Prohoster > Blog > quản lý > Hướng dẫn đầy đủ để nâng cấp Windows 10 cho doanh nghiệp thuộc mọi quy mô

Hướng dẫn đầy đủ để nâng cấp Windows 10 cho doanh nghiệp thuộc mọi quy mô

Cho dù bạn chịu trách nhiệm về một PC chạy Windows 10 hay hàng nghìn PC thì những thách thức trong việc quản lý các bản cập nhật đều như nhau. Mục tiêu của bạn là nhanh chóng cài đặt các bản cập nhật bảo mật, làm việc thông minh hơn với các bản cập nhật tính năng và ngăn ngừa tình trạng giảm năng suất do khởi động lại bất ngờ.

Doanh nghiệp của bạn có kế hoạch toàn diện để xử lý các bản cập nhật Windows 10 không? Thật hấp dẫn khi coi những lượt tải xuống này là những phiền toái định kỳ cần được xử lý ngay khi chúng xuất hiện. Tuy nhiên, cách tiếp cận phản ứng với các bản cập nhật là công thức dẫn đến sự thất vọng và giảm năng suất.

Thay vào đó, bạn có thể tạo chiến lược quản lý để kiểm tra và triển khai các bản cập nhật để quy trình trở nên thường xuyên như gửi hóa đơn hoặc hoàn thành số dư kế toán hàng tháng.

Bài viết này cung cấp tất cả thông tin bạn cần để hiểu cách Microsoft đẩy các bản cập nhật lên các thiết bị chạy Windows 10 cũng như thông tin chi tiết về các công cụ và kỹ thuật bạn có thể sử dụng để quản lý thông minh các bản cập nhật này trên các thiết bị chạy Windows 10 Pro, Enterprise hoặc Education. (Windows 10 Home chỉ hỗ trợ quản lý cập nhật rất cơ bản và không phù hợp để sử dụng trong môi trường doanh nghiệp.)

Nhưng trước khi sử dụng bất kỳ công cụ nào trong số này, bạn sẽ cần có kế hoạch.

Chính sách cập nhật của bạn nói gì?

Mục đích của các quy tắc nâng cấp là làm cho quá trình nâng cấp có thể dự đoán được, xác định các quy trình để cảnh báo người dùng để họ có thể lập kế hoạch công việc phù hợp và tránh thời gian ngừng hoạt động không mong muốn. Các quy tắc cũng bao gồm các giao thức xử lý các sự cố không mong muốn, bao gồm cả việc khôi phục các bản cập nhật không thành công.

Quy tắc cập nhật hợp lý phân bổ một lượng thời gian nhất định để làm việc với các bản cập nhật hàng tháng. Trong một tổ chức nhỏ, một cửa sổ đặc biệt trong lịch bảo trì cho mỗi PC có thể phục vụ mục đích này. Trong các tổ chức lớn, các giải pháp một kích cỡ phù hợp cho tất cả khó có thể hoạt động và họ sẽ cần chia toàn bộ nhóm PC thành các nhóm cập nhật (Microsoft gọi chúng là “nhóm”), mỗi nhóm sẽ có chiến lược cập nhật riêng.

Các quy tắc nên mô tả một số loại cập nhật khác nhau. Loại dễ hiểu nhất là các bản cập nhật độ tin cậy và bảo mật tích lũy hàng tháng, được phát hành vào Thứ Ba của tuần thứ hai mỗi tháng (“Thứ Ba Bản vá”). Bản phát hành này thường bao gồm Công cụ xóa phần mềm độc hại của Windows nhưng cũng có thể bao gồm bất kỳ loại cập nhật nào sau đây:

  • Bản Cập Nhật bảo mật cho .NET Framework
  • Cập nhật bảo mật cho Adobe Flash Player
  • Cung cấp các bản cập nhật ngăn xếp dịch vụ (cần được cài đặt ngay từ đầu).

Bạn có thể trì hoãn cài đặt bất kỳ bản cập nhật nào trong số này trong tối đa 30 ngày.

Tùy thuộc vào nhà sản xuất PC, trình điều khiển phần cứng và chương trình cơ sở cũng có thể được phân phối qua kênh Windows Update. Bạn có thể từ chối điều này hoặc quản lý chúng theo các sơ đồ tương tự như các bản cập nhật khác.

Cuối cùng, các bản cập nhật tính năng cũng được phân phối thông qua Windows Update. Các gói chính này cập nhật Windows 10 lên phiên bản mới nhất và được phát hành sáu tháng một lần cho tất cả các phiên bản Windows 10 ngoại trừ Kênh dịch vụ dài hạn (LTSC). Bạn có thể trì hoãn việc cài đặt các bản cập nhật tính năng bằng cách sử dụng Windows Update for Business trong tối đa 365 ngày; Đối với các phiên bản Enterprise và Education, quá trình cài đặt có thể bị trì hoãn thêm tới 30 tháng.

Khi tính đến tất cả những điều này, bạn có thể bắt đầu xây dựng các quy tắc cập nhật, bao gồm các yếu tố sau cho từng PC được bảo trì:

  • Thời gian cài đặt để cập nhật hàng tháng. Theo mặc định, Windows 10 tải xuống và cài đặt các bản cập nhật hàng tháng trong vòng 24 giờ kể từ khi phát hành vào Bản vá thứ ba. Bạn có thể trì hoãn tải xuống các bản cập nhật này cho một số hoặc tất cả PC của công ty bạn để có thời gian kiểm tra tính tương thích; Sự chậm trễ này cũng cho phép bạn tránh các sự cố trong trường hợp Microsoft phát hiện ra sự cố với bản cập nhật sau khi phát hành, như đã xảy ra nhiều lần với Windows 10.
  • Thời gian cài đặt các bản cập nhật thành phần nửa năm một lần. Theo mặc định, các bản cập nhật tính năng được tải xuống và cài đặt khi Microsoft tin rằng chúng đã sẵn sàng. Trên thiết bị mà Microsoft cho là đủ điều kiện nhận bản cập nhật, các bản cập nhật tính năng có thể mất vài ngày mới có sau khi phát hành. Trên các thiết bị khác, các bản cập nhật tính năng có thể mất vài tháng mới xuất hiện hoặc chúng có thể bị chặn hoàn toàn do vấn đề tương thích. Bạn có thể đặt thời gian trễ cho một số hoặc tất cả PC trong tổ chức của mình để có thời gian xem xét bản phát hành mới. Bắt đầu từ phiên bản 1903, người dùng PC sẽ được cung cấp các bản cập nhật thành phần, nhưng chỉ chính người dùng mới đưa ra lệnh tải xuống và cài đặt chúng.
  • Khi nào nên cho phép PC của bạn khởi động lại để hoàn tất cài đặt các bản cập nhật: Hầu hết các bản cập nhật đều yêu cầu khởi động lại để hoàn tất cài đặt. Việc khởi động lại này xảy ra ngoài “thời gian hoạt động” từ 8 giờ sáng đến 17 giờ chiều; Cài đặt này có thể được thay đổi theo ý muốn, kéo dài khoảng thời gian lên tới 18 giờ. Các công cụ quản lý cho phép bạn lên lịch thời gian cụ thể để tải xuống và cài đặt các bản cập nhật.
  • Cách thông báo cho người dùng về các bản cập nhật và khởi động lại: Để tránh những bất ngờ khó chịu, Windows 10 sẽ thông báo cho người dùng khi có bản cập nhật. Việc kiểm soát các thông báo này trong cài đặt Windows 10 bị hạn chế. Nhiều cài đặt hơn có sẵn trong “chính sách nhóm”.
  • Đôi khi Microsoft phát hành các bản cập nhật bảo mật quan trọng ngoài lịch trình Bản vá Thứ Ba thông thường. Điều này thường là cần thiết để sửa các lỗi bảo mật bị bên thứ ba khai thác một cách ác ý. Tôi có nên tăng tốc độ áp dụng các bản cập nhật đó hay đợi cửa sổ tiếp theo trong lịch trình?
  • Xử lý các bản cập nhật không thành công: Nếu một bản cập nhật không cài đặt đúng cách hoặc gây ra sự cố, bạn sẽ làm gì với nó?

Khi bạn đã xác định được các yếu tố này, đã đến lúc chọn công cụ để xử lý các bản cập nhật.

Quản lý cập nhật thủ công

Trong các doanh nghiệp rất nhỏ, bao gồm cả các cửa hàng chỉ có một nhân viên, việc định cấu hình các bản cập nhật Windows theo cách thủ công là khá dễ dàng. Cài đặt > Cập nhật & Bảo mật > Cập nhật Windows. Ở đó bạn có thể điều chỉnh hai nhóm cài đặt.

Đầu tiên, chọn "Thay đổi thời gian hoạt động" và điều chỉnh cài đặt cho phù hợp với thói quen làm việc của bạn. Nếu bạn thường làm việc vào buổi tối, bạn có thể tránh thời gian ngừng hoạt động bằng cách định cấu hình các giá trị này từ 18 giờ chiều đến nửa đêm, khiến việc khởi động lại theo lịch trình diễn ra vào buổi sáng.

Sau đó chọn cài đặt “Tùy chọn nâng cao” và “Chọn thời điểm cài đặt bản cập nhật”, cài đặt cài đặt này theo quy tắc của bạn:

  • Chọn số ngày trì hoãn cài đặt các bản cập nhật tính năng. Giá trị tối đa là 365.
  • Chọn khoảng thời gian trì hoãn cài đặt các bản cập nhật chất lượng, bao gồm các bản cập nhật bảo mật tích lũy được phát hành vào các Thứ Ba Bản vá. Giá trị tối đa là 30 ngày.

Các cài đặt khác trên trang này kiểm soát xem thông báo khởi động lại có được hiển thị hay không (được bật theo mặc định) và liệu có thể tải xuống các bản cập nhật trên các kết nối nhận biết lưu lượng truy cập hay không (bị tắt theo mặc định).

Trước Windows 10 phiên bản 1903, cũng có cài đặt để chọn kênh - nửa năm hoặc nửa năm mục tiêu. Nó đã bị xóa trong phiên bản 1903 và trong các phiên bản cũ hơn, nó không hoạt động.

Tất nhiên, mục đích của việc trì hoãn cập nhật không chỉ đơn giản là trốn tránh quá trình này và khiến người dùng ngạc nhiên sau đó một chút. Ví dụ: nếu bạn lên lịch trì hoãn các bản cập nhật chất lượng trong 15 ngày, bạn nên sử dụng thời gian đó để kiểm tra tính tương thích của các bản cập nhật và lên lịch thời gian bảo trì vào thời điểm thuận tiện trước khi khoảng thời gian đó kết thúc.

Quản lý cập nhật thông qua Chính sách nhóm

Tất cả các cài đặt thủ công được đề cập cũng có thể được áp dụng thông qua chính sách nhóm và trong danh sách đầy đủ các chính sách liên quan đến các bản cập nhật Windows 10, có nhiều cài đặt hơn những cài đặt có sẵn trong cài đặt thủ công thông thường.

Chúng có thể được áp dụng cho từng PC bằng trình chỉnh sửa chính sách nhóm cục bộ Gpedit.msc hoặc sử dụng tập lệnh. Nhưng hầu hết chúng thường được sử dụng trong miền Windows có Active Directory, nơi có thể quản lý các tổ hợp chính sách trên các nhóm PC.

Một số lượng đáng kể các chính sách được sử dụng riêng trong Windows 10. Những chính sách quan trọng nhất có liên quan đến “Windows Updates for Business”, nằm trong Cấu hình máy tính > Mẫu quản trị > Cấu phần Windows > Windows Update > Windows Update for Business.

  • Chọn thời điểm nhận bản xem trước - kênh và độ trễ cho các bản cập nhật tính năng.
  • Chọn thời điểm nhận các bản cập nhật chất lượng - trì hoãn các bản cập nhật tích lũy hàng tháng và các bản cập nhật liên quan đến bảo mật khác.
  • Quản lý các bản dựng xem trước: khi người dùng có thể đăng ký máy vào chương trình Người dùng nội bộ Windows và xác định vòng Người dùng nội bộ.

Nhóm chính sách bổ sung nằm trong Cấu hình máy tính > Mẫu quản trị > Cấu phần Windows > Windows Update, nơi bạn có thể:

  • Xóa quyền truy cập vào tính năng tạm dừng cập nhật, tính năng này sẽ ngăn người dùng can thiệp vào quá trình cài đặt bằng cách trì hoãn chúng trong 35 ngày.
  • Xóa quyền truy cập vào tất cả các cài đặt cập nhật.
  • Cho phép tự động tải xuống các bản cập nhật trên kết nối dựa trên lưu lượng truy cập.
  • Không tải xuống cùng với bản cập nhật trình điều khiển.

Các cài đặt sau chỉ có trên Windows 10 và chúng liên quan đến khởi động lại và thông báo:

  • Vô hiệu hóa tự động khởi động lại để cập nhật trong thời gian hoạt động.
  • Chỉ định phạm vi thời gian hoạt động để tự động khởi động lại.
  • Chỉ định thời hạn tự động khởi động lại để cài đặt các bản cập nhật (từ 2 đến 14 ngày).
  • Thiết lập thông báo nhắc nhở bạn về việc tự động khởi động lại: tăng thời gian cảnh báo cho người dùng về việc này (từ 15 lên 240 phút).
  • Tắt thông báo khởi động lại tự động để cài đặt bản cập nhật.
  • Định cấu hình thông báo khởi động lại tự động để nó không tự động biến mất sau 25 giây.
  • Không cho phép các chính sách trì hoãn cập nhật kích hoạt quét Windows Update: Chính sách này ngăn PC kiểm tra các bản cập nhật nếu độ trễ được chỉ định.
  • Cho phép người dùng quản lý thời gian khởi động lại và báo lại thông báo.
  • Định cấu hình thông báo về các bản cập nhật (xuất hiện thông báo, từ 4 đến 24 giờ) và cảnh báo về việc khởi động lại sắp xảy ra (từ 15 đến 60 phút).
  • Cập nhật chính sách nguồn để khởi động lại thùng rác (cài đặt dành cho hệ thống giáo dục cho phép cập nhật ngay cả khi sử dụng nguồn pin).
  • Hiển thị cài đặt thông báo cập nhật: Cho phép bạn tắt thông báo cập nhật.

Các chính sách sau tồn tại trong cả Windows 10 và một số phiên bản Windows cũ hơn:

  • Cài đặt cập nhật tự động: Nhóm cài đặt này cho phép bạn chọn lịch cập nhật hàng tuần, hai tuần một lần hoặc hàng tháng, bao gồm ngày trong tuần và thời gian để tự động tải xuống và cài đặt các bản cập nhật.
  • Chỉ định vị trí của dịch vụ Microsoft Update trên mạng nội bộ: Định cấu hình máy chủ Windows Server Update Services (WSUS) trong miền.
  • Cho phép khách hàng tham gia nhóm mục tiêu: Quản trị viên có thể sử dụng nhóm bảo mật Active Directory để xác định các vòng triển khai WSUS.
  • Không kết nối với các vị trí Windows Update trên Internet: Ngăn PC chạy máy chủ cập nhật cục bộ liên hệ với các máy chủ cập nhật bên ngoài.
  • Cho phép quản lý nguồn Windows Update đánh thức hệ thống để cài đặt các bản cập nhật theo lịch.
  • Luôn tự động khởi động lại hệ thống vào thời gian đã định.
  • Không tự động khởi động lại nếu có người dùng đang chạy trên hệ thống.

Công cụ làm việc trong tổ chức lớn (Enterprise)

Các tổ chức lớn có cơ sở hạ tầng mạng Windows có thể bỏ qua các máy chủ cập nhật của Microsoft và triển khai các bản cập nhật từ máy chủ cục bộ. Điều này đòi hỏi sự chú ý nhiều hơn từ bộ phận CNTT của công ty nhưng cũng tăng thêm tính linh hoạt cho công ty. Hai tùy chọn phổ biến nhất là Windows Server Update Services (WSUS) và System Center Configuration Manager (SCCM).

Máy chủ WSUS đơn giản hơn. Nó chạy trong vai trò Máy chủ Windows và cung cấp khả năng lưu trữ tập trung các bản cập nhật Windows trong toàn tổ chức. Bằng cách sử dụng chính sách nhóm, quản trị viên sẽ hướng PC chạy Windows 10 tới máy chủ WSUS, đóng vai trò là nguồn tệp duy nhất cho toàn bộ tổ chức. Từ bảng điều khiển dành cho quản trị viên, bạn có thể phê duyệt các bản cập nhật và chọn thời điểm cài đặt chúng trên từng PC hoặc nhóm PC. PC có thể được gán thủ công cho các nhóm khác nhau hoặc có thể sử dụng tính năng nhắm mục tiêu phía máy khách để triển khai các bản cập nhật dựa trên các nhóm bảo mật Active Directory hiện có.

Khi các bản cập nhật tích lũy của Windows 10 ngày càng phát triển theo mỗi bản phát hành mới, chúng có thể chiếm một phần đáng kể băng thông của bạn. Máy chủ WSUS tiết kiệm lưu lượng bằng cách sử dụng Tệp cài đặt nhanh - điều này đòi hỏi nhiều dung lượng trống hơn trong máy chủ nhưng giảm đáng kể kích thước của tệp cập nhật được gửi đến PC khách.

Trên các máy chủ chạy WSUS 4.0 trở lên, bạn cũng có thể quản lý các bản cập nhật tính năng của Windows 10.

Tùy chọn thứ hai, System Center Configuration Manager sử dụng Trình quản lý cấu hình giàu tính năng cho Windows kết hợp với WSUS để triển khai các bản cập nhật chất lượng và cập nhật tính năng. Bảng thông tin cho phép quản trị viên mạng giám sát việc sử dụng Windows 10 trên toàn bộ mạng của họ và tạo các kế hoạch bảo trì theo nhóm bao gồm thông tin cho tất cả các PC sắp kết thúc chu kỳ hỗ trợ.

Nếu tổ chức của bạn đã cài đặt Trình quản lý cấu hình để hoạt động với các phiên bản Windows cũ hơn thì việc thêm hỗ trợ cho Windows 10 khá dễ dàng.

Nguồn: www.habr.com

Thêm một lời nhận xét