主持人 > 博客 > 管理 > 适合任何规模的企业升级 Windows 10 的完整指南

适合任何规模的企业升级 Windows 10 的完整指南

无论您负责一台还是数千台 Windows 10 电脑,管理更新的挑战都是相同的。 您的目标是快速安装安全更新,通过功能更新更智能地工作,并防止因意外重启而导致生产力损失。

您的企业是否有处理 Windows 10 更新的全面计划? 人们很容易认为这些下载是周期性的麻烦,一旦出现就需要立即处理。 然而,被动的更新方法会导致挫败感和生产力下降。

相反,您可以创建管理策略来测试和实施更新,以便该过程变得像发送发票或完成每月会计余额一样例行公事。

本文提供了了解 Microsoft 如何向运行 Windows 10 的设备推送更新所需的所有信息,以及可用于在运行 Windows 10 专业版、企业版或教育版的设备上智能管理这些更新的工具和技术的详细信息。 (Windows 10 Home仅支持非常基本的更新管理,不适合在商业环境中使用。)

但在使用这些工具之前,您需要一个计划。

你们的更新政策是怎么说的?

升级规则的目的是使升级过程可预测,定义警告用户的程序,以便他们可以相应地计划他们的工作并避免意外停机。 这些规则还包括处理意外问题的协议,包括回滚不成功的更新。

合理的更新规则每月都会分配一定的时间来处理更新。 在小型组织中,每台 PC 的维护计划中的一个特殊窗口可以达到此目的。 在大型组织中,一刀切的解决方案不太可能奏效,他们需要将整个 PC 群体划分为更新组(微软称其为“环”),每个更新组都有自己的更新策略。

这些规则应该描述几种不同类型的更新。 最容易理解的类型是每月累积的安全性和可靠性更新,在每月的第二个星期二(“补丁星期二”)发布。 此版本通常包含 Windows 恶意软件删除工具,但也可能包含以下任何类型的更新:

  • .NET Framework 的安全更新
  • Adobe Flash Player 的安全更新
  • 服务堆栈更新(需要从一开始就安装)。

您最多可以将这些更新的安装推迟 30 天。

根据 PC 制造商的不同,硬件驱动程序和固件也可能通过 Windows 更新渠道分发。 您可以拒绝此操作或按照与其他更新相同的方案来管理它们。

最后,功能更新也通过 Windows Update 进行分发。 这些主要软件包将 Windows 10 更新到最新版本,并且对于除长期服务通道 (LTSC) 之外的所有 Windows 10 版本每六个月发布一次。 您可以使用 Windows Update for Business 将功能更新的安装推迟最多 365 天; 对于企业版和教育版,安装可能会进一步推迟最多 30 个月。

考虑到所有这些,您可以开始制定更新规则,其中应包括每台维修电脑的以下元素:

  • 每月更新的安装期。 默认情况下,Windows 10 会在补丁星期二发布每月更新后 24 小时内下载并安装。 您可以延迟为公司的部分或全部电脑下载这些更新,以便您有时间检查兼容性; 这种延迟还可以让您避免 Microsoft 在发布后发现更新存在问题时出现的问题,就像 Windows 10 中多次发生的情况一样。
  • 半年组件更新的安装周期。 默认情况下,当 Microsoft 认为功能更新准备就绪时,就会下载并安装功能更新。 在 Microsoft 认为有资格获得更新的设备上,功能更新可能需要在发布后几天才能到达。 在其他设备上,功能更新可能需要几个月的时间才会出现,或者可能由于兼容性问题而被完全阻止。 您可以为组织中的部分或全部电脑设置延迟,以便给自己时间查看新版本。 从版本 1903 开始​​,将为 PC 用户提供组件更新,但只有用户自己才能发出下载和安装它们的命令。
  • 何时允许电脑重新启动以完成更新安装:大多数更新需要重新启动才能完成安装。 此次重启发生在上午 8 点至下午 17 点的“活动时段”之外; 可以根据需要更改此设置,将间隔持续时间延长至 18 小时。 管理工具允许您安排下载和安装更新的特定时间。
  • 如何通知用户有关更新和重新启动的信息:为了避免出现令人不快的意外,Windows 10 会在有可用更新时通知用户。 Windows 10 设置中对这些通知的控制是有限的。 “组策略”中提供了更多设置。
  • 有时,微软会在正常的补丁星期二计划之外发布重要的安全更新。 这通常是修复被第三方恶意利用的安全漏洞所必需的。 我应该加快应用此类更新的速度还是等待时间表中的下一个窗口?
  • 处理失败的更新:如果更新无法正确安装或导致问题,您将采取什么措施?

一旦确定了这些元素,就可以选择处理更新的工具了。

手动更新管理

在非常小的企业中,包括只有一名员工的商店,手动配置 Windows 更新非常容易。 设置 > 更新和安全 > Windows 更新。 您可以在那里调整两组设置。

首先,选择“更改活动时段”并调整设置以适合您的工作习惯。 如果您通常在晚上工作,则可以通过从下午 18 点到午夜配置这些值来避免停机,从而导致在早上进行计划的重新启动。

然后选择“高级选项”和“选择何时安装更新”设置,根据您的规则进行设置:

  • 选择延迟安装功能更新的天数。 最大值为 365。
  • 选择延迟安装质量更新的天数,包括周二补丁日发布的累积安全更新。 最大值为 30 天。

此页面上的其他设置控制是否显示重新启动通知(默认情况下启用)以及是否可以在流量感知连接上下载更新(默认情况下禁用)。

在Windows 10版本1903之前,还有一个选择频道的设置——半年一次,或者目标半年一次。 它在 1903 版本中被删除,并且在旧版本中它根本不起作用。

当然,延迟更新的目的并不是简单地逃避这个过程,然后稍后给用户带来惊喜。 例如,如果您安排质量更新延迟 15 天,您应该利用这段时间检查更新的兼容性,并在该期限结束之前的方便时间安排维护时段。

通过组策略管理更新

所有提到的手动设置也可以通过组策略应用,并且在与 Windows 10 更新相关的策略的完整列表中,比常规手动设置中可用的设置要多得多。

可以使用本地组策略编辑器 Gpedit.msc 或使用脚本将它们应用于单独的 PC。 但最常见的是,它们在具有 Active Directory 的 Windows 域中使用,其中可以在 PC 组上管理策略组合。

大量策略专门用于 Windows 10。最重要的策略与“Windows Update for Business”相关,位于“计算机配置”>“管理模板”>“Windows 组件”>“Windows Update”>“Windows Update for Business”中。

  • 选择何时接收预览版本 - 功能更新的渠道和延迟。
  • 选择何时接收质量更新 - 延迟每月累积更新和其他安全相关更新。
  • 管理预览版本:当用户可以在 Windows Insider 计划中注册计算机并定义 Insider 环时。

其他策略组位于计算机配置 > 管理模板 > Windows 组件 > Windows 更新中,您可以在其中:

  • 删除对暂停更新功能的访问权限,这将防止用户通过延迟 35 天来干扰安装。
  • 删除对所有更新设置的访问权限。
  • 允许根据流量自动下载连接更新。
  • 不要与驱动程序更新一起下载。

以下设置仅适用于 Windows 10,并且与重新启动和通知相关:

  • 在活动期间禁用更新自动重启。
  • 指定自动重启的有效时间范围。
  • 指定自动重新启动以安装更新的截止日期(2 到 14 天)。
  • 设置通知以提醒您有关自动重启的信息:增加向用户发出警告的时间(从 15 分钟到 240 分钟)。
  • 禁用自动重启通知以安装更新。
  • 配置自动重启通知,使其在 25 秒后不会自动消失。
  • 不允许更新延迟策略触发 Windows 更新扫描:如果分配了延迟,此策略将阻止电脑检查更新。
  • 允许用户管理重启时间和暂停通知。
  • 配置有关更新的通知(通知的外观,从 4 到 24 小时)以及有关即将重新启动的警告(从 15 到 60 分钟)。
  • 更新电源策略以重新启动回收站(教育系统的一项设置,即使在使用电池电源时也允许更新)。
  • 显示更新通知设置:允许您禁用更新通知。

Windows 10 和某些旧版本的 Windows 中均存在以下策略:

  • 自动更新设置:这组设置允许您选择每周、每两周或每月更新计划,包括一周中的某一天以及自动下载和安装更新的时间。
  • 指定 Microsoft Update 服务在 Intranet 上的位置:在域中配置 Windows Server Update Services (WSUS) 服务器。
  • 允许客户端加入目标组:管理员可以使用 Active Directory 安全组来定义 WSUS 部署环。
  • 不要连接到 Internet 上的 Windows 更新位置:防止运行本地更新服务器的电脑联系外部更新服务器。
  • 允许 Windows 更新电源管理唤醒系统以安装计划的更新。
  • 始终在预定时间自动重新启动系统。
  • 如果系统上有用户运行,则不要自动重新启动。

在大型组织(企业)中工作的工具

拥有 Windows 网络基础结构的大型组织可以绕过 Microsoft 更新服务器并从本地服务器部署更新。 这需要企业 IT 部门更加关注,但也增加了公司的灵活性。 两个最流行的选项是 Windows Server Update Services (WSUS) 和 System Center Configuration Manager (SCCM)。

WSUS 服务器更简单。 它以 Windows Server 角色运行,并为整个组织提供 Windows 更新的集中存储。 使用组策略,管理员将 Windows 10 PC 定向到 WSUS 服务器,该服务器充当整个组织的单一文件源。 从其管理控制台,您可以批准更新并选择何时将其安装在单台电脑或电脑组上。 可以将 PC 手动分配到不同的组,也可以使用客户端定位来根据现有 Active Directory 安全组部署更新。

随着 Windows 10 的累积更新随着每个新版本的增加而越来越多,它们可能会占用您很大一部分带宽。 WSUS 服务器通过使用快速安装文件来节省流量 - 这需要服务器中有更多可用空间,但会显着减小发送到客户端 PC 的更新文件的大小。

在运行 WSUS 4.0 及更高版本的服务器上,您还可以管理 Windows 10 功能更新。

第二个选项,System Center Configuration Manager 将功能丰富的 Windows 配置管理器与 WSUS 结合使用来部署质量更新和功能更新。 该仪表板允许网络管理员监控整个网络中的 Windows 10 使用情况,并创建基于组的维护计划,其中包括所有即将结束支持周期的电脑的信息。

如果您的组织已安装配置管理器以与早期版本的 Windows 配合使用,则添加对 Windows 10 的支持相当容易。

来源: habr.com

添加评论