18
Windows 11 per GPO verhindern
Hallo Admins,
wie kann ich dafür sorgen, daß ich für Windows 10 weiterhin Funktionsupdates bekomme, aber kein Windows 11 angeboten bekomme?
Ich habe folgende GPO gefunden:
Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update -> Windows Update für Unternehmen -> Zielversion des Funktionsupdates auswählen
Hier kann ich jetzt Produktversion, also in meinem Fall Windows 10 konfigurieren.
Ich möchte aber keine Zielversion angeben, da ich Windows 10 Funktionsupdates mit zeitlicher Verzögerung (28 Tage via Registry: HKLM:\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings" -Name "DeferFeatureUpdatesPeriodInDays" -value "28") installieren will.
Funktioniert das so, oder muss ich zwingend eine Zielversion angeben?
Ich habe das mal auf einem Testclient eingerichtet, kriege auch normale Updates angeboten (Funktionsupdate ist gerade nicht in der Pipeline), bin aber etwas verunsichert, da es in der Erklärung zur GPO heisst (das Wörtchen "und" lässt mich zweifeln
):
"Wenn Sie einen ungültigen Wert eingeben, verbleiben Sie in Ihrer aktuellen Version, bis Sie die Werte auf ein unterstütztes Produkt und eine unterstützte Version korrigiert haben."
Falls das so nicht klappt, welche Alternativen habe ich?
Viele Grüße
Potshock
wie kann ich dafür sorgen, daß ich für Windows 10 weiterhin Funktionsupdates bekomme, aber kein Windows 11 angeboten bekomme?
Ich habe folgende GPO gefunden:
Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update -> Windows Update für Unternehmen -> Zielversion des Funktionsupdates auswählen
Hier kann ich jetzt Produktversion, also in meinem Fall Windows 10 konfigurieren.
Ich möchte aber keine Zielversion angeben, da ich Windows 10 Funktionsupdates mit zeitlicher Verzögerung (28 Tage via Registry: HKLM:\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings" -Name "DeferFeatureUpdatesPeriodInDays" -value "28") installieren will.
Funktioniert das so, oder muss ich zwingend eine Zielversion angeben?
Ich habe das mal auf einem Testclient eingerichtet, kriege auch normale Updates angeboten (Funktionsupdate ist gerade nicht in der Pipeline), bin aber etwas verunsichert, da es in der Erklärung zur GPO heisst (das Wörtchen "und" lässt mich zweifeln
):"Wenn Sie einen ungültigen Wert eingeben, verbleiben Sie in Ihrer aktuellen Version, bis Sie die Werte auf ein unterstütztes Produkt und eine unterstützte Version korrigiert haben."
Falls das so nicht klappt, welche Alternativen habe ich?
Viele Grüße
Potshock
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1813721995
Url: https://administrator.de/contentid/1813721995
Printed on: April 25, 2024 at 17:04 o'clock
18 Comments
Latest comment
Hallo,
WSUS ist da hilfreich.
WSUS ist da hilfreich.
Moin
ist bei euch kein WSUS im Einsatz?
Dort einfach das Produkt "Windows 11" nicht wählen bzw. genehmigen und gut ist.
Gruß
ist bei euch kein WSUS im Einsatz?
Dort einfach das Produkt "Windows 11" nicht wählen bzw. genehmigen und gut ist.
Gruß
Hallo,
du brauchst nicht mal einen WSUS. Aktualisiere mal deine ADMX-Templates. Dort gibt es dann unter Admin-Vorlagen, Windows-Komponenten, Windows-Update, Vom Windows Update angebotenen Updates verwalten, die Option:
Zielversion des Funktionsupdates auswählen.
Früher (alte ADMX) konnte da nur die Zielversion für Funktionsupdates hinterlegt werden. 21H2 gilt aber sowohl für Windows 10 als auch 11. Daher gibt es (glaube seit September) bei aktualisierten ADMX die Option die Windows-Produktversion zu hinterlegen. Also in deinem Fall Windows 10.
Gruß
Doskias
du brauchst nicht mal einen WSUS. Aktualisiere mal deine ADMX-Templates. Dort gibt es dann unter Admin-Vorlagen, Windows-Komponenten, Windows-Update, Vom Windows Update angebotenen Updates verwalten, die Option:
Zielversion des Funktionsupdates auswählen.
Früher (alte ADMX) konnte da nur die Zielversion für Funktionsupdates hinterlegt werden. 21H2 gilt aber sowohl für Windows 10 als auch 11. Daher gibt es (glaube seit September) bei aktualisierten ADMX die Option die Windows-Produktversion zu hinterlegen. Also in deinem Fall Windows 10.
Gruß
Doskias
Hallo zusammen,
WSUS ist keine Option, da ein WSUS für das gesamte Unternehmen läuft.
Eine GPO sorgt dafür, das AD Rechner sich ihre Updates von dort besorgen. Dort wird demnächst aber auch Windows 11 angeboten. Diesen WSUS kann ich nicht umgehen.
@ Doskias: Genau von dieser GPO spreche ich ja!
Funktioniert den diese GPO auch wenn ich nur die Produktversion, also Windows 10 angebe.
Das Feld Zielversion möchte ich gerne freilassen, da die Clients alle Funktionsupdates für Windows 10 ziehen sollen.
Ich möchte die GPO nicht immer wieder anfassen um dann dort die nächste Zielversion anzugeben.
Viele Grüße
Potshock
WSUS ist keine Option, da ein WSUS für das gesamte Unternehmen läuft.
Eine GPO sorgt dafür, das AD Rechner sich ihre Updates von dort besorgen. Dort wird demnächst aber auch Windows 11 angeboten. Diesen WSUS kann ich nicht umgehen.
@ Doskias: Genau von dieser GPO spreche ich ja!
Funktioniert den diese GPO auch wenn ich nur die Produktversion, also Windows 10 angebe.
Das Feld Zielversion möchte ich gerne freilassen, da die Clients alle Funktionsupdates für Windows 10 ziehen sollen.
Ich möchte die GPO nicht immer wieder anfassen um dann dort die nächste Zielversion anzugeben.
Viele Grüße
Potshock
Ok, jetzt habe ich dich versanden. Ich weiß es nicht, aber das ist doch was, was du schnell rausfinden kannst. Stelle einfach nur das OS ein und lass das andere leer. Installier einen neuen Rechner und schau was er macht 
Ansonsten: Stell einfach auf 25H2. Wenn Im Oktober 2025 Windows 10 EOL geht, sollte es nach 25H2 nichts mehr geben.
Gruß
Doskias
Ansonsten: Stell einfach auf 25H2. Wenn Im Oktober 2025 Windows 10 EOL geht, sollte es nach 25H2 nichts mehr geben.
Gruß
Doskias
Zitat von @potshock:
Hallo zusammen,
WSUS ist keine Option, da ein WSUS für das gesamte Unternehmen läuft.
Eine GPO sorgt dafür, das AD Rechner sich ihre Updates von dort besorgen. Dort wird demnächst aber auch Windows 11 angeboten. Diesen WSUS kann ich nicht umgehen.
Hallo zusammen,
WSUS ist keine Option, da ein WSUS für das gesamte Unternehmen läuft.
Eine GPO sorgt dafür, das AD Rechner sich ihre Updates von dort besorgen. Dort wird demnächst aber auch Windows 11 angeboten. Diesen WSUS kann ich nicht umgehen.
Das ist jetzt interessant. Du willst das was die Verwaltung euch vorgibt verhindern.
Ich persönlich finde so Späße nicht grad toll.
Hi Doskias,
alles klar, manchmal kommt man auf die einfachsten Dinge nicht.
Das mit 25H2 ist ne gute Idee!
Wünche Dir und allen anderen einen schönen Feierabend
Potshock
alles klar, manchmal kommt man auf die einfachsten Dinge nicht
.Das mit 25H2 ist ne gute Idee!
Wünche Dir und allen anderen einen schönen Feierabend
Potshock
Zitat von @wiesi200:
Das ist jetzt interessant. Du willst das was die Verwaltung euch vorgibt verhindern.
Ich persönlich finde so Späße nicht grad toll.
Da würde ich mir keine Gedanken drüber machen. Er wird schon seine Gründe dafür haben und wenn er die GPOs konfiguriert vielleicht sogar die Rechte Das ist jetzt interessant. Du willst das was die Verwaltung euch vorgibt verhindern.
Ich persönlich finde so Späße nicht grad toll.
Das ist doch das übliche Spiel. Alle müssen künftig auf Windows 11 Upgraden, aber nicht die GFs, die wollen das nicht und kriegen ihren willen. Vielleicht gibt es auch technische Gründe, wie mehrere PCs wo nur einer Windows 11 kompatibel ist und andere nicht, aber mit Roaming-Profilen gearbeitet wird und schon hast du den Salat
WSUS gilt ja erstmal generell, per GPO kannst du dann auf diese speziellen Dinge eingehen. Und aus eigener Erfahrung: Ich kann die Gruppen im WSUS noch so gut benennen (Zum Beispiel Clients ohne Windows 11). Wenn Im WSUS es trotzdem aus Bequemlichkeit für alle gepusht wird, bringt der Name der Gruppe nichts. Die GPO jedoch schon.
Gruß
Doskias
Hi wiesi200,
ich arbeite für eine Fakultät an einer Hochschule. Es gibt hier Rechner im AD und standalone Rechner.
Die im AD befindlichen Rechner der Fakultät sollen weiter mit Windows 10 laufen.
Es gibt aber wohl Fakultäten, welche auch Windows 11 einsetzen.
Diese sollen natürlich auch via WSUS versorgt werden.
Die Verwaltung gibt uns nur vor, daß wir mindestens Windows 10 einsetzen, sie zwingt uns nicht zu Windows 11!
Ich will eben nicht den übergeordneten WSUS übergehen.
Viele Grüße
Potshock
ich arbeite für eine Fakultät an einer Hochschule. Es gibt hier Rechner im AD und standalone Rechner.
Die im AD befindlichen Rechner der Fakultät sollen weiter mit Windows 10 laufen.
Es gibt aber wohl Fakultäten, welche auch Windows 11 einsetzen.
Diese sollen natürlich auch via WSUS versorgt werden.
Die Verwaltung gibt uns nur vor, daß wir mindestens Windows 10 einsetzen, sie zwingt uns nicht zu Windows 11!
Ich will eben nicht den übergeordneten WSUS übergehen.
Viele Grüße
Potshock
Was spricht dagegen im WSUS für die Fakultät eine eigene Gruppe zu machen und dort das upgrade auf W11 zu unterbinden? Denn wenn die GPOs in der Domäne ein Update auf Windows 11 vorsehen, hebelt es deine lokalen GPOs ohnehin aus.
Zitat von @MacLeod:
Was spricht dagegen im WSUS für die Fakultät eine eigene Gruppe zu machen und dort das upgrade auf W11 zu unterbinden? Denn wenn die GPOs in der Domäne ein Update auf Windows 11 vorsehen, hebelt es deine lokalen GPOs ohnehin aus.
Was spricht dagegen im WSUS für die Fakultät eine eigene Gruppe zu machen und dort das upgrade auf W11 zu unterbinden? Denn wenn die GPOs in der Domäne ein Update auf Windows 11 vorsehen, hebelt es deine lokalen GPOs ohnehin aus.
Soweit ich es verstanden habe geht es hier nicht um lokale GPOs, sondern einfach um eine andere Fakultät (hoffentlich eigene OU) und für die eine OU soll halt die Beschränkung auf Windows 10 gelten. Wobei man an der Stelle natürlich auch das Online-Update unterbinden muss. Nur den WSUS als primäre Quelle zu nutzen reicht nicht, wenn die User online Optionale-Updates suchen können. Dann können sie immer noch händisch das Upgrade auf Windows 11 anstoßen.
Gruß
Doskias
Zitat von @Doskias:
Soweit ich es verstanden habe geht es hier nicht um lokale GPOs, sondern einfach um eine andere Fakultät (hoffentlich eigene OU) und für die eine OU soll halt die Beschränkung auf Windows 10 gelten. Wobei man an der Stelle natürlich auch das Online-Update unterbinden muss. Nur den WSUS als primäre Quelle zu nutzen reicht nicht, wenn die User online Optionale-Updates suchen können. Dann können sie immer noch händisch das Upgrade auf Windows 11 anstoßen.
Gruß
Doskias
Zitat von @MacLeod:
Was spricht dagegen im WSUS für die Fakultät eine eigene Gruppe zu machen und dort das upgrade auf W11 zu unterbinden? Denn wenn die GPOs in der Domäne ein Update auf Windows 11 vorsehen, hebelt es deine lokalen GPOs ohnehin aus.
Was spricht dagegen im WSUS für die Fakultät eine eigene Gruppe zu machen und dort das upgrade auf W11 zu unterbinden? Denn wenn die GPOs in der Domäne ein Update auf Windows 11 vorsehen, hebelt es deine lokalen GPOs ohnehin aus.
Soweit ich es verstanden habe geht es hier nicht um lokale GPOs, sondern einfach um eine andere Fakultät (hoffentlich eigene OU) und für die eine OU soll halt die Beschränkung auf Windows 10 gelten. Wobei man an der Stelle natürlich auch das Online-Update unterbinden muss. Nur den WSUS als primäre Quelle zu nutzen reicht nicht, wenn die User online Optionale-Updates suchen können. Dann können sie immer noch händisch das Upgrade auf Windows 11 anstoßen.
Gruß
Doskias
Er schreibt doch , daß die W10 Rechner im AD hängen. Also läßt sich alles mit AD GPO anpassen. Auch Wsus
Zitat von @MacLeod:
Er schreibt doch , daß die W10 Rechner im AD hängen. Also läßt sich alles mit AD GPO anpassen. Auch Wsus
Er schreibt doch , daß die W10 Rechner im AD hängen. Also läßt sich alles mit AD GPO anpassen. Auch Wsus
Klingt vielleicht ein bisschen blöd jetzt, da ich immer dachte, dass ich den WSUS verstanden habe, aber wie kann ich im WSUS für eine Gruppe das Update auf Windows 11 unterbinden. Ja ich kann die Rechner via GPO in 2 WSUS Gruppen teilen. Nennen wir sie einfach mal Win 10 und alles andere. Jetzt kann ich bzw. muss ich beim Freigeben der Updates natürlich darauf aufpassen, dass ich die Windows 11 Upgrades nicht für die Gruppe Win 10 freigeben. Klar. das geht. Ich kann die Updates für die entsprechenden Gruppen separat freigeben. Aber was mach ich wenn der Mitarbeiter der den WSUS bedient (sei es auf Grund von von Vertretung oder Arbeitsaufteilung), die Updates einfach für alle Geräte freigibt. Dann werden diese doch auch für Win 10 gepusht und installiert. Und schon hast du den Salat.
Deswegen halte ich die Verteilung bzw. Begrenzung für die Updates via GPO auf Windows 10 durchaus für sinnvoll, auch wenn es im WSUS separate Gruppen für die Fakultäten gibt. Lasse mich aber auch gerne eines besseren belehren. Ich mach das genau so. Ich habe auch 2 PC-Gruppen, bei denen eine nicht auf Windows 11 geupdatet werden darf und bei der anderen ist es egal. Ich persönlich habe keine Möglichkeit gefunden im WSUS für eine Gruppe das Update auf Windows 11 zu unterbinden, mit Ausnahme der Tatsache, dass bei uns die Updates für Win 11 nicht freigegeben werden.
Gruß
Doskias
Hallo,
nur nochmal zur Klarstellung: Die Universität, zwingt niemanden dazu Windows 11 zu installieren. Würde sie es anordnen, würde ich dies natürlich sofort tun.
Unsere im AD befindlichen Mitarbeiter möchten/sollen weiter Windows 10 nutzen.
Ich habe keinen Einfluss auf den zentralen WSUS und möchte dort auch keine Extrawurst gebraten bekommen (die Jungs und Mädels der zentralen IT haben schon genug um die Ohren), wollte das autark lösen, was ja scheinbar auch mit dieser GPO funktioniert.
Viele Grüße und Frohes Schaffen
Potshock
nur nochmal zur Klarstellung: Die Universität, zwingt niemanden dazu Windows 11 zu installieren. Würde sie es anordnen, würde ich dies natürlich sofort tun.
Unsere im AD befindlichen Mitarbeiter möchten/sollen weiter Windows 10 nutzen.
Ich habe keinen Einfluss auf den zentralen WSUS und möchte dort auch keine Extrawurst gebraten bekommen (die Jungs und Mädels der zentralen IT haben schon genug um die Ohren), wollte das autark lösen, was ja scheinbar auch mit dieser GPO funktioniert.
Viele Grüße und Frohes Schaffen
Potshock
Hätte, wäre, wenn...
Logisch, wenn eine Vertretung im Wsus oder in den GPO rumpfuscht, daß alles für die Katz ist. Aber das ist ein anderes Problem. Gegen Sabotage ist man nie abgesichert. Das ist dann aber ein rechtliches Problem.
Zuweisung zu Wsus Gruppen per GPO, zusätzlich per GPO die Target Version bestimmen, Wsus sauber administrieren und alles wird gut.
Du kannst dich nicht dagegen absichern, das der GPO Admin einfach deine lokalen GPOs löscht, überschreibt oder umbiegt. Ober sticht Unter.
Also sprich mit ihm und mache eine Vereinbarung. An der Uni arbeitet man miteinander. Erst später in real life arbeitet man gegeneinander.
Logisch, wenn eine Vertretung im Wsus oder in den GPO rumpfuscht, daß alles für die Katz ist. Aber das ist ein anderes Problem. Gegen Sabotage ist man nie abgesichert. Das ist dann aber ein rechtliches Problem.
Zuweisung zu Wsus Gruppen per GPO, zusätzlich per GPO die Target Version bestimmen, Wsus sauber administrieren und alles wird gut.
Du kannst dich nicht dagegen absichern, das der GPO Admin einfach deine lokalen GPOs löscht, überschreibt oder umbiegt. Ober sticht Unter.
Also sprich mit ihm und mache eine Vereinbarung. An der Uni arbeitet man miteinander. Erst später in real life arbeitet man gegeneinander.
1Zitat von @MacLeod:
Hätte, wäre, wenn...
Logisch, wenn eine Vertretung im Wsus oder in den GPO rumpfuscht, daß alles für die Katz ist. Aber das ist ein anderes Problem. Gegen Sabotage ist man nie abgesichert. Das ist dann aber ein rechtliches Problem.
Zuweisung zu Wsus Gruppen per GPO, zusätzlich per GPO die Target Version bestimmen, Wsus sauber administrieren und alles wird gut.
Du kannst dich nicht dagegen absichern, das der GPO Admin einfach deine lokalen GPOs löscht, überschreibt oder umbiegt. Ober sticht Unter.
Also sprich mit ihm und mache eine Vereinbarung. An der Uni arbeitet man miteinander. Erst später in real life arbeitet man gegeneinander.
Hätte, wäre, wenn...
Logisch, wenn eine Vertretung im Wsus oder in den GPO rumpfuscht, daß alles für die Katz ist. Aber das ist ein anderes Problem. Gegen Sabotage ist man nie abgesichert. Das ist dann aber ein rechtliches Problem.
Zuweisung zu Wsus Gruppen per GPO, zusätzlich per GPO die Target Version bestimmen, Wsus sauber administrieren und alles wird gut.
Du kannst dich nicht dagegen absichern, das der GPO Admin einfach deine lokalen GPOs löscht, überschreibt oder umbiegt. Ober sticht Unter.
Also sprich mit ihm und mache eine Vereinbarung. An der Uni arbeitet man miteinander. Erst später in real life arbeitet man gegeneinander.
Wieso sprichst du denn immer von lokalen GPOs? @potshock hat das mit keinem Wort erwähnt. Offenbar, so scheint es jedenfalls, gibt es da einige Mitarbeiter die sich um den WSUS kümmern und andere die sich ums AD kümmern. Was die zentrale IT vorgibt und wie viel Spielraum die Fakultäten haben, wissen wir doch gar nicht.
Gruß
Doskias
Dann soll der TO das doch mal aufklären. So wie er schreibt gehe ich von meiner geschilderten Konfiguration aus.
Wenn er selbst der GPO Admin im AD ist, hätte er ja keine Probleme.
Es kann ja prinzipiell nicht sein, daß WSUS Admins und AD Admins komplett autark vor sich hinwurschteln ohne mit den anderen zu sprechen.
Sonst setzen die einen Regeln für Office 2013 während schon alle mit Office 2016 arbeiten. Zumindest meine Uni war da schon immer sehr straff organisiert.
Wenn er selbst der GPO Admin im AD ist, hätte er ja keine Probleme.
Es kann ja prinzipiell nicht sein, daß WSUS Admins und AD Admins komplett autark vor sich hinwurschteln ohne mit den anderen zu sprechen.
Sonst setzen die einen Regeln für Office 2013 während schon alle mit Office 2016 arbeiten. Zumindest meine Uni war da schon immer sehr straff organisiert.
Hi MacLeod,
ich bin weder für die AD noch den WSUS der Gesamtstruktur zuständig. Ich bin Mitarbeiter einer Fakultät und kann im Rahmen dessen auch GPOs für unsere OUs erstellen.
Im Rahmen dessen möchte ich die zentrale IT möglichst von Aufgaben entbinden, welche ich auch alleine lösen kann.
Von umgehen oder gar gegen die zentrale IT arbeiten, kann also keine Rede sein.
Viele Grüße und allen ein schönes Wochenende
Potshock
ich bin weder für die AD noch den WSUS der Gesamtstruktur zuständig. Ich bin Mitarbeiter einer Fakultät und kann im Rahmen dessen auch GPOs für unsere OUs erstellen.
Im Rahmen dessen möchte ich die zentrale IT möglichst von Aufgaben entbinden, welche ich auch alleine lösen kann.
Von umgehen oder gar gegen die zentrale IT arbeiten, kann also keine Rede sein
.Viele Grüße und allen ein schönes Wochenende
Potshock
