10
Windows Update verlässlich Deaktivieren
Hallo zusammen,
ich bin in meinem Betrieb (Hörfunksender) für die 24/7 Rechner (Ausspielrechner, Mischpultsteuerung etc) zuständig.
Ich mache den Job jetzt schon seit 1996 und habe die Evolution von Windows NT 3.51 (was ich mir manchmal zurückwünschte) über NT 4.0, Win2000, XP, Win7 und eben jetzt Win10 mitgemacht.
Trotz WSUS und GPO die eigentlich nur Manuelle Updates zulassen soll, hat eine Maschine dieser Tage ohne unser hinzutun ein Major Update 180irgendwas auf 1903 nebst Neustart hingelegt.
Hat irgendwer eine Idee wie man ALLE Updates oder zumindest die Major Updates entweder deaktivieren kann, oder zumindest verlässlich so einstellen kann das sie keinen automatischen Neustart erzwingen?
Zum Glück war es ein nicht ganz so wichtiges System was mir den Ärger bereitete. Im Sendedstudio wäre das doof gewesen, wir haben zwar Redundanz, aber erstmal ist für einen Moment Ruhe!
Nicht falsch verstehen, ich will die Rechner schon up to Date halten, aber eben dann wann ich es will und nicht wann Microsoft es will.
Also wenn jemand eine Idee hat gern her damit, im Netz ist nicht allzuviel zum Thema "Win 10 preparing for 24/7 service" zu finden. Ich habe zwar schon ein paar Hacks gefunden - Systemuser die Rechte nehmen UsoClient.exe auszuführen - aber das fühlt sich für mich nicht gut an.
Falls jetzt jemand kommt, dass man einen 24/7 Betrieb mit Windows eh nicht machen sollte, kann ich nur sagen das wir mit Win2000 Uptimes von mehreren Jahren hinbekommen haben. (Win95/98, Vista und Windows 8 haben wir natürlich ausgelassen)
Vielen Dank für nützliche Hinweise
ich bin in meinem Betrieb (Hörfunksender) für die 24/7 Rechner (Ausspielrechner, Mischpultsteuerung etc) zuständig.
Ich mache den Job jetzt schon seit 1996 und habe die Evolution von Windows NT 3.51 (was ich mir manchmal zurückwünschte) über NT 4.0, Win2000, XP, Win7 und eben jetzt Win10 mitgemacht.
Trotz WSUS und GPO die eigentlich nur Manuelle Updates zulassen soll, hat eine Maschine dieser Tage ohne unser hinzutun ein Major Update 180irgendwas auf 1903 nebst Neustart hingelegt.
Hat irgendwer eine Idee wie man ALLE Updates oder zumindest die Major Updates entweder deaktivieren kann, oder zumindest verlässlich so einstellen kann das sie keinen automatischen Neustart erzwingen?
Zum Glück war es ein nicht ganz so wichtiges System was mir den Ärger bereitete. Im Sendedstudio wäre das doof gewesen, wir haben zwar Redundanz, aber erstmal ist für einen Moment Ruhe!
Nicht falsch verstehen, ich will die Rechner schon up to Date halten, aber eben dann wann ich es will und nicht wann Microsoft es will.
Also wenn jemand eine Idee hat gern her damit, im Netz ist nicht allzuviel zum Thema "Win 10 preparing for 24/7 service" zu finden. Ich habe zwar schon ein paar Hacks gefunden - Systemuser die Rechte nehmen UsoClient.exe auszuführen - aber das fühlt sich für mich nicht gut an.
Falls jetzt jemand kommt, dass man einen 24/7 Betrieb mit Windows eh nicht machen sollte, kann ich nur sagen das wir mit Win2000 Uptimes von mehreren Jahren hinbekommen haben. (Win95/98, Vista und Windows 8 haben wir natürlich ausgelassen)
Vielen Dank für nützliche Hinweise
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 521302
Url: https://administrator.de/contentid/521302
Ausgedruckt am: 26.11.2024 um 20:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
wenn du schon einen funktionierenden Wsus einsetzt ist das ja die halbe Miete.
Dann per GPO Zugriff auf "Windows Update Internet Adressen blockieren. Alle weiteren gewünschten Konfigurationen vornehmen.
Ganz ohne Updates sollten die Kisten aber nicht da stehen wenn diese ja nun Internet Zugriff habe.
Ist das eingesetzte Release allerdings EOL kann dir keiner versichern, das Windows nicht doch noch die Onlineserver kontaktiert. Also wäre hier nur die Option kein Internet bereit zu stellen.
Des weiteren kann der Neustart granular definiert werden. Zu beachten ist aber das Kleingedruckte in der GPO Beschreibung. Diese heben sich teils gegeneinander auf!
Gruß
Spirit
wenn du schon einen funktionierenden Wsus einsetzt ist das ja die halbe Miete.
Dann per GPO Zugriff auf "Windows Update Internet Adressen blockieren. Alle weiteren gewünschten Konfigurationen vornehmen.
Ganz ohne Updates sollten die Kisten aber nicht da stehen wenn diese ja nun Internet Zugriff habe.
Ist das eingesetzte Release allerdings EOL kann dir keiner versichern, das Windows nicht doch noch die Onlineserver kontaktiert. Also wäre hier nur die Option kein Internet bereit zu stellen.
Des weiteren kann der Neustart granular definiert werden. Zu beachten ist aber das Kleingedruckte in der GPO Beschreibung. Diese heben sich teils gegeneinander auf!
Gruß
Spirit
Die Frage gab es vor kurzem erst hier
Windows Updates effektiv unterdrücken
Windows Updates effektiv unterdrücken
Moin,
klingt erstmal nach Symptombekämpfung was du vorhast.
Ziehen die GPOs denn bei dem einen Rechner? Lässt sich irgendwie rausfinden warum er ungewollt das Update gemacht hat?
Den Windows Update Dienst zu deaktivieren und nur anzuschalten wenn man Updates machen möchte wäre eine Möglichkeit.
Grüße
klingt erstmal nach Symptombekämpfung was du vorhast.
Ziehen die GPOs denn bei dem einen Rechner? Lässt sich irgendwie rausfinden warum er ungewollt das Update gemacht hat?
Den Windows Update Dienst zu deaktivieren und nur anzuschalten wenn man Updates machen möchte wäre eine Möglichkeit.
Grüße
Zitat von @Bitboy:
Den Windows Update Dienst zu deaktivieren und nur anzuschalten wenn man Updates machen möchte wäre eine Möglichkeit.
Das reicht nicht, der wird durch einen versteckten System-Watchdog-Task regelmäßig (alle 7 Tage) wieder aktiviert, wenn dann muss dieser auch beachtet werden. Dieser kann nur mit "System" Rechten modifiziert werden:Den Windows Update Dienst zu deaktivieren und nur anzuschalten wenn man Updates machen möchte wäre eine Möglichkeit.
psexec -i -s schtasks /change /tn "microsoft\windows\WaaSMedic\PerformRemediation" /disable
Zitat von @derdoctor:
Trotz WSUS und GPO die eigentlich nur Manuelle Updates zulassen soll, hat eine Maschine dieser Tage ohne unser hinzutun ein Major Update 180irgendwas auf 1903 nebst Neustart hingelegt.
Trotz WSUS und GPO die eigentlich nur Manuelle Updates zulassen soll, hat eine Maschine dieser Tage ohne unser hinzutun ein Major Update 180irgendwas auf 1903 nebst Neustart hingelegt.
Enterpriseedition kaufen und somit die Upgrades in voller Kontrolle haben, ansonsten darauf achten, dass nur aktuell unterstützte Releases eingesetzt werden und eben manuell rechtzeitig aktualisieren oder per WSUS das Upgrade freigeben.
Die 180irgendwas wird eine 1803 gewesen sein und da ist mit offiziellem Rollout der 1909 nun einfach Ende Gelände, außer eben man hat Enterprise oder Education oder LTSC.
Es gilt also nicht die Updates vollständig abzuschalten, sondern den hausinteren Update- & Upgradeprozess entsprechend anzupassen.
Immerhin hat man für die "dann, wenn ich es will"-Variante mittlerweile 1,5 Jahre Zeit.
Zitat von @Bitboy:
Den Windows Update Dienst zu deaktivieren und nur anzuschalten wenn man Updates machen möchte wäre eine Möglichkeit.
Den Windows Update Dienst zu deaktivieren und nur anzuschalten wenn man Updates machen möchte wäre eine Möglichkeit.
Das bringt nichts mehr. Windows 10 repariert sich in der Hinsicht selbst und aktiviert den Dienst nach ein paar Stunden von alleine.
Hallo,
Gruppenrichtlinien ;)
Viele Grüße,
Christian
certifiedit.net
Hat irgendwer eine Idee wie man ALLE Updates oder zumindest die Major Updates entweder deaktivieren kann, oder zumindest verlässlich so einstellen kann das sie keinen automatischen Neustart erzwingen?
Gruppenrichtlinien ;)
Viele Grüße,
Christian
certifiedit.net
Zitat von @Spirit-of-Eli:
Das bringt nichts mehr. Windows 10 repariert sich in der Hinsicht selbst und aktiviert den Dienst nach ein paar Stunden von alleine.
Zitat von @Bitboy:
Den Windows Update Dienst zu deaktivieren und nur anzuschalten wenn man Updates machen möchte wäre eine Möglichkeit.
Den Windows Update Dienst zu deaktivieren und nur anzuschalten wenn man Updates machen möchte wäre eine Möglichkeit.
Das bringt nichts mehr. Windows 10 repariert sich in der Hinsicht selbst und aktiviert den Dienst nach ein paar Stunden von alleine.
Kaputtrepariert...
Ich hab zeitweise ne 2. GPO genutzt und der eine höhere Priorität gegeben. Darin wird die Verbindung mit MS Updatediensten deaktiviert und nen interner Server angegeben der nicht existiert. Je nachdem ob man die GPO aktiviert oder deaktiviert verbindet sich der Client mit dem richtigen Server oder eben gar nicht. Fand ich aber immer irgendwie unelegant.
Hallo zusammen,
vielen Dank für die vielen guten Hinweise. Beim durchlesen des Threads und durchschauen meiner Systeme, ist mir aufgefallen dass die betroffene "Kiste" eine der ersten 10er ist die wir machen mussten (Hardwarebedingt, keine Win 7 Treiber) und da hatten wir unsere Enterprise noch nicht im Einsatz!
Daher greift womöglich das Abschalten der automatischen Updates in der GPO nicht. Mir wurde mal von einem MCSE gesagt das die allermeisten win 7 GPO's auch bei Win 10 noch greifen, vielleicht doch nicht?
Vielen Dank
Gruß Doc
vielen Dank für die vielen guten Hinweise. Beim durchlesen des Threads und durchschauen meiner Systeme, ist mir aufgefallen dass die betroffene "Kiste" eine der ersten 10er ist die wir machen mussten (Hardwarebedingt, keine Win 7 Treiber) und da hatten wir unsere Enterprise noch nicht im Einsatz!
Daher greift womöglich das Abschalten der automatischen Updates in der GPO nicht. Mir wurde mal von einem MCSE gesagt das die allermeisten win 7 GPO's auch bei Win 10 noch greifen, vielleicht doch nicht?
Vielen Dank
Gruß Doc
Hallo,
eine Zeit lang konnte man die Internetverbindung als "getaktete Verbindung" definieren und irgendwo einstellen, dass über getaktete Verbindungen keine Updates geladen werden.
Gruß,
Jörg
eine Zeit lang konnte man die Internetverbindung als "getaktete Verbindung" definieren und irgendwo einstellen, dass über getaktete Verbindungen keine Updates geladen werden.
Gruß,
Jörg
