Configurando Atrasos de Atualizações Automáticas do WSUS

1

Neste momento, temos dois grupos de computadores configurados no nosso servidor WSUS (2012R2). Um é um grupo de lançamento antecipado para testes e o outro é o grupo de produção com todas as outras estações de trabalho.

Temos atualizações automáticas configuradas para o primeiro grupo, mas não para o segundo. O que significa que atualmente temos que aprovar manualmente as atualizações para o grupo de produção. Gostaria de poder automatizar a implantação de atualizações no grupo 2, mas infelizmente isso significaria que não poderíamos examinar as atualizações antes do lançamento. No entanto, se pudéssemos configurar Atualizações automáticas para o grupo de produção de uma forma que nos permitisse impedir que a atualização fosse instalada na primeira ou segunda semana de lançamento, isso nos daria tempo para examinar adequadamente as atualizações antes de liberar eles para o grupo de produção.

Basicamente, estou pensando se há alguma maneira de configurar um agendamento de atraso no WSUS, no qual uma atualização será aplicada ao grupo de versões anteriores no dia da disponibilidade e, em seguida, duas semanas depois, ele será automaticamente aprovado para o grupo de produção, mas não antes disso.

Se não há como configurar isso no WSUS nativamente, você sabe de algum programa que nos ajudaria a fazer isso?

    
por Jason Desjardins 02.11.2018 / 20:25

1 resposta

1

Para que as atualizações se apliquem a um grupo de teste seguido por todos os outros, basicamente o que você está tentando fazer, defino um horário de instalação na Diretiva de Grupo para o grupo de teste de computadores (o próximo fim de semana, por exemplo) e em seguida, finalize as atualizações por uma semana após a data do teste. Há também uma opção de Diretiva de Grupo (que eu admito que não usei) que remove o acesso aos recursos do Windows Update.

Na Diretiva de Grupo: em Configuração do computador - > Políticas - > Modelos Administrativos - > Componentes do Windows - > Windows Update (que você provavelmente já encontrou, já que você está usando o WSUS em primeiro lugar).

NoconsoledoWSUS,emOpções->AprovaçõesAutomáticas.

Sevocêquiseraplicá-lasaogrupodetestenomesmodia,poderáencerrarautomaticamentenovasatualizações14diasdepois.

Aopção"Remover o acesso para usar todos os recursos do Windows Update" também está em Configuração do computador - > Políticas - > Modelos Administrativos - > Componentes do Windows - > atualização do Windows

Eunãoimaginoqueissopossaimpediralguémdeinserirwuauclt/detectnownalinhadecomando. A documentação sobre esta política diz:

By enabling the Group Policy setting under Computer Configuration\Administrative Templates\Windows Components\Windows update\Remove access to use all Windows update features, administrators can disable the "Check for updates" option for users. Any background update scans, downloads and installations will continue to work as configured.

Você provavelmente precisaria testá-lo para ver se a linha de comando causaria uma notificação pop-up. Em caso afirmativo, há ( ou costumava ser ) uma chave de registro que suprime as notificações que devem ser passíveis de script para um valor de 0.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutoTrayNotify 
    
por 02.11.2018 / 20:57