どうも、Tです。
WSUSを使うとき、WSUSクライアントからWindows Updateの更新の一時停止を制御する以下のグループポリシーの検証の備忘録です。
- “更新の一時停止”機能へのアクセスを削除する
環境
バージョン
検証環境については、下記記事の「環境」をご参照ください。
事前に設定しているグループポリシー
以下のグループポリシーは事前に設定済みの環境で確認しています。
- 自動更新を構成する
- イントラネットのMicrosoft更新サービスの場所を指定する
設定の詳細は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の検証結果を参照してください。
GPOが未構成の場合
「”更新の一時停止”機能へのアクセスを削除する」ポリシーが未構成の場合に操作できる項目について記載します。
Windows Update画面の「更新の一時停止」の項目が操作できます。
GPO設定
事前に作成しておいたWSUSクライアントが所属する「c-client-test」OUを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。
GPO名「windowsupdate-17」を入力し「OK」をクリックします。
17の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。
個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。
GPOが作成されたら右クリックから「編集」をクリックします。
「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「”更新の一時停止”機能へのアクセスを削除する」をダブルクリックします。
「有効」を選択し「OK」をクリックします。
GPO設定後
GPO設定後、WSUSクライアントを再起動するか「gpupdate /foce」コマンドでグループポリシーを反映します。
Windows Update画面の「更新の一時停止」の項目がグレーアウトして操作が行えなくなります。
注意点
「更新の一時停止」の操作については、「Windows Updateのすべての機能へのアクセスを削除する」ポリシーでも操作をできないようにすることができます。
まとめ
「”更新の一時停止”機能へのアクセスを削除する」ポリシーについては、「Windows Updateのすべての機能へのアクセスを削除する」ポリシーでは削除させない下記のようなパターンが判断ポイントになりそうです。
| 項目 | GPO 未構成 | GPO 適用 |
|---|---|---|
| 更新プログラムのチェック | 操作可能 | 操作可能 |
| 更新の一時停止 | 操作可能 | 操作不可 |
| 最新の状態にしてください | 操作可能 | 操作可能 |
逆に言えば「Windows Updateのすべての機能へのアクセスを削除する」ポリシーを有効にしていれば、「”更新の一時停止”機能へのアクセスを削除する」ポリシーは不要です。