ProHoster > Blog > podávání > Kompletní průvodce upgradem Windows 10 pro firmy všech velikostí

Kompletní průvodce upgradem Windows 10 pro firmy všech velikostí

Ať už máte na starosti jeden počítač se systémem Windows 10 nebo tisíce, problémy se správou aktualizací jsou stejné. Vaším cílem je rychle nainstalovat aktualizace zabezpečení, pracovat chytřeji s aktualizacemi funkcí a zabránit ztrátám produktivity v důsledku neočekávaných restartů.

Má vaše firma komplexní plán pro zpracování aktualizací Windows 10? Je lákavé považovat tato stahování za periodické nepříjemnosti, které je třeba řešit, jakmile se objeví. Reaktivní přístup k aktualizacím je však receptem na frustraci a sníženou produktivitu.

Místo toho můžete vytvořit strategii správy pro testování a implementaci aktualizací, aby se tento proces stal stejně rutinním jako odesílání faktur nebo dokončování měsíčních účetních zůstatků.

Tento článek poskytuje všechny informace, které potřebujete, abyste pochopili, jak Microsoft dodává aktualizace do zařízení se systémem Windows 10, a také podrobnosti o nástrojích a technikách, které můžete použít k chytré správě těchto aktualizací na zařízeních se systémem Windows 10 Pro, Enterprise nebo Education. (Windows 10 Home podporuje pouze velmi základní správu aktualizací a není vhodný pro použití v obchodním prostředí.)

Než se však pustíte do některého z těchto nástrojů, budete potřebovat plán.

Co říkají vaše zásady aktualizací?

Smyslem pravidel upgradu je učinit proces upgradu předvídatelným, definovat postupy, které upozorní uživatele, aby si mohli podle toho naplánovat svou práci a vyhnout se neočekávaným prostojům. Pravidla také zahrnují protokoly pro řešení neočekávaných problémů, včetně vrácení neúspěšných aktualizací.

Rozumná pravidla aktualizací vyčleňují každý měsíc určitý čas na práci s aktualizacemi. V malé organizaci může k tomuto účelu sloužit speciální okno v plánu údržby pro každý počítač. Je nepravděpodobné, že by ve velkých organizacích fungovala univerzální řešení pro všechny, a proto budou muset rozdělit celou populaci počítačů do skupin aktualizací (Microsoft je nazývá „rings“), z nichž každá bude mít svou vlastní strategii aktualizací.

Pravidla by měla popisovat několik různých typů aktualizací. Nejsrozumitelnějším typem jsou měsíční kumulativní aktualizace zabezpečení a spolehlivosti, které jsou vydávány každé druhé úterý v měsíci („Patch Tuesday“). Toto vydání obvykle obsahuje nástroj Windows Malicious Software Removal Tool, ale může také obsahovat některý z následujících typů aktualizací:

  • Aktualizace zabezpečení pro rozhraní .NET Framework
  • Aktualizace zabezpečení pro Adobe Flash Player
  • Servisní aktualizace zásobníku (které je třeba nainstalovat od začátku).

Instalaci kterékoli z těchto aktualizací můžete odložit až o 30 dní.

V závislosti na výrobci počítače mohou být ovladače hardwaru a firmware distribuovány také prostřednictvím kanálu Windows Update. Můžete to odmítnout nebo je spravovat podle stejných schémat jako jiné aktualizace.

Aktualizace funkcí jsou také distribuovány prostřednictvím služby Windows Update. Tyto hlavní balíčky aktualizují Windows 10 na nejnovější verzi a jsou vydávány každých šest měsíců pro všechny edice Windows 10 kromě Long Term Servicing Channel (LTSC). Instalaci aktualizací funkcí můžete odložit pomocí služby Windows Update pro firmy až o 365 dní; U edic Enterprise a Education může být instalace dále odložena až o 30 měsíců.

Vezmeme-li toto vše v úvahu, můžete začít sestavovat pravidla aktualizace, která by měla obsahovat následující prvky pro každý z obsluhovaných počítačů:

  • Instalační období pro měsíční aktualizace. Ve výchozím nastavení Windows 10 stahuje a instaluje měsíční aktualizace do 24 hodin od jejich vydání v Patch Tuesday. Můžete odložit stahování těchto aktualizací pro některé nebo všechny počítače vaší společnosti, abyste měli čas zkontrolovat kompatibilitu; toto zpoždění vám také umožňuje vyhnout se problémům v případě, že Microsoft po vydání objeví problém s aktualizací, jak se to stalo mnohokrát u Windows 10.
  • Instalační období pro pololetní aktualizace komponent. Ve výchozím nastavení se aktualizace funkcí stahují a instalují, když se společnost Microsoft domnívá, že jsou připraveny. Na zařízení, které společnost Microsoft uznala za způsobilé pro aktualizaci, může doručení aktualizací funkcí trvat několik dní po vydání. Na jiných zařízeních může trvat několik měsíců, než se aktualizace funkcí objeví, nebo mohou být zcela zablokovány kvůli problémům s kompatibilitou. Můžete nastavit zpoždění pro některé nebo všechny počítače ve vaší organizaci, abyste měli čas na přezkoumání nového vydání. Počínaje verzí 1903 budou uživatelům PC nabídnuty aktualizace komponent, ale pouze uživatelé sami budou dávat příkazy k jejich stažení a instalaci.
  • Kdy povolit restart počítače pro dokončení instalace aktualizací: Většina aktualizací vyžaduje k dokončení instalace restart. K tomuto restartu dojde mimo „období aktivity“ od 8:17 do 18:XNUMX; Toto nastavení lze libovolně změnit a prodloužit dobu trvání intervalu až na XNUMX hodin. Nástroje pro správu umožňují naplánovat konkrétní časy pro stahování a instalaci aktualizací.
  • Jak upozorňovat uživatele na aktualizace a restarty: Aby se předešlo nepříjemným překvapením, systém Windows 10 uživatele upozorní, když jsou dostupné aktualizace. Ovládání těchto oznámení v nastavení Windows 10 je omezené. Mnohem více nastavení je k dispozici ve „zásadách skupiny“.
  • Někdy Microsoft vydává důležité bezpečnostní aktualizace mimo svůj běžný plán Patch Tuesday. To je obvykle nutné k opravě bezpečnostních chyb, které jsou se zlými úmysly zneužity třetími stranami. Mám urychlit aplikaci takových aktualizací nebo počkat na další okno v plánu?
  • Řešení neúspěšných aktualizací: Pokud se aktualizace nepodaří správně nainstalovat nebo způsobuje problémy, co s tím uděláte?

Jakmile tyto prvky identifikujete, je čas vybrat si nástroje pro zpracování aktualizací.

Manuální správa aktualizací

Ve velmi malých podnicích, včetně obchodů s pouze jedním zaměstnancem, je docela snadné ručně nakonfigurovat aktualizace systému Windows. Nastavení > Aktualizace a zabezpečení > Windows Update. Zde můžete upravit dvě skupiny nastavení.

Nejprve zvolte „Změnit období aktivity“ a upravte nastavení tak, aby vyhovovalo vašim pracovním návykům. Pokud obvykle pracujete ve večerních hodinách, můžete se vyhnout prostojům konfigurací těchto hodnot od 18:XNUMX do půlnoci, což způsobí plánované restartování ráno.

Poté vyberte „Pokročilé možnosti“ a nastavení „Vyberte, kdy se mají instalovat aktualizace“ a nastavte je v souladu s vašimi pravidly:

  • Vyberte, o kolik dní se má odložit instalace aktualizací funkcí. Maximální hodnota je 365.
  • Vyberte, o kolik dní se má odložit instalace kvalitních aktualizací, včetně kumulativních aktualizací zabezpečení vydaných v úterý s opravami. Maximální hodnota je 30 dní.

Další nastavení na této stránce řídí, zda se budou zobrazovat oznámení o restartu (ve výchozím nastavení povoleno) a zda lze aktualizace stahovat na připojení s ohledem na provoz (ve výchozím nastavení zakázáno).

Před Windows 10 verze 1903 existovalo také nastavení pro výběr kanálu - pololetní, nebo cílový pololetní. Ve verzi 1903 byl odstraněn a ve starších verzích to prostě nefunguje.

Samozřejmě, že smyslem zdržování aktualizací není jednoduše se vyhnout procesu a pak překvapit uživatele o něco později. Pokud naplánujete odložení aktualizací kvality například o 15 dní, měli byste tento čas využít ke kontrole kompatibility aktualizací a naplánovat okno údržby na vhodnou dobu před koncem tohoto období.

Správa aktualizací prostřednictvím zásad skupiny

Všechna zmíněná ruční nastavení lze také aplikovat prostřednictvím skupinových zásad a v úplném seznamu zásad souvisejících s aktualizacemi Windows 10 je mnohem více nastavení, než jaké jsou k dispozici v běžných manuálních nastaveních.

Lze je aplikovat na jednotlivé počítače pomocí editoru místních zásad skupiny Gpedit.msc nebo pomocí skriptů. Nejčastěji se však používají v doméně Windows s Active Directory, kde lze na skupinách počítačů spravovat kombinace politik.

Značný počet zásad se používá výhradně ve Windows 10. Ty nejdůležitější se týkají „Aktualizací systému Windows pro firmy“, které se nacházejí v části Konfigurace počítače > Šablony pro správu > Komponenty systému Windows > Windows Update > Windows Update pro firmy.

  • Vyberte, kdy chcete dostávat náhledové sestavení – kanál a zpoždění aktualizací funkcí.
  • Zvolte, kdy chcete dostávat kvalitní aktualizace – odložte měsíční kumulativní aktualizace a další aktualizace související se zabezpečením.
  • Správa náhledových sestavení: když uživatel může zaregistrovat počítač do programu Windows Insider a definovat kruh Insider.

Další skupina zásad se nachází v části Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Windows Update, kde můžete:

  • Odeberte přístup k funkci pozastavení aktualizací, která zabrání uživatelům v zasahování do instalací tím, že je odloží o 35 dní.
  • Odebrat přístup ke všem nastavením aktualizace.
  • Povolit automatické stahování aktualizací u připojení na základě provozu.
  • Nestahujte společně s aktualizacemi ovladačů.

Následující nastavení jsou pouze v systému Windows 10 a týkají se restartování a oznámení:

  • Zakázat automatický restart pro aktualizace během aktivního období.
  • Zadejte rozsah aktivního období pro automatický restart.
  • Zadejte lhůtu pro automatický restart pro instalaci aktualizací (od 2 do 14 dnů).
  • Nastavte si upozornění, která vám připomenou automatický restart: prodlužte dobu, po kterou je na to uživatel upozorněn (z 15 na 240 minut).
  • Chcete-li nainstalovat aktualizace, zakažte upozornění na automatické restartování.
  • Nakonfigurujte upozornění na automatický restart tak, aby po 25 sekundách automaticky nezmizelo.
  • Nepovolit zásadám zpoždění aktualizací spouštět prověřování Windows Update: Tato zásada brání počítači ve vyhledávání aktualizací, pokud je přiřazeno zpoždění.
  • Umožněte uživatelům spravovat časy restartování a odkládat oznámení.
  • Nakonfigurujte upozornění na aktualizace (vzhled upozornění, od 4 do 24 hodin) a upozornění na blížící se restart (od 15 do 60 minut).
  • Aktualizujte zásady napájení pro restartování koše (nastavení pro vzdělávací systémy, které umožňuje aktualizace i při napájení z baterie).
  • Zobrazit nastavení upozornění na aktualizace: Umožňuje zakázat upozornění na aktualizace.

V systému Windows 10 a některých starších verzích systému Windows existují následující zásady:

  • Nastavení automatických aktualizací: Tato skupina nastavení vám umožňuje vybrat týdenní, dvoutýdenní nebo měsíční plán aktualizací, včetně dne v týdnu a času automatického stahování a instalace aktualizací.
  • Zadejte umístění služby Microsoft Update na intranetu: Nakonfigurujte server Windows Server Update Services (WSUS) v doméně.
  • Povolit připojení klienta k cílové skupině: Správci mohou pomocí skupin zabezpečení služby Active Directory definovat kruhy nasazení služby WSUS.
  • Nepřipojujte se k umístěním Windows Update na internetu: Zabraňte počítačům s místním aktualizačním serverem kontaktovat externí aktualizační servery.
  • Umožněte správě napájení Windows Update probudit systém za účelem instalace naplánovaných aktualizací.
  • Vždy automaticky restartujte systém v naplánovanou dobu.
  • Nerestartujte automaticky, pokud v systému běží uživatelé.

Nástroje pro práci ve velkých organizacích (Enterprise)

Velké organizace se síťovou infrastrukturou Windows mohou obejít aktualizační servery společnosti Microsoft a nasadit aktualizace z místního serveru. To vyžaduje zvýšenou pozornost firemního IT oddělení, ale dodává společnosti flexibilitu. Dvě nejoblíbenější možnosti jsou Windows Server Update Services (WSUS) a System Center Configuration Manager (SCCM).

Server WSUS je jednodušší. Běží v roli Windows Server a poskytuje centralizované úložiště aktualizací Windows v rámci organizace. Pomocí skupinových zásad správce přesměruje počítač se systémem Windows 10 na server WSUS, který slouží jako jediný zdroj souborů pro celou organizaci. Z jeho administrátorské konzole můžete schvalovat aktualizace a zvolit, kdy je nainstalovat na jednotlivé počítače nebo skupiny počítačů. Počítače lze ručně přiřadit k různým skupinám nebo lze k nasazení aktualizací na základě existujících skupin zabezpečení služby Active Directory použít cílení na straně klienta.

Vzhledem k tomu, že kumulativní aktualizace Windows 10 s každým novým vydáním stále více rostou, mohou zabírat významnou část vaší šířky pásma. Servery WSUS šetří provoz pomocí souborů expresní instalace – to vyžaduje více volného místa na serveru, ale výrazně snižuje velikost aktualizačních souborů odesílaných do klientských počítačů.

Na serverech se službou WSUS 4.0 a novější můžete také spravovat aktualizace funkcí systému Windows 10.

Druhá možnost, System Center Configuration Manager, používá Configuration Manager pro Windows s bohatými funkcemi ve spojení se službou WSUS k nasazení aktualizací kvality a aktualizací funkcí. Řídicí panel umožňuje správcům sítě monitorovat využití Windows 10 v celé jejich síti a vytvářet plány údržby založené na skupinách, které obsahují informace pro všechny počítače, které se blíží ke konci cyklu podpory.

Pokud má vaše organizace již nainstalovaný Configuration Manager pro práci se staršími verzemi Windows, přidání podpory pro Windows 10 je poměrně snadné.

Zdroj: www.habr.com

Přidat komentář