ProHoster > Blog > Verwaltung > Der vollständige Leitfaden zum Upgrade von Windows 10 für Unternehmen jeder Größe

Der vollständige Leitfaden zum Upgrade von Windows 10 für Unternehmen jeder Größe

Unabhängig davon, ob Sie für einen einzelnen Windows 10-PC oder Tausende verantwortlich sind, sind die Herausforderungen bei der Verwaltung von Updates dieselben. Ihr Ziel ist es, Sicherheitsupdates schnell zu installieren, intelligenter mit Funktionsupdates zu arbeiten und Produktivitätsverluste aufgrund unerwarteter Neustarts zu verhindern.

Verfügt Ihr Unternehmen über einen umfassenden Plan für die Handhabung von Windows 10-Updates? Es ist verlockend, diese Downloads als periodische Belästigungen zu betrachten, die behoben werden müssen, sobald sie auftreten. Ein reaktiver Ansatz bei Aktualisierungen ist jedoch ein Rezept für Frustration und verminderte Produktivität.

Stattdessen können Sie eine Verwaltungsstrategie zum Testen und Implementieren von Aktualisierungen erstellen, sodass der Prozess zur Routine wird wie das Versenden von Rechnungen oder das Ausfüllen monatlicher Buchhaltungssalden.

Dieser Artikel enthält alle Informationen, die Sie benötigen, um zu verstehen, wie Microsoft Updates auf Geräte mit Windows 10 verteilt, sowie Einzelheiten zu den Tools und Techniken, mit denen Sie diese Updates auf Geräten mit Windows 10 Pro, Enterprise oder Education intelligent verwalten können. (Windows 10 Home unterstützt nur eine sehr einfache Updateverwaltung und ist nicht für den Einsatz in einer Geschäftsumgebung geeignet.)

Aber bevor Sie sich auf eines dieser Tools einlassen, benötigen Sie einen Plan.

Was sagt Ihre Update-Richtlinie?

Der Zweck von Upgrade-Regeln besteht darin, den Upgrade-Prozess vorhersehbar zu machen und Verfahren zu definieren, um Benutzer zu warnen, damit sie ihre Arbeit entsprechend planen und unerwartete Ausfallzeiten vermeiden können. Die Regeln umfassen auch Protokolle für den Umgang mit unerwarteten Problemen, einschließlich des Zurücksetzens fehlgeschlagener Updates.

Sinnvolle Update-Regeln sehen jeden Monat eine gewisse Zeit für die Arbeit mit Updates vor. In einer kleinen Organisation kann diesem Zweck ein spezielles Fenster im Wartungsplan für jeden PC dienen. In großen Unternehmen funktionieren Einheitslösungen wahrscheinlich nicht und sie müssen die gesamte PC-Population in Update-Gruppen (Microsoft nennt sie „Ringe“) aufteilen, von denen jede ihre eigene Update-Strategie hat.

Die Regeln sollten verschiedene Arten von Updates beschreiben. Der verständlichste Typ sind monatliche kumulative Sicherheits- und Zuverlässigkeitsupdates, die am zweiten Dienstag jedes Monats („Patch-Dienstag“) veröffentlicht werden. Diese Version enthält normalerweise das Windows-Tool zum Entfernen bösartiger Software, kann aber auch eine der folgenden Arten von Updates enthalten:

  • Sicherheitsupdates für das .NET Framework
  • Sicherheitsupdates für Adobe Flash Player
  • Wartung von Stack-Updates (die von Anfang an installiert werden müssen).

Sie können die Installation dieser Updates um bis zu 30 Tage verzögern.

Abhängig vom PC-Hersteller können Hardwaretreiber und Firmware auch über den Windows Update-Kanal verteilt werden. Sie können dies ablehnen oder sie nach den gleichen Schemata wie andere Updates verwalten.

Schließlich werden Funktionsupdates auch über Windows Update verteilt. Diese Hauptpakete aktualisieren Windows 10 auf die neueste Version und werden alle sechs Monate für alle Editionen von Windows 10 mit Ausnahme des Long Term Servicing Channel (LTSC) veröffentlicht. Sie können die Installation von Funktionsupdates mithilfe von Windows Update for Business um bis zu 365 Tage verschieben; Bei den Enterprise- und Education-Editionen kann die Installation um bis zu 30 Monate verzögert werden.

Unter Berücksichtigung all dessen können Sie mit der Erstellung von Update-Regeln beginnen, die die folgenden Elemente für jeden der gewarteten PCs enthalten sollten:

  • Installationszeitraum für monatliche Updates. Standardmäßig lädt Windows 10 monatliche Updates innerhalb von 24 Stunden nach ihrer Veröffentlichung am Patch-Dienstag herunter und installiert sie. Sie können das Herunterladen dieser Updates für einige oder alle PCs Ihres Unternehmens verzögern, damit Sie Zeit haben, die Kompatibilität zu prüfen. Durch diese Verzögerung können Sie auch Probleme vermeiden, falls Microsoft nach der Veröffentlichung ein Problem mit dem Update feststellt, wie es bei Windows 10 oft der Fall war.
  • Installationszeitraum für halbjährliche Komponentenupdates. Standardmäßig werden Funktionsupdates heruntergeladen und installiert, wenn Microsoft davon ausgeht, dass sie bereit sind. Auf einem Gerät, das von Microsoft als für ein Update geeignet eingestuft wurde, kann es nach der Veröffentlichung einige Tage dauern, bis Funktionsupdates verfügbar sind. Auf anderen Geräten kann es mehrere Monate dauern, bis Funktionsaktualisierungen angezeigt werden, oder sie werden aufgrund von Kompatibilitätsproblemen möglicherweise ganz blockiert. Sie können für einige oder alle PCs in Ihrer Organisation eine Verzögerung festlegen, um sich Zeit für die Überprüfung einer neuen Version zu geben. Ab Version 1903 werden PC-Benutzern Komponenten-Updates angeboten, aber nur die Benutzer selbst geben Befehle zum Herunterladen und Installieren.
  • Wann Sie Ihrem PC einen Neustart ermöglichen sollten, um die Installation von Updates abzuschließen: Die meisten Updates erfordern einen Neustart, um die Installation abzuschließen. Dieser Neustart erfolgt außerhalb des „Aktivitätszeitraums“ von 8 bis 17 Uhr; Diese Einstellung kann beliebig geändert werden, wodurch die Intervalldauer auf bis zu 18 Stunden verlängert wird. Mit Verwaltungstools können Sie bestimmte Zeiten für das Herunterladen und Installieren von Updates festlegen.
  • So benachrichtigen Sie Benutzer über Updates und Neustarts: Um unangenehme Überraschungen zu vermeiden, benachrichtigt Windows 10 Benutzer, wenn Updates verfügbar sind. Die Steuerung dieser Benachrichtigungen in den Windows 10-Einstellungen ist eingeschränkt. In den „Gruppenrichtlinien“ stehen noch viel mehr Einstellungen zur Verfügung.
  • Manchmal veröffentlicht Microsoft außerhalb seines normalen Patch-Dienstag-Zeitplans wichtige Sicherheitsupdates. Dies ist in der Regel notwendig, um Sicherheitslücken zu beheben, die von Dritten böswillig ausgenutzt werden. Soll ich die Anwendung solcher Updates beschleunigen oder auf das nächste Fenster im Zeitplan warten?
  • Umgang mit fehlgeschlagenen Updates: Was können Sie dagegen tun, wenn die Installation eines Updates fehlschlägt oder Probleme verursacht?

Sobald Sie diese Elemente identifiziert haben, ist es an der Zeit, die Tools für die Verwaltung von Updates auszuwählen.

Manuelle Updateverwaltung

In sehr kleinen Unternehmen, darunter auch Läden mit nur einem Mitarbeiter, ist es recht einfach, Windows-Updates manuell zu konfigurieren. Einstellungen > Update & Sicherheit > Windows Update. Dort können Sie zwei Gruppen von Einstellungen anpassen.

Wählen Sie zunächst „Aktivitätszeitraum ändern“ und passen Sie die Einstellungen an Ihre Arbeitsgewohnheiten an. Wenn Sie typischerweise abends arbeiten, können Sie Ausfallzeiten vermeiden, indem Sie diese Werte von 18:XNUMX Uhr bis Mitternacht konfigurieren, sodass geplante Neustarts am Morgen erfolgen.

Wählen Sie dann „Erweiterte Optionen“ und die Einstellung „Wählen Sie aus, wann Updates installiert werden sollen“ und stellen Sie sie gemäß Ihren Regeln ein:

  • Wählen Sie aus, um wie viele Tage die Installation von Funktionsupdates verzögert werden soll. Der Maximalwert beträgt 365.
  • Wählen Sie aus, um wie viele Tage die Installation von Qualitätsupdates verzögert werden soll, einschließlich kumulativer Sicherheitsupdates, die an Patch-Dienstags veröffentlicht werden. Der Maximalwert beträgt 30 Tage.

Andere Einstellungen auf dieser Seite steuern, ob Neustartbenachrichtigungen angezeigt werden (standardmäßig aktiviert) und ob Updates auf verkehrsbewussten Verbindungen heruntergeladen werden können (standardmäßig deaktiviert).

Vor Windows 10 Version 1903 gab es auch eine Einstellung zur Auswahl eines Kanals – halbjährlich oder Ziel halbjährlich. Es wurde in Version 1903 entfernt und in älteren Versionen funktioniert es einfach nicht.

Natürlich geht es bei der Verzögerung von Updates nicht darum, sich einfach dem Prozess zu entziehen und die Benutzer etwas später zu überraschen. Wenn Sie Qualitätsupdates beispielsweise um 15 Tage verzögern möchten, sollten Sie diese Zeit nutzen, um Updates auf Kompatibilität zu prüfen, und zu einem geeigneten Zeitpunkt vor Ablauf dieses Zeitraums ein Wartungsfenster einplanen.

Verwalten von Updates über Gruppenrichtlinien

Alle genannten manuellen Einstellungen können auch über Gruppenrichtlinien angewendet werden, und in der vollständigen Liste der mit Windows 10-Updates verknüpften Richtlinien gibt es viel mehr Einstellungen als die, die in den regulären manuellen Einstellungen verfügbar sind.

Sie können mit dem lokalen Gruppenrichtlinien-Editor Gpedit.msc oder mithilfe von Skripten auf einzelne PCs angewendet werden. Am häufigsten werden sie jedoch in einer Windows-Domäne mit Active Directory verwendet, wo Richtlinienkombinationen auf PC-Gruppen verwaltet werden können.

Eine beträchtliche Anzahl von Richtlinien wird ausschließlich in Windows 10 verwendet. Die wichtigsten beziehen sich auf „Windows Updates for Business“, zu finden unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update > Windows Update for Business.

  • Wählen Sie aus, wann Sie Vorschau-Builds erhalten möchten – Kanal und Verzögerungen für Funktionsaktualisierungen.
  • Wählen Sie, wann Sie Qualitätsupdates erhalten möchten – verzögern Sie monatliche kumulative Updates und andere sicherheitsrelevante Updates.
  • Vorschau-Builds verwalten: Wenn ein Benutzer einen Computer beim Windows Insider-Programm registrieren und einen Insider-Ring definieren kann.

Eine zusätzliche Richtliniengruppe befindet sich unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update, wo Sie Folgendes tun können:

  • Entfernen Sie den Zugriff auf die Funktion „Updates anhalten“, die verhindert, dass Benutzer Installationen stören, indem sie diese um 35 Tage verzögert.
  • Entfernen Sie den Zugriff auf alle Update-Einstellungen.
  • Ermöglichen Sie das automatische Herunterladen von Updates für Verbindungen basierend auf dem Datenverkehr.
  • Nicht zusammen mit Treiberaktualisierungen herunterladen.

Die folgenden Einstellungen gelten nur für Windows 10 und beziehen sich auf Neustarts und Benachrichtigungen:

  • Deaktivieren Sie den automatischen Neustart für Updates während des aktiven Zeitraums.
  • Geben Sie den aktiven Zeitraumbereich für den automatischen Neustart an.
  • Geben Sie die Frist für den automatischen Neustart zur Installation von Updates an (von 2 bis 14 Tagen).
  • Richten Sie Benachrichtigungen ein, um Sie an den automatischen Neustart zu erinnern: Erhöhen Sie die Zeit, in der der Benutzer darüber gewarnt wird (von 15 auf 240 Minuten).
  • Deaktivieren Sie automatische Neustartbenachrichtigungen, um Updates zu installieren.
  • Konfigurieren Sie die automatische Neustartbenachrichtigung so, dass sie nicht nach 25 Sekunden automatisch verschwindet.
  • Richtlinien zur Update-Verzögerung nicht zulassen, um Windows Update-Scans auszulösen: Diese Richtlinie verhindert, dass der PC nach Updates sucht, wenn eine Verzögerung zugewiesen ist.
  • Ermöglichen Sie Benutzern die Verwaltung von Neustartzeiten und Schlummerbenachrichtigungen.
  • Konfigurieren Sie Benachrichtigungen über Updates (Erscheinen der Benachrichtigungen, von 4 bis 24 Stunden) und Warnungen über einen bevorstehenden Neustart (von 15 bis 60 Minuten).
  • Aktualisieren Sie die Energierichtlinie, um den Papierkorb neu zu starten (eine Einstellung für Bildungssysteme, die Aktualisierungen auch im Akkubetrieb ermöglicht).
  • Update-Benachrichtigungseinstellungen anzeigen: Ermöglicht Ihnen, Update-Benachrichtigungen zu deaktivieren.

Die folgenden Richtlinien gelten sowohl in Windows 10 als auch in einigen älteren Windows-Versionen:

  • Automatische Update-Einstellungen: Mit dieser Einstellungsgruppe können Sie einen wöchentlichen, zweiwöchentlichen oder monatlichen Update-Zeitplan auswählen, einschließlich des Wochentags und der Uhrzeit zum automatischen Herunterladen und Installieren von Updates.
  • Geben Sie den Speicherort des Microsoft Update-Dienstes im Intranet an: Konfigurieren Sie einen Windows Server Update Services (WSUS)-Server in der Domäne.
  • Dem Client erlauben, der Zielgruppe beizutreten: Administratoren können Active Directory-Sicherheitsgruppen verwenden, um WSUS-Bereitstellungsringe zu definieren.
  • Keine Verbindung zu Windows Update-Speicherorten im Internet herstellen: Verhindern Sie, dass PCs, auf denen der lokale Update-Server ausgeführt wird, externe Update-Server kontaktieren.
  • Erlauben Sie der Energieverwaltung von Windows Update, das System aufzuwecken, um geplante Updates zu installieren.
  • Starten Sie das System immer automatisch zum geplanten Zeitpunkt neu.
  • Führen Sie keinen automatischen Neustart durch, wenn Benutzer auf dem System ausgeführt werden.

Tools für die Arbeit in großen Organisationen (Enterprise)

Große Organisationen mit einer Windows-Netzwerkinfrastruktur können Microsoft-Updateserver umgehen und Updates von einem lokalen Server bereitstellen. Dies erfordert erhöhte Aufmerksamkeit seitens der IT-Abteilung des Unternehmens, erhöht jedoch die Flexibilität des Unternehmens. Die beiden beliebtesten Optionen sind Windows Server Update Services (WSUS) und System Center Configuration Manager (SCCM).

Der WSUS-Server ist einfacher. Es wird in der Windows-Serverrolle ausgeführt und bietet eine zentrale Speicherung von Windows-Updates im gesamten Unternehmen. Mithilfe von Gruppenrichtlinien leitet ein Administrator einen Windows 10-PC an einen WSUS-Server weiter, der als einzige Dateiquelle für die gesamte Organisation dient. Von der Admin-Konsole aus können Sie Updates genehmigen und auswählen, wann sie auf einzelnen PCs oder PC-Gruppen installiert werden sollen. PCs können manuell verschiedenen Gruppen zugewiesen werden, oder es kann clientseitiges Targeting verwendet werden, um Updates basierend auf vorhandenen Active Directory-Sicherheitsgruppen bereitzustellen.

Da die kumulativen Updates von Windows 10 mit jeder neuen Version immer umfangreicher werden, können sie einen erheblichen Teil Ihrer Bandbreite beanspruchen. WSUS-Server sparen Datenverkehr durch die Verwendung von Express-Installationsdateien – dies erfordert mehr freien Speicherplatz auf dem Server, reduziert aber die Größe der an Client-PCs gesendeten Update-Dateien erheblich.

Auf Servern mit WSUS 4.0 und höher können Sie auch Windows 10-Funktionsupdates verwalten.

Die zweite Option, System Center Configuration Manager, verwendet den funktionsreichen Configuration Manager für Windows in Verbindung mit WSUS, um Qualitätsupdates und Funktionsupdates bereitzustellen. Mit dem Dashboard können Netzwerkadministratoren die Windows 10-Nutzung im gesamten Netzwerk überwachen und gruppenbasierte Wartungspläne erstellen, die Informationen für alle PCs enthalten, die sich dem Ende ihres Supportzyklus nähern.

Wenn in Ihrer Organisation bereits Configuration Manager für die Arbeit mit früheren Windows-Versionen installiert ist, ist das Hinzufügen von Unterstützung für Windows 10 recht einfach.

Source: habr.com

Kommentar hinzufügen