Domínio do Windows - remova a Oferta do Win 10 via GP

3

Estou lutando para remover o ícone da área de notificação "Atualizar para o Windows 10" em várias máquinas do Win 7 Pro em um domínio 2008 R2. Nenhum servidor WSUS.

Eu tentei ativar a configuração "Desativar a atualização para a versão mais recente ..." na configuração do computador do meu domínio - > Modelos Administrativos - > Componentes do Windows - > Windows Update, em seguida, gpupdating no meu próprio PC para testar. Reiniciar. Atualize gp novamente. Reiniciar. O ícone ainda está lá.

Eu preciso instalar o WSUS - é um projeto de dia chuvoso que estou planejando há algum tempo. Mas está ensolarado agora e eu tenho mais merda importante para triagem.

Alguma ideia? Obrigado!

Editar: esta pergunta não é duplicada, porque esses hosts fazem parte de um domínio. É fundamentalmente uma situação muito diferente.

Estou procurando uma correção no estilo GP; hacks de registro, um de cada vez nos PCs dos indivíduos, não são algo que eu tenha tempo para fazer.

    
por Tedwin 26.03.2016 / 03:24

1 resposta

4

A Configuração da Diretiva de Grupo impede que a atualização realmente aconteça. Se você clicar no ícone de atualização, receberá uma mensagem informando que o administrador desativou as atualizações. A configuração não elimina o programa de oferta (GWX.exe) se já estiver em execução.

O método oficial de suporte à desativação da atualização do Windows 10 está documentado aqui: link

Aqui está o que eu fiz no meu ambiente, com base no artigo da KB.

Eu defino os seguintes valores do registro:

HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate DisableOSUpgrade=0x1 (DWORD)
HKLM:\SOFTWARE\Policies\Microsoft\Windows\Gwx DisableGwx=0x1 (DWORD)
HKLM:\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade ReservationsAllowed=0x0 (DWORD)

Você pode definir o acima com as preferências de política de grupo. No meu ambiente, tenho um conjunto de scripts do PowerShell que são executados periodicamente em nossas estações de trabalho, então eu os adicionei lá. O método exato é com você. De qualquer forma, eu recomendo que você use um método recorrente para aplicar a configuração do Registro (Diretiva de Grupo, Script de Inicialização, Tarefa Agendada, qualquer que seja) e não um comando único. É possível que uma atualização futura possa redefinir as configurações do registro e causar estragos.

O primeiro valor que eu listei corresponde à configuração da Diretiva de Grupo que você mencionou. Os valores de registro usados pela Diretiva de Grupo estão documentados aqui: link

Observe que o terceiro não é mais documentado pela Microsoft. Eu acredito que foi documentado em um ponto (meus comentários de script dizem que veio da Microsoft), mas não consigo encontrar a fonte. Não tenho certeza se é mais necessário.

Além disso, você deve ter problemas com qualquer computador que já tenha o ícone de oferta de atualização (o GWX.exe está sendo executado). Você precisa de uma tarefa agendada ou semelhante para encontrar e matar todas as instâncias do GWX.exe. Como já tenho um script PowerShell periódico, adicionei este código a ele:

$processes = Get-Process | Where-Object {$_.Path -like "C:\Windows\System32\GWX\*.exe"}

if($processes)
{
    $processes | Stop-Process -Force
}

Como alternativa, você pode usar a Diretiva de Grupo para criar uma tarefa agendada que use o comando TASKKILL para obter a mesma coisa.

Um outro comentário: algumas pessoas têm defendido o declínio das atualizações de segurança que incluem a oferta de atualização. Eu não recomendo isso. Se você seguir o que eu listei acima, você não precisa se preocupar com o que você aprova no WSUS.

    
por 27.03.2016 / 00:58