主持人 > 博客 > 管理 > 適合任何規模的企業升級 Windows 10 的完整指南

適合任何規模的企業升級 Windows 10 的完整指南

無論您負責一台還是數千台 Windows 10 電腦,管理更新的挑戰都是相同的。 您的目標是快速安裝安全性更新,透過功能更新更聰明地工作,並防止因意外重新啟動而導致生產力損失。

您的企業是否有處理 Windows 10 更新的全面計畫? 人們很容易認為這些下載是週期性的麻煩,一旦出現就需要立即處理。 然而,被動的更新方法會導致挫折感和生產力下降。

相反,您可以建立管理策略來測試和實施更新,以便該流程變得像發送發票或完成每月會計餘額一樣例行公事。

本文提供了了解 Microsoft 如何向運行 Windows 10 的設備推送更新所需的所有信息,以及可用於在運行 Windows 10 專業版、企業版或教育版的設備上智能管理這些更新的工具和技術的詳細信息。 (Windows 10 Home僅支援非常基本的更新管理,不適合在商業環境中使用。)

但在使用這些工具之前,您需要一個計劃。

你們的更新政策是怎麼說的?

升級規則的目的是使升級過程可預測,定義警告使用者的程序,以便他們可以相應地規劃他們的工作並避免意外停機。 這些規則還包括處理意外問題的協議,包括回滾不成功的更新。

合理的更新規則每月都會分配一定的時間來處理更新。 在小型組織中,每台 PC 的維護計畫中的一個特殊視窗可以達到此目的。 在大型組織中,一刀切的解決方案不太可能奏效,他們需要將整個 PC 群體劃分為更新群組(微軟稱其為「環」),每個更新群組都有自己的更新策略。

這些規則應該描述幾種不同類型的更新。 最容易理解的類型是每月累積的安全性和可靠性更新,在每月的第二個星期二(「補丁星期二」)發布。 此版本通常包含 Windows 惡意軟體移除工具,但也可能包含以下任何類型的更新:

  • .NET Framework 的安全性更新
  • Adobe Flash Player 的安全性更新
  • 服務堆疊更新(需要從一開始就安裝)。

您最多可以將這些更新的安裝推遲 30 天。

根據 PC 製造商的不同,硬體驅動程式和韌體也可能透過 Windows 更新管道分發。 您可以拒絕此操作或按照與其他更新相同的方案來管理它們。

最後,功能更新也透過 Windows Update 進行分發。 這些主要軟體套件將 Windows 10 更新至最新版本,並且對於除長期服務通道 (LTSC) 之外的所有 Windows 10 版本每六個月發布一次。 您可以使用 Windows Update for Business 將功能更新的安裝延後最多 365 天; 對於企業版和教育版,安裝可能會進一步推遲最多 30 個月。

考慮到所有這些,您可以開始製定更新規則,其中應包括每台維修電腦的以下元素:

  • 每月更新的安裝期。 預設情況下,Windows 10 會在補丁星期二發布每月更新後 24 小時內下載並安裝。 您可以延遲為公司的部分或全部電腦下載這些更新,以便您有時間檢查相容性; 這種延遲還可以讓您避免 Microsoft 在發布後發現更新有問題時出現的問題,就像 Windows 10 中多次發生的情況一樣。
  • 每半年組件更新的安裝週期。 預設情況下,當 Microsoft 認為功能更新已準備好時,就會下載並安裝功能更新。 在 Microsoft 認為有資格獲得更新的裝置上,功能更新可能需要在發布後幾天才能到達。 在其他裝置上,功能更新可能需要幾個月的時間才會出現,或者可能由於相容性問題而完全阻止。 您可以為組織中的部分或全部電腦設定延遲,以便給自己時間查看新版本。 從版本 1903 開始,將為 PC 用戶提供元件更新,但只有用戶自己才能發出下載和安裝它們的命令。
  • 何時允許電腦重新啟動以完成更新安裝:大多數更新需要重新啟動才能完成安裝。 此次重啟發生在上午 8 點至下午 17 點的「活動時段」之外; 可根據需要變更此設置,將間隔持續時間延長至 18 小時。 管理工具可讓您安排下載和安裝更新的特定時間。
  • 如何通知使用者有關更新和重新啟動的資訊:為了避免令人不快的意外,Windows 10 會在有可用更新時通知使用者。 Windows 10 設定中對這些通知的控制是有限的。 「群組原則」中提供了更多設定。
  • 有時,微軟會在正常的補丁星期二計劃之外發布重要的安全性更新。 這通常是修復被第三方惡意利用的安全漏洞所必需的。 我應該加快應用此類更新的速度還是等待時間表中的下一個視窗?
  • 處理失敗的更新:如果更新無法正確安裝或導致問題,您將採取什麼措施?

一旦確定了這些元素,就可以選擇處理更新的工具了。

手動更新管理

在非常小的企業中,包括只有一名員工的商店,手動設定 Windows 更新非常容易。 設定 > 更新與安全性 > Windows 更新。 您可以在那裡調整兩組設定。

首先,選擇「更改活動時段」並調整設定以適合您的工作習慣。 如果您通常在晚上工作,則可以透過從下午 18 點到午夜配置這些值來避免停機,從而導致計劃在早上重新啟動。

然後選擇“高級選項”和“選擇何時安裝更新”設置,根據您的規則進行設置:

  • 選擇延遲安裝功能更新的天數。 最大值為 365。
  • 選擇延遲安裝品質更新的天數,包括週二修補程式日發布的累積安全更新。 最大值為 30 天。

此頁面上的其他設定控制是否顯示重新啟動通知(預設啟用)以及是否可以在流量感知連線上下載更新(預設為停用)。

在Windows 10版本1903之前,還有一個選擇頻道的設定-半年一次,或目標半年一次。 它在 1903 年版本中被刪除,並且在舊版本中它根本不起作用。

當然,延遲更新的目的並不是簡單地逃避這個過程,然後稍後給用戶帶來驚喜。 例如,如果您安排品質更新延遲 15 天,您應該利用這段時間檢查更新的兼容性,並在該期限結束之前的方便時間安排維護時段。

透過群組原則管理更新

所有提到的手動設定也可以透過群組原則套用,並且在與 Windows 10 更新相關的策略的完整清單中,比常規手動設定中可用的設定要多得多。

可以使用本機群組原則編輯器 Gpedit.msc 或使用腳本將它們套用至單獨的 PC。 但最常見的是,它們在具有 Active Directory 的 Windows 網域中使用,其中可以在 PC 群組上管理策略組合。

大量策略專門用於 Windows 10。最重要的策略與「Windows Update for Business」相關,位於「電腦設定」>「管理範本」>「Windows 元件」>「Windows Update」>「Windows Update for Business」中。

  • 選擇何時接收預覽版本 - 功能更新的管道和延遲。
  • 選擇何時接收品質更新 - 延遲每月累積更新和其他安全相關更新。
  • 管理預覽版本:當使用者可以在 Windows Insider 計畫中註冊電腦並定義 Insider 環。

其他策略群組位於電腦設定 > 管理範本 > Windows 元件 > Windows 更新中,您可以在其中:

  • 刪除對暫停更新功能的存取權限,這將防止使用者透過延遲 35 天來幹擾安裝。
  • 刪除對所有更新設定的存取權限。
  • 允許根據流量自動下載連線更新。
  • 不要與驅動程式更新一起下載。

以下設定僅適用於 Windows 10,並且與重新啟動和通知相關:

  • 在活動期間停用更新自動重新啟動。
  • 指定自動重新啟動的有效時間範圍。
  • 指定自動重新啟動以安裝更新的截止日期(2 到 14 天)。
  • 設定通知以提醒您有關自動重新啟動的資訊:增加向使用者發出警告的時間(從 15 分鐘到 240 分鐘)。
  • 停用自動重新啟動通知以安裝更新。
  • 配置自動重新啟動通知,使其在 25 秒後不會自動消失。
  • 不允許更新延遲策略觸發 Windows 更新掃描:如果分配了延遲,此策略將阻止電腦檢查更新。
  • 允許用戶管理重新啟動時間和暫停通知。
  • 配置有關更新的通知(通知的外觀,從 4 到 24 小時)以及有關即將重新啟動的警告(從 15 到 60 分鐘)。
  • 更新電源策略以重新啟動回收站(教育系統的一項設置,即使在使用電池電源時也允許更新)。
  • 顯示更新通知設定:允許您停用更新通知。

Windows 10 和某些舊版的 Windows 中均存在以下策略:

  • 自動更新設定:這組設定可讓您選擇每週、每兩週或每月更新計劃,包括一週中的某一天以及自動下載和​​安裝更新的時間。
  • 指定 Microsoft Update 服務在 Intranet 上的位置:在網域中設定 Windows Server Update Services (WSUS) 伺服器。
  • 允許客戶端加入目標群組:管理者可以使用 Active Directory 安全性群組來定義 WSUS 部署環。
  • 請勿連線到 Internet 上的 Windows 更新位置:防止執行本機更新伺服器的電腦聯絡外部更新伺服器。
  • 允許 Windows 更新電源管理喚醒系統以安裝計劃的更新。
  • 始終在預定時間自動重新啟動系統。
  • 如果系統上有使用者運行,請勿自動重新啟動。

在大型組織(企業)中工作的工具

擁有 Windows 網路基礎架構的大型組織可以繞過 Microsoft 更新伺服器並從本機伺服器部署更新。 這需要企業 IT 部門更加關注,但也增加了公司的彈性。 兩個最受歡迎的選項是 Windows Server Update Services (WSUS) 和 System Center Configuration Manager (SCCM)。

WSUS 伺服器更簡單。 它以 Windows Server 角色運行,並為整個組織提供 Windows 更新的集中儲存。 使用群組原則,管理員將 Windows 10 PC 定向到 WSUS 伺服器,該伺服器充當整個組織的單一檔案來源。 從其管理控制台,您可以批准更新並選擇何時將其安裝在單一電腦或電腦群組上。 可以將 PC 手動指派到不同的群組,也可以使用用戶端定位來根據現有 Active Directory 安全性群組部署更新。

隨著 Windows 10 的累積更新隨著每個新版本的增加而越來越多,它們可能會佔用您很大一部分頻寬。 WSUS 伺服器透過使用快速安裝檔案來節省流量 - 這需要伺服器中有更多可用空間,但會顯著減少發送到客戶端 PC 的更新檔案的大小。

在執行 WSUS 4.0 及更高版本的伺服器上,您也可以管理 Windows 10 功能更新。

第二個選項,System Center Configuration Manager 將功能豐富的 Windows 設定管理員與 WSUS 結合使用來部署品質更新和功能更新。 此儀表板可讓網路管理員監控整個網路中的 Windows 10 使用情況,並建立基於群組的維護計劃,其中包括所有即將結束支援週期的電腦的資訊。

如果您的組織已安裝設定管理員以與早期版本的 Windows 搭配使用,則新增對 Windows 10 的支援相當容易。

來源: www.habr.com

添加評論