Usewuserver: Registry keys for configuring Automatic Updates & WSUS · vFense/vFenseAgent-win Wiki · GitHub

Способ 2.

Скачать готовый reg-файл для полное отключение обновлений Windows 10 без отключения самого Центра обновлений. Способ рабочий и проверялся на ОС Windows 10 версии 20h3.

В архиве, будет один файл с расширением *.reg:

• Отключение обновлений Windows 10 без отключения Центра обновлений.reg

Запускаем файл и разрешаем внести изменения в системный реестр. 

После внесения изменений, проверяем через Центр обновлений Windows обновления и получаем ошибку 0х8024500с:

Недостаток данного способа в том, что вы не сможете обновлять стандартный Защитник Windows (Microsoft Defender) и приложения из магазина Microsoft Store.

При желании, вы можете самостоятельно создать reg-файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
«DoNotConnectToWindowsUpdateInternetLocations»=dword:00000001
«UpdateServiceUrlAlternate»=»server.wsus»
«WUServer»=»server.wsus»
«WUStatusServer»=»server.wsus»

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
«UseWUServer»=dword:00000001

Для отката изменений, необходимо удалить параметры из реестра:

• DoNotConnectToWindowsUpdateInternetLocations (1.)
  
• UpdateServiceUrlAlternate (2.)
  
• WUServer (3.)
  
• WUStatusServer (4.)
  

Для этого в реестре, идем по пути (5.):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

В разделе реестра (1.): 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

Удаляем параметр (2. ):

Примечание. Для удаления параметров в реестре, выделяем нужный параметр и щелкаем по нему левой кнопкой мыши. В появившемся окне, выбираем «Удалить»:

Заключение.

На разных сайтах и форумах, есть заметки, где приведены способы блокировки обновлений Windows 10 при помощи ручной правки правил локальной политики и реестра. К сожалению, в последних версиях ОС Windows 10, нет гарантированных методов блокировки обновлений и данные способы, не всегда срабатывают. Приведенные выше способы, были проверенны мной на работоспособность на момент написания заметки в ОС Windows 10 версии 20h3. При этом, использовал данные способы и на более ранних версиях ОС Windows. Главное, всегда использовать последнии версии утилит, скачивая их с официальных сайтов. Использование утилит, является самым простым способом решить поставленную задачу. Также, как вы могли заметить, утилита O&O ShutUp10 и WPD, позволяют блокировать телеметрию Microsoft. Однако, не советую использовать данные утилиты для борьбы с телеметрией, не понимая, что вы делаете. И всегда, делайте резервные копии системы, создавайте контрольные точки восстановления и резервные копии реестра.

Что касается двух способов с редактированием реестра, они пока работают. Первый способ, вообще, является более приемлемым, однако, не всегда срабатывает.

В заключении, хочу сказать еще раз, что лучше отключить автоматическую загрузку и установку обновлений, чем полностью блокировать Центр поиска обновлений Windows.

Будет хорошо, если вы, поделитесь своим опытом в комментариях. Ваша информация и опыт, может помочь другим пользователям.

ключей реестра для настройки автоматических обновлений и WSUS · vFense / vFenseAgent-win Wiki · GitHub

• HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate
• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
• HKEY_LOCAL_MACHINE \ SYSTEM \ Internet Communication Management \ Internet Communication
• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ WindowsUpdate
• HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU

HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate

Название записи	Тип данных	Значения
Отключить WindowsUpdateAccess	Reg_DWORD	1 = Отключает доступ к Центру обновления Windows.
		0 = Разрешает доступ к Центру обновления Windows
WUServer	Reg_SZ	HTTP (S) URL-адрес сервера WSUS, который используется автоматическими обновлениями и вызывающими API (по умолчанию). Эта политика связана с WUStatusServer, и для того, чтобы оба ключа были действительными, для обоих ключей должно быть установлено одно и то же значение.
WUStatusServer	Reg_SZ	URL-адрес HTTP (S) сервера, на который отправляется отчетная информация для клиентских компьютеров, использующих сервер WSUS, настроенный с помощью ключа WUServer.Эта политика связана с WUServer, и для того, чтобы оба ключа были действительными, для обоих ключей должно быть установлено одно и то же значение.

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer

Название записи	Тип данных	Значения
Нет WindowsUpdate	Reg_DWORD	1 = Включено. Пользователи не могут подключиться к веб-сайту Центра обновления Windows.
		0 = Отключено или не настроено. Пользователи могут подключиться к веб-сайту Центра обновления Windows.

HKEY_LOCAL_MACHINE \ SYSTEM \ Internet Communication Management \ Internet Communication

Название записи	Тип данных	Соответствующий параметр групповой политики	Значения
Отключить WindowsUpdateAccess	Reg_DWORD	Отключить доступ ко всем функциям Центра обновления Windows	1 = Включено.Все функции Центра обновления Windows удалены. Это включает в себя блокировку доступа к веб-сайту Центра обновления Windows по адресу http://windowsupdate. microsoft.com, по гиперссылке Центра обновления Windows в меню «Пуск», а также в меню «Инструменты» в Internet Explorer. Автоматическое обновление Windows также отключено; вы не будете ни уведомлены, ни получать критические обновления из Центра обновления Windows. Этот параметр также запрещает диспетчеру устройств автоматически устанавливать обновления драйверов с веб-сайта Центра обновления Windows.
			0 = Отключено или не настроено. Пользователи смогут получить доступ к веб-сайту Центра обновления Windows и включить автоматическое обновление для получения уведомлений и критических обновлений от Центра обновления Windows.

Ключ реестра

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ WindowsUpdate

Название записи	Тип данных	Значения
Отключить WindowsUpdateAccess	Reg_DWORD	1 = Включено. Все функции Центра обновления Windows удалены.
		0 = Отключено или не настроено. Доступны все функции Центра обновления Windows

HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU

Название записи	Тип данных	Значения
AUOptions	Reg_DWORD	2 = Уведомлять перед загрузкой.
		3 = Автоматически загружать и уведомлять об установке.
		4 = Автоматически загружать и устанавливать по расписанию. Допустимо, только если существуют значения для ScheduledInstallDay и ScheduledInstallTime.
		5 = Требуется автоматическое обновление, и пользователи могут его настроить.
NoAutoUpdate	Reg_DWORD	0 = Включить автоматическое обновление.
		1 = Отключить автоматическое обновление.
UseWUServer	Reg_DWORD	1 = Компьютер получает обновления с сервера WSUS.
		0 = Компьютер получает обновления из Центра обновления Майкрософт.
		Значение WUServer не соблюдается, если не задан этот ключ.

— Службы обновления Windows Server

Независимо от внешнего интерфейса, почти все конфигурации программного обеспечения в конечном итоге приводят к манипулированию реестром Windows для принятия окончательных настроек клиента. При этом вы можете редактировать реестр напрямую, чтобы настроить ваши потребности в конфигурации клиента WSUS. В ситуациях, когда групповая политика недоступна из-за отсутствия домена Active Directory и когда настройка локальной политики становится слишком утомительной из-за каждого «логического» посещения компьютера, несколько методов сценариев могут помочь вам развернуть необходимые разделы реестра.

Как уже упоминалось, и групповая политика, и локальная политика помещают свои параметры в куст реестра и ключи, показанные здесь:

■ HKEY_LOCAL_MACHINESOFTWAREPolkies \ Microsoji \ wmdows \ WmdowsUpdate

■ HKEY_LOCAL_MACHINESOFTWAREPolkiesXMkmsoft \ windows \ WindowsUpdate \ AU

Таблица 7.4 и Таблица 7.5 описываются все возможные комбинации ключей реестра, их возможные ключевые партнеры (при необходимости), тип данных ключа реестра и соответствующая групповая политика и локальная политика. Таблицы разделены, чтобы показать вам каждый ключ отдельно, первая показывает переменные среды клиента WSUS, а вторая показывает собственные параметры конфигурации клиента AU.

Таблица 7.4 Ключи реестра среды агента Центра обновления Windows

Имя ключа

Значения

Тип данных

Соответствие групповой политике

ElevateNonAdmins

TargetGroup

WUServer

1 = Неадминистраторам разрешено использовать

Reg_DWORD

TargetGroupEnabled утверждает или отклоняет обновления.

0 = Только пользователи в группе пользователей «Администраторы» могут утверждать или отклонять обновления.

Это имя Reg_String группы компьютеров, к которой вы хотите, чтобы ваш компьютер принадлежал (например, серверы Exchange). Эта политика связана с TargetGroupEnabled.

1 = Использовать таргетинг на стороне клиента.

0 = Не использовать таргетинг на стороне клиента. Эта политика связана с TargetGroup.

Протокол передачи гипертекста (HTTP) / Протокол передачи гипертекста (HTTPS) URL-адрес вашего сервера WSUS, используемого вашим клиентом AU.Эта политика используется в паре с

Разрешить пользователям без прав администратора получать уведомления об обновлениях.

Включить таргетинг на стороне клиента.

Включить таргетинг на стороне клиента.

Продолжение

Таблица 7.4 (продолжение) Ключи реестра среды агента обновления Windows

Имя ключа

Значения

Тип данных

Соответствие групповой политике

WUStatus

WUStatusServer; Reg_String оба должны иметь одно и то же значение, чтобы они были действительными.

HTTP / HTTPS URL-адрес Reg_String сервера, на который отчетная информация будет отправлена ​​

Клиент AU. Эта политика связана с WUServer;

оба должны иметь одно и то же значение, чтобы они были действительными.

Укажите расположение службы MU в интрасети.

Укажите расположение службы MU в интрасети.

Таблица 7.5 Ключи реестра конфигурации AU

Соответствие имени ключа группы Значения Политика типа данных

AUOptions Диапазон = 2 | 3 | 4 | 5 Reg_DWORD Настроить AU.

2 = Уведомлять перед загрузкой.

3 = Автоматически загружать и уведомлять об установке.

4 = Автоматически загружать и устанавливать по расписанию (действительно только при использовании с

ScheduledInstallDay и ScheduledInstal Time).

5 = Требуется AU, но локальные администраторы могут настроить его параметры.

Продолжение

Продолжение таблицы 7.5 Ключи реестра конфигурации AU

Имя ключа

Значения

Тип данных

Соответствие групповой политике

Autoinstaii Незначительные обновления

Частота обнаружения

Частота обнаружения включена

Нет автоматической перезагрузки с зарегистрированными пользователями

NoAutoUpdate

Перезагрузка Тайм-аут повторного запуска

0 = Обращайтесь с незначительными обновлениями как с другими обновлениями и используйте запланированное время.

1 = Тихая установка мелких, ненавязчивых обновлений.

Диапазон = 1-22 Reg_DWORD

Время между AU

циклов обнаружения клиентов с вашим

сервер WSUS. По умолчанию установлено 22.

1 = Включить определение частоты Reg_DWORD.

0 = Отключить настраиваемую частоту обнаружения, что означает использование значения по умолчанию.

Разрешить немедленную установку AU.

а.е.

а.е.

0 = включить AU

1 = Отключить AU

Диапазон = 1-1440 (минут)

Это время ожидания, прежде чем клиент AU повторно запросит перезапуск после того, как был выпущен запланированный перезапуск.

Reg_DWORD

Reg_DWORD Настроить AU.

Reg_DWORD

Повторный запрос на перезапуск с установкой по расписанию.

Продолжение

Продолжение таблицы 7.5 Ключи реестра конфигурации AU

Имя ключа

Значения

Тип данных

Соответствие групповой политике

Перезагрузка Время ожидания повторного запуска Включено

RebootWarning Timeout

RebootWarning Timeout Enabled

Перенести время ожидания

Диапазон = 0 | 1 1 = Включить тайм-аут перезагрузки.

0 = Отключить пользовательский Reg_DWORD RebootRelaunch

Тайм-аут и используйте значение по умолчанию 10 минут.

Диапазон = 1-30 Reg_DWORD

(минут)

Здесь настраивается количество минут, в течение которых компьютер должен ждать перед перезагрузкой после запланированной установки. По умолчанию 5 минут.

1 = Включить время предупреждения о перезагрузке.

0 = Отключить настраиваемое значение времени ожидания RebootWarning Timeout и использовать значение по умолчанию.

Диапазон = 1-60 (минут) Reg_DWORD

Это время, в течение которого ваш клиент AU должен ждать при запуске компьютера для установки ранее запланированных пропущенных обновлений.

Повторный запрос на перезапуск с установкой по расписанию.

Отсрочка перезапуска для запланированных установок.

Отсрочка перезапуска для запланированных установок.

Перенести AU

плановых установок.

Продолжение

Продолжение таблицы 7. 5 Ключи реестра конфигурации AU

Имя ключа

Значения

Тип данных

Соответствие групповой политике

Перенести время ожидания включено

Запланированный день установки

1 = Включить RescheduleWaitTime.

0 = Отключить RescheduleWaitTime (повторная установка будет предпринята в следующем запланированном интервале).

Диапазон = 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 0 = каждый день 1-7 = дни недели, начиная с воскресенья по субботу. Связан с AUOption и действителен, только если option равен 4.

ScheduledlnstallTime Range = 1-23

Представление часов дня в 24-часовом формате. Связан с AUOption и действителен, только если option равен 4.

Перенести запланированные установки AU.

Reg_DWORD Настроить AU.

Reg_DWORD Настроить AU.

UseWUServer

0 = Не использовать WUServer.

1 = Использовать WUServer в паре с WUServer. WUServer не будет использоваться, если для этого параметра установлено значение = 1

Reg_DWORD Настроить AU.

Независимый совет

Когда вы используете редактор реестра для внесения изменений WSUS, пользовательский интерфейс показывает эти параметры как «затененные» и неизменяемые, как и групповая политика, и локальная политика. Пользовательский интерфейс просто показывает внесенные изменения.Имейте в виду, что, поскольку вы не можете заблокировать их с помощью групповой политики, любой, у кого есть правильные разрешения, может использовать пользовательский интерфейс для изменения настроек.

Чтобы дать вам пример того, как выглядит реестр после настройки наиболее распространенных требований клиента AU, был экспортирован корень ключа WindowsUpdate.

Пример экспорта реестра клиента AU

Редактор реестра Windows версии 5.00

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ windows \ WindowsUpdate]

«WUServer» = «http: // WSUSServer»

«WUStatusServer» = «http: // WSUSServer»

«ElevateNonAdmins» = dword: 000 0000 0

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ windows \ WindowsUpdate \ AU] «UseWUServer» = dword: 00000001

«NoAutoRebootWithLoggedOnUsers» = двойное слово: 00000001

«AutoInstallMinorUpdates» = dword: 00000001

«DetectionFrequencyEnabled» = двойное слово: 00000001

«DetectionFrequency» = двойное слово: 00000006

«RescheduleWaitTimeEnabled» = двойное слово: 00000001

«RescheduleWaitTime» = dword: 0000000f

«NoAutoUpdate» = dword: 000 0000 0

«AUOptions» = dword: 00000004

«ScheduledInstallDay» = dword: 00000006

«ScheduledInstallTime» = dword: 000 00003

Продолжить чтение здесь: Использование команды REG для быстрого отображения настроек клиента

Была ли эта статья полезной?

Центр обновления Windows в обход сервера в качестве источника загрузки

У меня есть компьютер с Windows Server 2008 R2 SP1, который изолирован в DMZ. Исторически проблем не возникало, но все работает до того, как сломается. Порт 8530 открыт на брандмауэре, и я могу telnet от клиента к серверу, что доказывает, что сайт готов и открыт.

Этот компьютер не подключен к домену, поэтому сервер WSUS установлен в реестре. Итак, в HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate у меня

  [HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate]
"WUServer" = "http: // kanwsus2k16: 8530"
"WUStatusServer" = "http: // kanwsus2k16: 8530"
"DoNotConnectToWindowsUpdateInternetLocations" = двойное слово: 00000001

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU]
"UseWUServer" = двойное слово: 00000001
  

Обновление windowsupdate.журнал подтверждает это. Я хотел бы попытаться включить только то, что требуется, чтобы попытаться уменьшить длину сообщения. Клиент обращается к серверу и видит, что у него есть X доступных обновлений. Однако загрузить их не удается. В журнале отображаются такие записи:

  2018-05-07 11: 05: 19: 960 668 47c Задание DnldMgr BITS {7835096F-E02C-4B66-AD0F-3D71EF17C73B} обнаружило временную ошибку, updateId = {3FD57624-1808-41C7-979D-8606CA1229B6 , ошибка = 0x80072EE2
... вывод усечен ....
2018-05-07 11: 05: 40: 963 668 47c Разное ПРЕДУПРЕЖДЕНИЕ. Ошибка SendRequest с hr = 80072ee2. Используемый список прокси: <(null)> Используемый список обхода: <(null)> Используемые схемы аутентификации: <>
2018-05-07 11: 05: 40: 963 668 47c Разное ПРЕДУПРЕЖДЕНИЕ: Ошибка WinHttp: SendRequestUsingProxy для . ошибка 0x80072ee2
  

Что касается ошибки SendRequestUsingProxy, она должна завершиться ошибкой.У сервера нет доступа к веб-сайтам Microsoft, поэтому он не сможет туда попасть. Я не могу понять, почему он не получает обновления напрямую с сервера WSUS. Мы не используем прокси и не настроены.

На стороне сервера WSUS я вижу, что он получает статус сбоя загрузки для каждого из обновлений. Короче говоря, связь есть, но клиент пытается загрузить обновления извне. Это сервер 2k16, и чтение журналов с помощью Get-WindwosUpdateLog не оказалось полезным.

Это единственный внешний сервер, который у меня есть в сети, поэтому у меня нет систем сравнения, чтобы точно знать, где находится система.

Пытаясь проверить возможность подключения к серверу, я пытаюсь перейти к http: // kanwsus2k16: 8530 / selfupdate / wuident.cab, где страница не может отображаться на клиентском сервере. (Эта ссылка отлично работает во внутренней сети)

Почему мой клиент Центра обновления Windows не соблюдает путь WSUS для обновлений и вместо этого пытается обратиться за помощью к Microsoft?

Я пробовал и другие вещи:

• Средство проверки готовности системы к обновлению для Windows Server 2008 R2 x64 Edition
• Очистка очереди BITS
• Переименование программного обеспечения Папка распространения
• Проверено, что ничего не блокируется со стороны сети, идущей на сервер WSUS на порт 8530
• Добавлено DoNotConnectToWindowsUpdateInternetLocations равно 1 из HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate

Включение / выключение настройки реестра WSUS для клиентской Windows — KimConnect.com

 # setWsusOnOff.ps1 
 function setWsus {
 param (
 [switch] $ on, 
 [switch] $ off 
) 
 
 function wuRegistryIsOn {
 # Проверить, настроены ли на этой машине настройки WSUS 
 $ wuPath = "Registry :: HKLM \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU "; 
 $ wuKey = "UseWUServer"; 
 $ wuIsOn = (Get-ItemProperty -path $ wuPath -name $ wuKey -ErrorAction SilentlyContinue). $ WuKey; 
 if ($ wuIsOn) {return $ True} else {return $ False} 
} 
 
 function setWuRegistryOff {
 write-host "Теперь меняем настройки WSUS на OFF"; 
 $ wuPath = "Реестр :: HKLM \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU"; 
 $ wuKey = "UseWUServer"; 
 setRegKey -path $ wuPath -name $ wuKey -value 0; 
 перезапуск службы wuauserv; 
} 
 
 function setWuRegistryOn {
 write-host «Теперь меняем настройки WSUS на ON»; 
 $ wuPath = "Реестр :: HKLM \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU"; 
 $ wuKey = "UseWUServer"; 
 setRegKey -path $ wuPath -name $ wuKey -value 1; 
 перезапуск службы wuauserv; 
} 
 
 # Этим фрагментом пользуется "Emin" https: // p0w3rsh4ll.wordpress.com/2013/01/09/get-windows-update-client-configuration 
 Функция Get-WUSettings {
 [cmdletbinding ()] 
 Param (
 [переключатель] $ viaRegistry = $ false 
) 
 Begin {
 # Получить операционную систему 
 $ OSVersion = [environment] :: OSVersion.Version 
 
 # Инициализировать объект 
 $ WshShell = New-Object -ComObject Wscript.Shell 
 
 $ polkey = 'HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU '
 $ stdkey =' HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WindowsUpdate \ Auto Update '
} 
 Process {
 if ($ viaRegistry) {
 try {
 $ AUEnabled = $ WshShell.RegRead ("$ polkey \ NoAutoUpdate") 
} catch {
 # если это значение отсутствует, это означает, что он включен. 
 $ AUEnabled = 0 
} Переключатель 
 ($ AUEnabled) {
 1 {$ AUEnabled = $ false} 
 0 {$ AUEnabled = $ true} 
} 
 попробуйте {
 $ AUOptions = $ WshShell.RegRead ("$ polkey \ AUOptions") 
} catch {
 попробуйте {
 $ AUOptions = $ WshShell.RegRead ("$ stdkey \ AUOptions") 
} catch {
 $ AUOptions = 0 
} 
} 
 Switch ($ AUOptions) {
 0 {$ AUNotificationLevel = 'Not Configured'} 
 1 {$ AUNotificationLevel = 'Никогда не проверяйте обновления '} 
 2 {$ AUNotificationLevel =' Уведомлять перед загрузкой '} 
 3 {$ AUNotificationLevel =' Уведомлять перед установкой '} 
 4 {$ AUNotificationLevel =' Установить обновления автоматически '} 
} 
 попробуйте {
 $ IncludeRecommendedUpdates = $ WshShell .RegRead ("$ polkey \ IncludeRecommendedUpdates") 
} catch {
 # если значение отсутствует, мы получаем его из 
 $ IncludeRecommendedUpdates = $ WshShell.RegRead ("$ stdkey \ IncludeRecommendedUpdates") 
} 
 Switch ($ IncludeRedates) {
 Switch ($ IncludeRedates) 0 {$ GetRecommendedUpdates = $ false} 
 1 {$ GetRecommendedUpdates = $ true} 
} 
 попробуйте {
 $ UseWUServerVal = $ WshShell.RegRead ("$ polkey \ UseWUServer") 
} catch {
 # если значение не существует, это означает, что мы не используем сервер WSUS 
 $ UseWUServerVal = 0 
} 
 Switch ($ UseWUServerVal) {
 1 {$ UseWUServer = $ true} 
 0 {$ UseWUServer = $ false} 
} 
 # Создать объект по умолчанию с подмножеством свойств 
 $ obj = New-Object -TypeName psobject -Property @ {
 'Is Automatic Update Enabled' = $ AUEnabled 
 'Использовать сервер WSUS' = $ UseWUServer 
 'Уведомление об автоматическом обновлении' = $ AUNotificationLevel; 
 'Получать рекомендуемые обновления' = $ GetRecommendedUpdates; 
} 
 if ($ OSVersion -lt [версия] '6.2 ') {
 попробуйте {
 $ ScheduledInstallDay = $ WshShell.RegRead ("$ polkey \ ScheduledInstallDay") 
 $ ScheduledInstallTime = $ WshShell.RegRead ("$ polkey \ ScheduledInstallTime") 
} поймайте {
 попробуйте {
 $ Scheduled $ WshShell.RegRead ("$ stdkey \ ScheduledInstallDay") 
 $ ScheduledInstallTime = $ WshShell.RegRead ("$ stdkey \ ScheduledInstallTime") 
} catch {
 # Absent = Every Day @ 3 AM, но я предпочитаю оставлять поле пустым в возвращенный объект 
} 
} 
 Switch ($ ScheduledInstallDay) {
 0 {$ InstallDay = 'Every Day'} 
 1 {$ InstallDay = 'Every Sunday'} 
 2 {$ InstallDay = 'Every Monday'} 
 3 {$ InstallDay = 'Каждый вторник'} 
 4 {$ InstallDay = 'Каждую среду'} 
 5 {$ InstallDay = 'Каждый четверг'} 
 6 {$ Inst allDay = 'Каждую пятницу'} 
 7 {$ InstallDay = 'Каждую субботу'} 
} 
 if ($ ScheduledInstallTime) {
 $ InstallTime = New-TimeSpan -Hours $ ScheduledInstallTime 
} 
 $ obj | Add-Member -MemberType NoteProperty -Name 'Install Frequency' -Value $ InstallDay 
 $ obj | Add-Member -MemberType NoteProperty -Name 'Install Time' -Value $ InstallTime 
} else {
 # Эти свойства больше не существуют в Windows 8 
} 
 # Добавить дополнительные свойства 
 if ($ UseWUServer) {
 try {
 $ WUServer = $ WshShell.RegRead ('HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ WUServer') 
 $ WUStatusServer = $ WshShell.RegRead ('HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ WUStatusServer' 
 # we catch ') 
 # тихо сбой 
} 
 $ obj | Add-Member -MemberType NoteProperty -Name 'WSUS Server' -Value $ WUServer 
 $ obj | Add-Member -MemberType NoteProperty -Name 'WSUS Status URL' -Value $ WUStatusServer 
} 
 попробуйте {
 $ OptinGUID = $ WshShell.RegRead ('HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WindowsUpdate \ Services \ DefaultService') 
} catch {
 # Отказ без предупреждения 
} 
 if ($ OptinGUID -eq '7971f918-a847-4430-9279-4a52d1efe18d' 
 $ obj | Add-Member -MemberType NoteProperty -Name «Включено в Центр обновления Майкрософт» -Value $ true 
} else {
 $ obj | Add-Member -MemberType NoteProperty -Name "Opted-in Microsoft Update" -Value $ false 
} 
 # Вернуть наш объект 
 $ obj 
 
} else {
 # Мы используем Com Object 
 $ COMWUSettings = (New-Object -ComObject Microsoft.Update.AutoUpdate) .Settings 
 # Настройки могут контролироваться GPO 
 if ($ COMWUSettings.ReadOnly) {
 # Использовать реестр 
 Get-WUSettings -viaRegistry: $ true 
 break 
} else {
 $ UseWUServer = $ false 
 } 
 Switch ($ COMWUSettings.NotificationLevel) {
 0 {$ AUNotificationLevel = 'Not Configured'} 
 1 {$ AUNotificationLevel = 'Никогда не проверять наличие обновлений'} 
 2 {$ AUNotificationLevel = 'Уведомлять перед загрузкой'} 
 3 {$ AUNotificationLevel = 'Уведомлять перед установкой'} 
 4 {$ AUNotificationLevel = 'Устанавливать обновления автоматически'} 
} 
 $ isAUenabled = (New-Object -ComObject Microsoft.Update.AutoUpdate) .serviceEnabled 
 $ obj = New-Object -TypeName psobject -Property @ {
 'IsAuto Update Enabled' = $ isAUenabled 
 'Automatic Updates Notification' = $ AUNotificationLevel; 
 'Использовать сервер WSUS' = $ UseWUServer 
 'Получать рекомендуемые обновления' = $ COMWUSettings.IncludeRecommendedUpdates; 
} 
 if ($ OSVersion -lt [версия] '6.2') {
 Switch ($ COMWUSettings.ScheduledInstallationDay) {
 0 {$ InstallDay = 'Every Day'} 
 1 {$ InstallDay = 'Every Sunday'} 
 2 {$ InstallDay = 'Every Monday'} 
 3 {$ InstallDay = 'Every Вторник'} 
 4 { $ InstallDay = 'Каждую среду'} 
 5 {$ InstallDay = 'Каждый четверг'} 
 6 {$ InstallDay = 'Каждую пятницу'} 
 7 {$ InstallDay = 'Каждую субботу'} 
} 
 if ($ COMWUSettings.ScheduledInstallationTime ) {
 $ InstallTime = New-TimeSpan -Hours $ COMWUSettings.ScheduledInstallationTime 
} 
 $ obj | Add-Member -MemberType NoteProperty -Name 'Install Frequency' -Value $ InstallDay 
 $ obj | Add-Member -MemberType NoteProperty -Name 'Install Time' -Value $ InstallTime 
 
} else {
 # недоступно в W8 
} 
 (New-Object -ComObject Microsoft.Update.ServiceManager) .services | ForEach-Object {
 if ($ _. IsDefaultAUService) {
 $ OptinGUID = $ _.ServiceID 
} 
} 
 if ($ OptinGUID -eq '7971f918-a847-4430-9279-4a52d1efe18d') {
 $ obj | Add-Member -MemberType NoteProperty -Name «Включено в Центр обновления Майкрософт» -Value $ true 
} else {
 $ obj | Add-Member -MemberType NoteProperty -Name «Включено в Microsoft Update» -Value $ false 
} 
 # return 
 $ obj 
} 
} 
 End {} 
} 
 $ wsusSettings = Get-WUSettings; 
 $ useWsusServer = $ wsusSettings.«Использовать сервер WSUS»; 
 $ wuRegistryIsOn = wuRegistryIsOn; 
 
 if ($ useWsusServer) {
 if ($ on) {
 if ($ wuRegistryIsOn) {
 write-host "Настройки WSUS уже включены."; 
} else {
 setWuRegistryOn; 
 write-host "Настройки WSUS теперь включены."; 
} 
} else {
 if ($ wuRegistryIsOn) {
 setWuRegistryOff 
 write-host "Настройки WSUS теперь отключены."; 
} else {
 write-host "Настройки WSUS уже отключены."; 
} 
} 
} else {
 write-host" Этот компьютер не был настроен для использования сервера WSUS. "; 
} 
 return Get-WUSettings; 
} 
 

Пример вывода:

 PS C: \ Windows \ system32> setwsus -on 
 Этот компьютер не настроен на использование сервера WSUS. 
 Получать рекомендуемые обновления: True 
 Включено автоматическое обновление: True 
 Уведомление об автоматических обновлениях: устанавливать обновления автоматически 
 Использовать сервер WSUS: неверно 
 Включено обновление Microsoft: неверно 
 

Помощь в управлении обновлениями Windows исключительно с помощью ConfigMgr (полное отключение WU): SCCM

Я вижу, что клиенты в моей среде по-прежнему могут проверять и устанавливать обновления из Центра обновления Windows, и мне нужно подтвердить, какие настройки разрешают это.Мы хотим полностью управлять обновлениями с помощью ConfigMgr. Пользователи не должны иметь возможность устанавливать обновления, нажимая «Проверить наличие обновлений». Я только что заметил сегодня утром, что смог сделать это на моей собственной рабочей станции, а теперь он предлагает мне обновление функций 1909, которое мы определенно не хотим, чтобы это происходило таким образом.

Эти настройки были введены до того, как я вошел в свою роль администратора ConfigMgr, поэтому я пытаюсь понять, что у нас есть в настоящее время и что, если что-то мне следует изменить.

Набор групповых политик:

• Административные шаблоны \ Компоненты Windows \ Центр обновления Windows \ Настроить автоматические обновления: отключено

• Дополнительные параметры реестра: Software \ Policies \ Microsoft \ Windows \ WindowsUpdate \ DeferUpgrade — установить 1

• Административные шаблоны \ Система \ Укажите настройки для установки дополнительных компонентов и восстановления компонентов

  • Альтернативный путь к исходному файлу — не настроен

  • Никогда не пытайтесь загрузить полезную нагрузку из Центра обновления Windows — отключено

  • Загрузить содержимое для восстановления и дополнительные функции непосредственно из Центра обновления Windows вместо WSUS — включен

Набор элементов реестра:

Элемент конфигурации в ConfigMgr:

В отношении этой политики:

  Загрузите содержимое для восстановления и дополнительные функции непосредственно из Центра обновления Windows вместо WSUS
  

Я считаю, что это позволяет устанавливать функции по запросу, такие как RSAT, без использования исходного носителя.Плохая идея использовать это, если мы хотим полностью запретить WU устанавливать обновления для клиентов? Не уверен, что это повлияет. Я считаю, что это не так, но просто хочу подтвердить.

Я с подозрением отношусь к настройке «DeferUpgrade» и задаюсь вопросом, нужен ли он нам вообще. Идея WUfB сбивает меня с толку. Я не думаю, что мы этим пользуемся? Но я думаю, что запутался, читая об этом!

Я был бы очень признателен за любые советы по текущим настройкам или дополнительным настройкам для достижения желаемого результата.Спасибо, ребята!

Страница Windows — Центр обновления Windows — Интранет-сервер для обновления (WSUS) festlegen

Donnerstag, 03.06.2021 (CEST) um 15:52 Uhr

Herzlich Willkommen bei Windowspage. Все Windows.

Советы — Центр обновления Windows — Интранет-сервер для обновления (WSUS) festlegen

Windowspage — Weitere interessante Tipps und Einstellungen

Windowspage — Eingeschränkter Funktionsumfang

RSAT на 1809 и выше, другие функции по запросу AKA Дополнительные функции

Поскольку Microsoft изменяет Windows 10 для использования дополнительных функций по запросу (FOD), будет гораздо больше внимания, чтобы эти обновления поступали непосредственно от Microsoft.В настоящее время (2019.02) обновления функций по запросу не передаются непосредственно в WSUS с 1809. Я не совсем уверен, почему, потому что есть группы продуктов Windows 10 FOD (Windows 10 Feature on Demand, Windows 10 GDR-DU-FOD) , но при просмотре обновлений, которые синхронизируются в этих группах продуктов, я вижу только обновления для 1709 и ниже и несколько неоднозначных обновлений без каких-либо комментариев к версии, и все ссылки на статьи базы знаний 404 не найдены. Это создает проблему для ИТ-администраторов, использующих инструменты RSAT, поскольку с 1809 года эти инструменты теперь являются FOD (которые предположительно остаются установленными при каждом обновлении функции).

также являются частью этих функций по запросу, поэтому, если вы пытаетесь разрешить пользователям устанавливать языковые пакеты или инструменты для написания, теперь они должны быть установлены как FOD, чтобы они оставались установленными при каждом будущем обновлении.

Пока мы ждем от Microsoft более четкого представления о том, как использовать эти новые FOD в сочетании с WSUS, вы можете кое-что сделать, чтобы помочь устранить сдерживающие факторы. Вы можете временно отключить Центр обновления Windows от использования WSUS, установить инструменты RSAT или любые FOD, а затем снова включить Центр обновления Windows для использования WSUS.Пример набора кода PowerShell для установки всех инструментов RSAT (запускается из административной командной строки PowerShell):

  $ UseWUServer = Get-ItemProperty -Path "HKLM: \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU" -Name "UseWUServer" | Выбрать объект -ExpandProperty UseWUServer
Set-ItemProperty -Path "HKLM: \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU" -Name "UseWUServer" -Value 0
Рестарт-Сервис "Центр обновления Windows"
Get-WindowsCapability -Name "RSAT *" -Online | Add-WindowsCapability –Online
Set-ItemProperty -Path "HKLM: \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU" -Name "UseWUServer" -Value $ UseWUServer
Рестарт-Сервис "Центр обновления Windows"  

Вы можете адаптировать этот фрагмент PowerShell для установки чего угодно, в то время как WSUS на мгновение удаляется и сразу после этого применяется повторно.

Метод GPO

Однако есть альтернативное решение, которое проще, лучше, выполняет то же самое (да, все еще идет в Microsoft для FOD), а именно — настроить групповую политику для прямого перехода в Центр обновления Windows для дополнительных функций.

Конфигурация компьютера> Политики> Административные шаблоны> Система> Укажите настройки для установки дополнительных компонентов и восстановления компонентов

Установите значение Включено

Альтернативный путь к исходному файлу:
Никогда не пытайтесь загрузить полезные данные из Центра обновления Windows: Отключено
Загрузите материалы для восстановления и дополнительные функции непосредственно из Центра обновления Windows вместо служб Windows Server Update Services (WSUS): Включено

Тогда вам не о чем беспокоиться, и дополнительные компоненты будут установлены без проблем.