługi”.

Prostszą opcją wywołania tego samego okna byłoby uruchomienie polecenia „services.msc” w oknie dialogowym „Uruchom”.

1. Przewiń na sam koniec listy usług i otwórz „Właściwości” usługi Windows Update.

1. Z listy rozwijanej „Typ uruchomienia” wybierz „Wyłączony” zamiast „Automatyczny”, aby na zawsze pożegnać się z automatycznymi aktualizacjami. Jeśli chcesz teraz wyłączyć usługę, kliknij „Zatrzymaj”. Zapisz nowe ustawienia przyciskiem „Zastosuj” i zamknij wszystkie okna.

Aby zastosować ustawienia, nie trzeba ponownie uruchamiać komputera.

Edytor zasad grupy

Kolejna przystawka MMC o nazwie Edytor lokalnych zasad grupy pomoże Ci skonfigurować dowolne parametry systemowe.

Nie jest dostępny w domowej edycji Seven!

1. Narzędzie uruchamia się poprzez uruchomienie polecenia „gpedit.msc” w oknie „Uruchom”.

1. W podsekcji „Konfiguracja komputera” rozwiń gałąź „Szablony administracyjne”.

1. Otwórz „Składniki systemu Windows” i poszukaj Centrum aktualizacji.
2. Po prawej stronie okna znajduje się parametr, którego nazwa zaczyna się od „Ustawianie automatycznej aktualizacji”.
3. Wywołaj jego ustawienia.

1. Przesuń checkbox do pozycji „Wyłącz” i kliknij „OK”, aby zamknąć okno i zapisać zmiany.

Użyjmy wiersza poleceń

Za pomocą wiersza poleceń wykonywane są te same operacje, co w interfejsie graficznym, a nawet więcej, ale w trybie tekstowym. Najważniejsze jest poznanie ich składni i parametrów.

Polecenie „cmd” odpowiada za wywołanie wiersza poleceń.

1. Otwórz interpreter poleceń i wykonaj go.

W tym artykule podsumowano znane mi metody naprawiania agenta WSUS.

1. Pierwszy skrypt jest najprostszy i tak naprawdę nie służy nawet do leczenia, ale do wymuszenia sprawdzenia aktualizacji i jednocześnie czyszczenia folderu, w którym gromadzą się dystrybucje już zainstalowanych aktualizacji:

wsus_detect_manual.cmd

net stop wuauserv && bity stopu netto && net stop cryptsvc

net start wuauserv && bity startu netto && start sieci cryptsvc

wuauclt.exe /detectnow Wyjście

2. Drugi skrypt jest potrzebny do „ożywienia” nieczynnej usługi WSUS. Usuwa stare aktualizacje, po czym zmieniane są nazwy folderów SoftwareDistribution i Catroot2, co doprowadzi do ich ponownego utworzenia po ponownym uruchomieniu usługi. Następnie systemowe biblioteki dll są ponownie rejestrowane.

fix_wsus_service.cmd

bity stopu netto
przystanek netto wuauserv
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

bity startu netto
start netto wuauserv
net start cryptsvc

wuauclt/wykryj teraz

Wyjście

3. Ten skrypt jest używany w przypadkach, gdy komputer został niedawno sklonowany lub w przypadkach, gdy komputer nigdy nie był zarejestrowany w programie WSUS. Różni się od poprzedniej jedynie przedostatnią linijką, w której następuje reset autoryzacji i regeneracja identyfikatora. Zacytuję tylko ten wiersz:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo włączone
przystanek netto wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
start netto wuauserv
wuauclt /resetauthorization /detectnow

5. Czasami, aby wszystko działało, należy ponownie zainstalować agenta WSUS. Najpierw należy pobrać najnowszego Agenta Windows Update, a następnie zainstalować odpowiednią edycję

dla wersji x32 systemu Windows

Windowsupdateagent30-x86.exe /wuforce

dla wersji systemu Windows x64

Windowsupdateagent30-x64.exe /wuforce

Jeżeli jesteś szczęśliwym posiadaczem Itanium to możesz się domyślić :-)

Po zainstalowaniu agenta należy go ponownie uruchomić.

6. Aby „leczyć” błędy 0x80070005, tj. błędów dostępu, przydatny może okazać się poniższy skrypt. Przywraca administratorowi i systemowi dostęp do rejestru i folderów systemowych.

Aby uruchomić ten skrypt, będziesz potrzebować narzędzia Microsoft subinacl.exe. Jest ona zawarta w zestawie zasobów dla systemu Windows Server 2003, ale nie należy używać wersji tam zawartej, ponieważ Jest tam kilka nieprzyjemnych błędów. Powinieneś pobrać wersję subinacl.exe 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo wyłączone
REM Zastosuj błędy 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administratorzy=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administratorzy=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administratorzy=f
subinacl /podkatalogi %SystemDrive% /grant=administratorzy=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /podkatalogi %SystemDrive% /grant=system=f

Wszystkie te skrypty mogą zostać wykonane niemal automatycznie, jeśli pojawią się problemy. Jeśli w rezultacie problem nie zostanie rozwiązany, należy przyjrzeć się mu bliżej. I tutaj będziemy potrzebować tego samego pliku Windowsupdate.log, który znajduje się w katalogu głównym folderu Windows. Jeśli komputer sprawia problemy, plik ten jest duży. Dla uproszczenia zaleca się usunięcie go przed uruchomieniem skryptów. Prawie wszystkie skrypty udostępniają polecenie usunięcia go, ale nie wszystko jest takie proste. Pomimo zatrzymania usługi wuauserv, zwykle jest ona nadal otwarta w IE itp. Dlatego istnieje trudny sposób. Odpalam

notepad.exe %windir%\windowsupdate.log

Zaznaczam cały tekst, usuwam go i zapisuję zamiast starego pliku (nie zapomnij zmienić typu pliku na *.* w oknie dialogowym zapisywania, w przeciwnym razie domyślnym ustawieniem jest *.txt)

Warto zauważyć, że zdarzają się przypadki, gdy nie można wymusić na kliencie aktualizacji z wsus. Mam precedensy z kilkoma systemami Windows Server 2003 R2, których nie udało mi się pokonać. Dlatego aktualizuję je przez Internet :-)

Świeże systemy operacyjne, takie jak Windows 7, Windows 2008, czasami mają trudności z uruchomieniem. W takich przypadkach, empirycznie, algorytm taki jak:
1. Zaktualizuj po raz pierwszy ze strony internetowej Microsoft za pomocą aktualizacji agenta
2. Następnie aktualizujemy agenta lokalnie
3. I wtedy wszystko zaczyna działać

Mam nadzieję, że owoce naszej pracy komuś pomogą.

Dla uproszczenia zamieszczam wszystkie te skrypty w gotowej formie:

W jednym z poprzednich artykułów szczegółowo opisaliśmy procedurę. Po skonfigurowaniu serwera należy skonfigurować klientów systemu Windows (serwery i stacje robocze) do korzystania z serwera WSUS w celu odbierania aktualizacji, tak aby klienci otrzymywali aktualizacje z wewnętrznego serwera aktualizacji, a nie z serwerów Microsoft Update przez Internet. W tym artykule omówimy procedurę konfigurowania klientów do korzystania z serwera WSUS przy użyciu zasad grupy domen Active Directory.

Zasady grupy AD umożliwiają administratorowi automatyczne przypisywanie komputerów do różnych grup WSUS, eliminując potrzebę ręcznego przenoszenia komputerów między grupami w konsoli WSUS i aktualizowania tych grup. Przypisanie klientów do różnych grup docelowych programu WSUS odbywa się na podstawie etykiety rejestru na kliencie (etykiety są ustawiane za pomocą zasad grupy lub bezpośrednio edytując rejestr). Ten typ przypisywania klientów do grup WSUS nazywa się klientstronakierowanie(Kierowanie po stronie klienta).

Zakłada się, że nasza sieć będzie korzystała z dwóch różnych polityk aktualizacji - osobnej polityki instalacji aktualizacji dla serwerów ( Serwery) i dla stacji roboczych ( Stacje robocze). Te dwie grupy należy utworzyć w konsoli WSUS w sekcji Wszystkie komputery.

Rada. Zasady dotyczące sposobu, w jaki klienci korzystają z serwera aktualizacji programu WSUS, w dużej mierze zależą od struktury organizacyjnej jednostki organizacyjnej w usłudze Active Directory oraz reguł instalacji aktualizacji obowiązujących w organizacji. W tym artykule przyjrzymy się tylko konkretnej opcji, która pozwala zrozumieć podstawowe zasady używania zasad AD do instalowania aktualizacji systemu Windows.

Przede wszystkim należy określić regułę grupowania komputerów w konsoli WSUS (targeting). Domyślnie w konsoli WSUS komputery są ręcznie rozdzielane przez administratora na grupy (kierowanie po stronie serwera). Nie jesteśmy z tego zadowoleni, dlatego zwracamy uwagę, że komputery są rozdzielane na grupy w oparciu o kierowanie po stronie klienta (według określonego klucza w rejestrze klientów). Aby to zrobić, w konsoli WSUS przejdź do sekcji Opcje i otwórz parametr Komputery. Zmień wartość na Użyj zasad grupy lub ustawień rejestru na komputerach(Użyj zasad grupy lub ustawień rejestru na komputerach).

Można teraz utworzyć obiekt GPO w celu skonfigurowania klientów WSUS. Otwórz konsolę zarządzania zasadami grupy domeny i utwórz dwie nowe zasady grupy: ServerWSUSPolicy i WorkstationWSUSPolicy.

Zasady grupy WSUS dla serwerów Windows

Zacznijmy od opisu polityki serwera Polityka serweraWSUS.

Ustawienia zasad grupy odpowiedzialne za działanie usługi Windows Update znajdują się w sekcji GPO: KomputerKonfiguracja -> Zasady-> Administracyjnyszablony-> OknaCzęść-> OknaAktualizacja(Konfiguracja komputera -> Szablony administracyjne -> Składniki systemu Windows -> Windows Update).

W naszej organizacji spodziewamy się używać tej zasady do instalowania aktualizacji programu WSUS na serwerach Windows. Oczekuje się, że wszystkie komputery objęte tą polityką zostaną przypisane do grupy Serwery w konsoli WSUS. Ponadto chcemy zapobiec automatycznej instalacji aktualizacji na serwerach po ich otrzymaniu. Klient WSUS musi po prostu pobrać dostępne aktualizacje na dysk, wyświetlić powiadomienie o nowych aktualizacjach w zasobniku systemowym i poczekać, aż administrator zainicjuje instalację (ręcznie lub zdalnie za pomocą ), aby rozpocząć instalację. Oznacza to, że serwery produktywne nie będą automatycznie instalować aktualizacji i restartować bez zgody administratora (zwykle prace te wykonuje administrator systemu w ramach comiesięcznych planowych prac konserwacyjnych). Aby wdrożyć taki schemat, ustalimy następujące zasady:

• SkonfigurujAutomatycznyAktualizacje(Ustawianie automatycznej aktualizacji): Włączać. 3 – AutomatyczniepobieraćInotyfikowaćDozainstalować(Automatycznie pobieraj aktualizacje i powiadamiaj, gdy będą gotowe do zainstalowania)– klient automatycznie pobiera nowe aktualizacje i powiadamia o ich dostępności;
• SprecyzowaćIntranecieMicrosoftuaktualizacjapracaLokalizacja(Określ lokalizację intranetowej witryny Microsoft Update): Włączać. Ustaw usługę aktualizacji intranetową na wykrywanie aktualizacji: http://srv-wsus.site:8530, Ustaw serwer statystyk intranetowych: http://srv-wsus.site:8530– tutaj musisz podać adres swojego serwera WSUS i serwera statystyk (zwykle są one takie same);
• Brak automatycznego ponownego uruchamiania przy zalogowanych użytkownikach w przypadku zaplanowanych instalacji automatycznych aktualizacji(Nie uruchamiaj automatycznie ponownie podczas automatycznego instalowania aktualizacji, jeśli w systemie są uruchomieni użytkownicy): Włączać– zabronić automatycznego ponownego uruchamiania, gdy trwa sesja użytkownika;
• Włączaćklient-stronakierowanie ( Pozwól klientowi dołączyć do grupy docelowej): Włączać. Nazwa grupy docelowej dla tego komputera: Serwery– w konsoli WSUS przypisz klientów do grupy Serwery.

Notatka. Konfigurując politykę aktualizacji, zalecamy dokładne zapoznanie się ze wszystkimi ustawieniami dostępnymi w każdej z opcji w sekcji GPO OknaAktualizacja i ustaw parametry odpowiadające Twojej infrastrukturze i organizacji.

Zasady instalacji aktualizacji programu WSUS dla stacji roboczych

Zakładamy, że aktualizacje na stacjach klienckich, w przeciwieństwie do polityki serwerowej, będą instalowane automatycznie w nocy, zaraz po otrzymaniu aktualizacji. Po zainstalowaniu aktualizacji komputery powinny automatycznie uruchomić się ponownie (ostrzegając użytkownika z 5-minutowym wyprzedzeniem).

W tym GPO (WorkstationWSUSPolicy) określamy:

• UmożliwićAutomatycznyAktualizacjenatychmiastowyinstalacja(Pozwól na natychmiastową instalację automatycznych aktualizacji): Wyłączony- zakaz natychmiastowej instalacji aktualizacji po ich otrzymaniu;
• Umożliwićnie-administratorzyDoodbieraćaktualizacjapowiadomienia(Zezwalaj użytkownikom niebędącym administratorami na otrzymywanie powiadomień o aktualizacjach): Włączony- wyświetlać ostrzeżenie osobom niebędącym administratorami o nowych aktualizacjach i zezwalać na ich ręczną instalację;
• Skonfiguruj aktualizacje automatyczne:Włączony. Skonfiguruj automatyczną aktualizację: 4 - Automatyczne pobieranie i planowanie instalacji. Planowany dzień instalacji: 0 - Każdydzień. Planowany czas montażu: 05:00 – po otrzymaniu nowych aktualizacji klient pobiera je do lokalnej pamięci podręcznej i planuje ich automatyczną instalację o godzinie 5:00;
• Nazwa grupy docelowej dla tego komputera: Stacje robocze– w konsoli WSUS przypisz klienta do grupy Stacje robocze;
• Brak automatycznego ponownego uruchamiania przy zalogowanych użytkownikach w przypadku zaplanowanych instalacji automatycznych aktualizacji: Wyłączony- system automatycznie uruchomi się ponownie 5 minut po zakończeniu instalacji aktualizacji;
• Określ lokalizację usługi aktualizacji firmy Microsoft w intranecie: Włączać. Ustaw usługę aktualizacji intranetową na wykrywanie aktualizacji: http://srv-wsus.site:8530, Ustaw serwer statystyk intranetowych: http://srv-wsus.site:8530–adres korporacyjnego serwera WSUS.

W systemie Windows 10 1607 i nowszych, nawet jeśli każesz im pobierać aktualizacje z wewnętrznego programu WSUS, mogą nadal próbować skontaktować się z serwerami Windows Update w Internecie. Ta „cecha” nazywa się PodwójnySkanowanie. Aby wyłączyć otrzymywanie aktualizacji z Internetu, musisz dodatkowo włączyć profil DonieumożliwićaktualizacjaodroczeniepolitykiDoprzyczynaskanyprzeciwkoOknaAktualizacja ().

Rada. Aby poprawić „poziom instalowania poprawek” komputerów w organizacji, obie zasady można skonfigurować tak, aby wymuszały uruchomienie usługi aktualizacji (wuauserv) na klientach. Aby to zrobić, w sekcji Konfiguracja komputera -> Zasady-> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Usługi systemowe Znajdź usługę Windows Update i ustaw ją tak, aby uruchamiała się automatycznie ( Automatyczny).

Przypisywanie zasad WSUS do jednostek organizacyjnych Active Directory

Kolejnym krokiem jest przypisanie utworzonych polityk do odpowiednich kontenerów Active Directory (OU). W naszym przykładzie struktura OU w domenie AD jest możliwie najprostsza: istnieją dwa kontenery – Serwery (zawiera wszystkie serwery organizacji, oprócz kontrolerów domen) i WKS (Stacje Robocze – komputery użytkowników).

Rada. Rozważamy tylko jedną dość prostą opcję powiązania zasad WSUS z klientami. W rzeczywistych organizacjach możliwe jest powiązanie jednego profilu WSUS dla wszystkich komputerów w domenie (GPO z ustawieniami WSUS jest dołączone do katalogu głównego domeny), dystrybucja różnych typów klientów w różnych jednostkach organizacyjnych (jak w naszym przykładzie - my stworzył różne zasady WSUS dla serwerów i stacji roboczych), w dużych rozproszonych domenach można łączyć lub przypisywać obiekty GPO w oparciu o lub kombinację powyższych metod.

Aby przypisać politykę do jednostki organizacyjnej, kliknij żądaną jednostkę organizacyjną w konsoli zarządzania zasadami grupy i wybierz element menu Połącz jako istniejący obiekt GPO i wybierz odpowiednią polisę.

Rada. Nie zapomnij o osobnej jednostce organizacyjnej z kontrolerami domeny (Domain Controllers) – w większości przypadków do tego kontenera należy przypisać politykę „serwerową” WSUS.

Dokładnie w ten sam sposób należy przypisać profil WorkstationWSUSPolicy do kontenera AD WKS, w którym znajdują się stacje robocze Windows.

Pozostaje tylko zaktualizować zasady grupy na klientach, aby powiązać klienta z serwerem WSUS:

Wszystkie ustawienia systemu aktualizacji Windows, które ustawimy za pomocą zasad grupy, powinny pojawić się w rejestrze klienta w oddziale HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Tego pliku reg można użyć do przeniesienia ustawień programu WSUS na inne komputery, które nie mogą skonfigurować ustawień aktualizacji przy użyciu obiektu GPO (komputery w grupie roboczej, izolowane segmenty, strefa DMZ itp.)

Edytor rejestru systemu Windows wersja 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
„TargetGroupEnabled” = dword: 00000001
"Grupa docelowa"="Serwery"
„ElevateNonAdmins” = dword: 00000000

„NoAutoUpdate”=dword:00000000 –
„AUOptions”=dword:00000003
„ScheduledInstallDay” = dword: 00000000
„ScheduledInstallTime” = dword: 00000003
„ScheduledInstallEveryWeek”=dword:00000001
„UseWUServer” = dword: 00000001
„NoAutoRebootWithLoggedOnUsers” = dword:00000001

Wygodne jest także kontrolowanie zastosowanych ustawień WSUS na klientach za pomocą rsop.msc.

A po pewnym czasie (w zależności od liczby aktualizacji i przepustowości kanału do serwera WSUS) musisz sprawdzić w zasobniku wyskakujące powiadomienia o obecności nowych aktualizacji. Klienci powinni pojawić się w konsoli WSUS w odpowiednich grupach (w tabeli wyświetlana jest nazwa klienta, adres IP, system operacyjny, procent z nich „załatanych” oraz data ostatniej aktualizacji statusu). Ponieważ Przydzieliliśmy komputery i serwery do różnych grup WSUS według zasad; będą one otrzymywać wyłącznie aktualizacje zatwierdzone do instalacji w odpowiednich grupach WSUS.

Notatka. Jeśli aktualizacje nie pojawiają się na kliencie, zaleca się dokładne sprawdzenie dziennika usługi Windows Update na kliencie sprawiającym problemy (C:\Windows\WindowsUpdate.log). Należy pamiętać, że system Windows 10 (Windows Server 2016) korzysta z plików . Klient pobiera aktualizacje do folderu lokalnego C:\Windows\SoftwareDistribution\Download. Aby rozpocząć wyszukiwanie nowych aktualizacji na serwerze WSUS należy uruchomić komendę:

wuauclt/wykryj teraz

Czasami trzeba też na siłę ponownie zarejestrować klienta na serwerze WSUS:

wuauclt /detectnow /resetAuthorization

W szczególnie trudnych przypadkach możesz spróbować naprawić usługę wuauserv. W takiej sytuacji spróbuj zmienić częstotliwość sprawdzania dostępności aktualizacji na serwerze WSUS, korzystając z zasad częstotliwości wykrywania aktualizacji automatycznych.

W następnym artykule opiszemy funkcje. Zalecamy również przeczytanie artykułu pomiędzy grupami na serwerze WSUS.