ProHoster > Blog > administration > Den komplette guide til opgradering af Windows 10 til virksomheder af enhver størrelse

Den komplette guide til opgradering af Windows 10 til virksomheder af enhver størrelse

Uanset om du er ansvarlig for en enkelt Windows 10-pc eller tusindvis, er udfordringerne ved at administrere opdateringer de samme. Dit mål er hurtigt at installere sikkerhedsopdateringer, arbejde smartere med funktionsopdateringer og forhindre produktivitetstab på grund af uventede genstarter.

Har din virksomhed en omfattende plan for håndtering af Windows 10-opdateringer? Det er fristende at tænke på disse downloads som periodiske gener, der skal håndteres, så snart de dukker op. En reaktiv tilgang til opdateringer er dog en opskrift på frustration og nedsat produktivitet.

I stedet kan du lave en ledelsesstrategi for at teste og implementere opdateringer, så processen bliver lige så rutinepræget som at sende fakturaer eller udfylde månedlige regnskabssaldi.

Denne artikel indeholder alle de oplysninger, du behøver for at forstå, hvordan Microsoft skubber opdateringer til enheder, der kører Windows 10, samt detaljer om de værktøjer og teknikker, du kan bruge til smart at administrere disse opdateringer på enheder, der kører Windows 10 Pro, Enterprise eller Education. (Windows 10 Home understøtter kun meget grundlæggende opdateringsstyring og er ikke egnet til brug i et virksomhedsmiljø.)

Men før du hopper ind i nogen af ​​disse værktøjer, skal du have en plan.

Hvad siger din opdateringspolitik?

Pointen med opgraderingsregler er at gøre opgraderingsprocessen forudsigelig, definere procedurer til at advare brugerne, så de kan planlægge deres arbejde i overensstemmelse hermed og undgå uventet nedetid. Reglerne omfatter også protokoller til håndtering af uventede problemer, herunder tilbagerulning af mislykkede opdateringer.

Rimelige opdateringsregler tildeler en vis tid til at arbejde med opdateringer hver måned. I en lille organisation kan et særligt vindue i vedligeholdelsesplanen for hver pc tjene dette formål. I store organisationer er det usandsynligt, at løsninger, der passer til alle, virker, og de bliver nødt til at opdele hele pc-populationen i opdateringsgrupper (Microsoft kalder dem "ringe"), som hver vil have sin egen opdateringsstrategi.

Reglerne bør beskrive flere forskellige typer opdateringer. Den mest forståelige type er månedlige kumulative sikkerheds- og pålidelighedsopdateringer, som udgives den anden tirsdag i hver måned ("Patch Tuesday"). Denne udgivelse inkluderer normalt Windows-værktøjet til fjernelse af skadelig software, men kan også indeholde en af ​​følgende typer opdateringer:

  • Sikkerhedsopdateringer til .NET Framework
  • Sikkerhedsopdateringer til Adobe Flash Player
  • Betjening af stakopdateringer (som skal installeres fra starten).

Du kan forsinke installationen af ​​enhver af disse opdateringer i op til 30 dage.

Afhængigt af pc-producenten kan hardwaredrivere og firmware også distribueres via Windows Update-kanalen. Du kan nægte dette eller administrere dem i henhold til de samme skemaer som andre opdateringer.

Endelig distribueres funktionsopdateringer også gennem Windows Update. Disse store pakker opdaterer Windows 10 til den nyeste version og udgives hver sjette måned for alle udgaver af Windows 10 undtagen Long Term Servicing Channel (LTSC). Du kan udskyde installationen af ​​funktionsopdateringer ved at bruge Windows Update for Business i op til 365 dage; For Enterprise- og Education-udgaver kan installationen udskydes yderligere i op til 30 måneder.

Tager du alt dette i betragtning, kan du begynde at udarbejde opdateringsregler, som bør omfatte følgende elementer for hver af de servicerede pc'er:

  • Installationsperiode for månedlige opdateringer. Som standard downloader og installerer Windows 10 månedlige opdateringer inden for 24 timer efter deres udgivelse på Patch Tuesday. Du kan forsinke download af disse opdateringer til nogle af eller alle din virksomheds pc'er, så du har tid til at tjekke for kompatibilitet; denne forsinkelse giver dig også mulighed for at undgå problemer i tilfælde af, at Microsoft opdager et problem med opdateringen efter udgivelsen, som det er sket mange gange med Windows 10.
  • Installationsperiode for halvårlige komponentopdateringer. Som standard downloades og installeres funktionsopdateringer, når Microsoft mener, de er klar. På en enhed, som Microsoft har anset for at være berettiget til en opdatering, kan det tage et par dage, før funktionsopdateringer ankommer efter udgivelsen. På andre enheder kan det tage flere måneder, før funktionsopdateringer vises, eller de kan blive blokeret helt på grund af kompatibilitetsproblemer. Du kan indstille en forsinkelse for nogle eller alle pc'erne i din organisation for at give dig selv tid til at gennemgå en ny udgivelse. Fra version 1903 vil pc-brugere blive tilbudt komponentopdateringer, men kun brugerne selv vil give kommandoer til at downloade og installere dem.
  • Hvornår skal du tillade din pc at genstarte for at fuldføre installationen af ​​opdateringer: De fleste opdateringer kræver en genstart for at fuldføre installationen. Denne genstart sker uden for "aktivitetsperioden" kl. 8 til 17; Denne indstilling kan ændres som ønsket, hvilket forlænger intervallets varighed op til 18 timer. Administrationsværktøjer giver dig mulighed for at planlægge bestemte tidspunkter for download og installation af opdateringer.
  • Sådan underretter du brugere om opdateringer og genstarter: For at undgå ubehagelige overraskelser giver Windows 10 brugere besked, når opdateringer er tilgængelige. Kontrol af disse meddelelser i Windows 10-indstillinger er begrænset. Meget flere indstillinger er tilgængelige i "gruppepolitikker".
  • Nogle gange udgiver Microsoft kritiske sikkerhedsopdateringer uden for dets normale Patch Tuesday-plan. Dette er normalt nødvendigt for at rette sikkerhedsfejl, som er ondsindet udnyttet af tredjeparter. Skal jeg fremskynde anvendelsen af ​​sådanne opdateringer eller vente på det næste vindue i tidsplanen?
  • Håndtering af mislykkede opdateringer: Hvis en opdatering ikke installeres korrekt eller forårsager problemer, hvad vil du gøre ved det?

Når du har identificeret disse elementer, er det tid til at vælge værktøjerne til at håndtere opdateringer.

Manuel opdateringsstyring

I meget små virksomheder, inklusive butikker med kun én ansat, er det ret nemt manuelt at konfigurere Windows-opdateringer. Indstillinger > Opdatering og sikkerhed > Windows Update. Der kan du justere to grupper af indstillinger.

Først skal du vælge "Skift aktivitetsperiode" og justere indstillingerne, så de passer til dine arbejdsvaner. Hvis du typisk arbejder om aftenen, kan du undgå nedetid ved at konfigurere disse værdier fra kl. 18 til midnat, hvilket medfører, at planlagte genstarter sker om morgenen.

Vælg derefter "Avancerede indstillinger" og indstillingen "Vælg hvornår du vil installere opdateringer", og indstil den i overensstemmelse med dine regler:

  • Vælg, hvor mange dage du vil forsinke installationen af ​​funktionsopdateringer. Den maksimale værdi er 365.
  • Vælg, hvor mange dage du vil forsinke installationen af ​​kvalitetsopdateringer, inklusive kumulative sikkerhedsopdateringer udgivet på Patch Tuesdays. Den maksimale værdi er 30 dage.

Andre indstillinger på denne side kontrollerer, om genstartsmeddelelser vises (aktiveret som standard), og om opdateringer kan downloades på trafikbevidste forbindelser (deaktiveret som standard).

Før Windows 10 version 1903 var der også en indstilling til at vælge en kanal - halvårlig eller målhalvårlig. Det blev fjernet i version 1903, og i ældre versioner virker det simpelthen ikke.

Naturligvis er meningen med at forsinke opdateringer ikke blot at unddrage sig processen og så overraske brugerne lidt senere. Hvis du planlægger kvalitetsopdateringer til at blive forsinket i 15 dage, bør du f.eks. bruge den tid til at tjekke opdateringer for kompatibilitet og planlægge et vedligeholdelsesvindue på et passende tidspunkt, før denne periode slutter.

Håndtering af opdateringer gennem gruppepolitikker

Alle de nævnte manuelle indstillinger kan også anvendes gennem gruppepolitikker, og i den fulde liste over politikker forbundet med Windows 10-opdateringer er der meget flere indstillinger end dem, der er tilgængelige i almindelige manuelle indstillinger.

De kan anvendes på individuelle pc'er ved hjælp af den lokale gruppepolitikeditor Gpedit.msc eller ved hjælp af scripts. Men oftest bruges de i et Windows-domæne med Active Directory, hvor kombinationer af politikker kan administreres på grupper af pc'er.

Et betydeligt antal politikker bruges udelukkende i Windows 10. De vigtigste er relateret til "Windows Updates for Business", placeret i Computerkonfiguration > Administrative skabeloner > Windows-komponenter > Windows Update > Windows Update for Business.

  • Vælg, hvornår du vil modtage preview-builds - kanal og forsinkelser for funktionsopdateringer.
  • Vælg, hvornår du vil modtage kvalitetsopdateringer - forsink månedlige kumulative opdateringer og andre sikkerhedsrelaterede opdateringer.
  • Administrer preview builds: når en bruger kan tilmelde en maskine i Windows Insider-programmet og definere en Insider-ring.

En yderligere politikgruppe er placeret i Computerkonfiguration > Administrative skabeloner > Windows-komponenter > Windows Update, hvor du kan:

  • Fjern adgangen til pauseopdateringsfunktionen, som forhindrer brugere i at forstyrre installationer ved at forsinke dem i 35 dage.
  • Fjern adgangen til alle opdateringsindstillinger.
  • Tillad automatisk download af opdateringer på forbindelser baseret på trafik.
  • Download ikke sammen med driveropdateringer.

Følgende indstillinger er kun på Windows 10, og de vedrører genstart og meddelelser:

  • Deaktiver automatisk genstart for opdateringer i den aktive periode.
  • Angiv det aktive periodeinterval for automatisk genstart.
  • Angiv fristen for automatisk genstart for at installere opdateringer (fra 2 til 14 dage).
  • Konfigurer meddelelser for at minde dig om automatisk genstart: Øg den tid, hvor brugeren advares om dette (fra 15 til 240 minutter).
  • Deaktiver automatisk genstartsmeddelelser for at installere opdateringer.
  • Konfigurer den automatiske genstartsmeddelelse, så den ikke forsvinder automatisk efter 25 sekunder.
  • Tillad ikke politikker for opdateringsforsinkelse at udløse Windows Update-scanninger: Denne politik forhindrer pc'en i at søge efter opdateringer, hvis der er tildelt en forsinkelse.
  • Tillad brugere at administrere genstartstider og snooze notifikationer.
  • Konfigurer meddelelser om opdateringer (visning af meddelelser, fra 4 til 24 timer) og advarsler om en forestående genstart (fra 15 til 60 minutter).
  • Opdater strømpolitikken for at genstarte papirkurven (en indstilling for uddannelsessystemer, der tillader opdateringer, selv når der er batteristrøm).
  • Vis indstillinger for opdateringsmeddelelser: Giver dig mulighed for at deaktivere opdateringsmeddelelser.

Følgende politikker findes i både Windows 10 og nogle ældre versioner af Windows:

  • Indstillinger for automatiske opdateringer: Denne gruppe af indstillinger giver dig mulighed for at vælge en ugentlig, anden uge eller månedlig opdateringsplan, inklusive ugedag og tidspunkt for automatisk at downloade og installere opdateringer.
  • Angiv placeringen af ​​Microsoft Update-tjenesten på intranettet: Konfigurer en Windows Server Update Services-server (WSUS) i domænet.
  • Tillad klienten at deltage i målgruppen: Administratorer kan bruge Active Directory-sikkerhedsgrupper til at definere WSUS-implementeringsringe.
  • Forbind ikke til Windows Update-lokationer på internettet: Undgå, at pc'er, der kører den lokale opdateringsserver, kontakter eksterne opdateringsservere.
  • Tillad, at Windows Update-strømstyring vækker systemet for at installere planlagte opdateringer.
  • Genstart altid systemet automatisk på det planlagte tidspunkt.
  • Genstart ikke automatisk, hvis der er brugere, der kører på systemet.

Værktøjer til at arbejde i store organisationer (Enterprise)

Store organisationer med en Windows-netværksinfrastruktur kan omgå Microsofts opdateringsservere og implementere opdateringer fra en lokal server. Dette kræver øget opmærksomhed fra virksomhedens it-afdeling, men tilføjer fleksibilitet til virksomheden. De to mest populære muligheder er Windows Server Update Services (WSUS) og System Center Configuration Manager (SCCM).

WSUS-serveren er enklere. Det kører i Windows Server-rollen og giver centraliseret lagring af Windows-opdateringer på tværs af en organisation. Ved hjælp af gruppepolitikker dirigerer en administrator en Windows 10-pc til en WSUS-server, der fungerer som den eneste kilde til filer for hele organisationen. Fra dens administrationskonsol kan du godkende opdateringer og vælge, hvornår du vil installere dem på individuelle pc'er eller grupper af pc'er. Pc'er kan manuelt tildeles forskellige grupper, eller målretning på klientsiden kan bruges til at implementere opdateringer baseret på eksisterende Active Directory-sikkerhedsgrupper.

Efterhånden som Windows 10's kumulative opdateringer vokser mere og mere med hver ny udgivelse, kan de optage en betydelig del af din båndbredde. WSUS-servere sparer trafik ved at bruge ekspresinstallationsfiler - dette kræver mere ledig plads på serveren, men reducerer betydeligt størrelsen på opdateringsfilerne, der sendes til klient-pc'er.

På servere, der kører WSUS 4.0 og nyere, kan du også administrere funktionsopdateringer til Windows 10.

Den anden mulighed, System Center Configuration Manager, bruger den funktionsrige Configuration Manager til Windows i forbindelse med WSUS til at implementere kvalitetsopdateringer og funktionsopdateringer. Dashboardet giver netværksadministratorer mulighed for at overvåge brugen af ​​Windows 10 på tværs af hele deres netværk og oprette gruppebaserede vedligeholdelsesplaner, der inkluderer oplysninger for alle pc'er, der nærmer sig slutningen af ​​deres supportcyklus.

Hvis din organisation allerede har Configuration Manager installeret til at fungere med tidligere versioner af Windows, er det ret nemt at tilføje support til Windows 10.

Kilde: www.habr.com

Tilføj en kommentar