【WSUS】「アクティブ時間内の更新プログラムの自動再起動をオフにします」グループポリシー

どうも、Tです。

WSUSを使うとき、WSUSクライアントからWindows Updateの検出間隔を制御する以下のグループポリシーの検証の備忘録です。

環境

検証環境については、下記記事の「環境」をご参照ください。

以下のグループポリシーは事前に設定済みの環境で確認しています。

設定の詳細は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の検証結果を参照してください。

「アクティブ時間内の更新プログラムの自動再起動をオフにします」ポリシーは上記のポリシーに依存するものではありませんが、他検証と環境を合わせるために設定しています。

「アクティブ時間内の更新プログラムの自動再起動をオフにします」ポリシーが未構成の場合の項目について記載します。

「設定」->「Windows Update」->「詳細オプション」画面で「最新の状態にしてください」「アクティブ時間」が操作できるようになっています。

事前に作成しておいたWSUSクライアントが所属する「c-client-test」OUを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。

GPO名「windowsupdate-4」を入力し「OK」をクリックします。

4の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。

個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。

GPOが作成されたら右クリックから「編集」をクリックします。

「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「アクティブ時間内の更新プログラムの自動再起動をオフにします」をダブルクリックします。

「有効」を選択し開始に「８ AM」、終了に「2 AM」選択し「OK」をクリックします。

ヘルプ欄に下記の注意事項がありますが、1つ目のポリシーは、「スケジュールされた自動更新のインストールで、ログインしているユーザーがいる場合には自動的に再起動しない」ポリシーのことだと思われます。また、このポリシーはWindows11では非推奨扱いです。

次の 2 つのポリシーのいずれかが有効な場合、このポリシーは無効です:
1. ユーザーがログオンしているときは、スケジュールされた自動更新プログラムのインストール時に自動再起動を行わない。
2. スケジュールされた時刻に常に自動的に再起動する。

GPO設定後、WSUSクライアントを再起動するか「gpupdate /foce」コマンドでグループポリシーを反映します。

「最新の状態にしてください」はグレーアウトで操作できなくなり、「アクティブ時間」は項目そのものが表示されなくなりました。

アクティ時間を画面から確認できなくなりましたが、レジストリで確認することができます。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

レジストリキー	キーの種類	値
ActiveHoursEnd	REG_DWORD	0 から 23: アクティブ時間を特定の時間で終了するように設定すると、午前 12 時 (0) から始まり、午後 11 時 (23) で終わります
ActiveHoursStart	REG_DWORD	0 から 23: 特定の時間から始まるアクティブ時間を午前 12 時 (0) に設定し、午後 11 時 (23) で終わる
SetActiveHours	REG_DWORD	0: アクティブ時間外の更新後に自動更新を無効にする 1: アクティブ時間外の更新後に自動更新を有効にする