どうも、Tです。
WSUSを使うときに抑えておいた方が良いと思ったWindowsUpdate関連のグループポリシーについての備忘録です。
目次
環境
確認した環境の詳細なバージョンなどは後述しますが、共通する内容は下記になります。
- すべてのマシンは、仮想環境に作成した仮想マシン・ゲストOSです。
- すべてのマシンは、インターネットへの接続制限なしで行っています。
- サーバー関連の操作は、Administrator(管理者権限)で行っています。
- クライアントOSは、ADドメインへ参加し、クライアント関連の操作はADドメインユーザーで行っています。
ADサーバー
バージョン
ADサーバーは上図の通りのバージョンです。
- OS:Windows Server 2022
- ビルド:21H2(20348.2340)
- エディション:Datacenter Evaluation
OU
コンピュータが所属するOUとして、「test-computers」の配下に「c-client-test」を作成しています。
検証では「c-client-test」OUを使用します。
WSUSサーバー
バージョン
WSUSサーバーのバージョンは、上図の通りです。
- OS:Windows Server 2022
- ビルド:21H2(20348.2340)
- エディション:Datacenter Evaluation
- WSUSバージョン:10.0.20348.2031
WSUSは、httpsではなくhttpで構成・設定しています。
コンピュータグループ
WSUSサーバー上にコンピュータグループ「c-client-test」を作成し、Windows11関連などの更新プログラムを承認している状態です。
検証では、このコンピュータグループ「c-client-test」を使用します。
WSUSクライアント
バージョン
WSUSクライアントのバージョンは、上図の通りです。
- OS:Windows 11
- ビルド:23H2(22631.2428)
- エディション:Enterprise Evaluation
なお、WSUSクライアント(Windows 11)は、自動スリープなどにならないように、電源構成で常時起動するようにしています。
ADドメインユーザー
WSUSクライアントは、上図のADドメインユーザーを利用しておりDomain Usersに所属しています。
※test-client-usersグループにも追加していますが、このグループは特に権限設定はしていません。
Windows Update関連のグループポリシー
本記事で確認するのは、WSUSに関連の大きい下記に関するグループポリシーです。
「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」の全項目。
Windows Updateグループポリシーの中に、「Windows Update for Business」が含まれますが、今回は無視しています。
「Windows Update for Business」はWSUSと併用することも可能ですが、Windows Updateサービスに直接接続することで更新プログラムを制御するためのグループポリシーです。詳しくは、下記を参照ください。
Windows Update for Business とは?
ちなみに併用することも可能とは書きましたが、併用したときの動作は非常に難解なものになります。
また、併用した際にデュアルスキャンという問題も抱えています。以下の記事では解決したような感じで記載されていますが、インターネット上ではかなり困った記事が散見され今後も類似の問題が発生する可能性がありそうです。
Windows 11向けのグループポリシーについて
Windows 11では、Windows Updateグループポリシー関連が大きく修正されました。Windows 11のローカルグループポリシーを確認すると、上図のようにフォルダー分けがされており、特に従来のポリシー(Legacy Policies)はWindows11(およびWndows10 20H2以降)では、推奨されないポリシーとなっています。
Windows11向けであれば、Windows 11 ADMX テンプレートでAD側のグループポリシーも併せておくべきですが、今回の一番の目的はWSUS全般に向けたポリシーの確認のため、Windows Server 2022をADとして構築した時にデフォルトであるポリシーを使用して記事を書いています。
評価
WSUSを使用する上でWindows Updateポリシーのどれを使用するかどうかの判断を「非推奨」「任意(レガシー)」「任意」「必須」に分類して検証を行いました。
それぞれの評価をどのようにしたのかを先に説明しておきます。
非推奨
以下のブログの「Policies not to set」にある項目は、非推奨としています。Windows11(およびWndows10 20H2以降)向けの内容ですが、今後のWindowsOS全般に共通される認識となるものと思われるためです。また、非推奨のため検証も行っていません。
Why you shouldn’t set these 25 Windows policies
上記のブロブを読むのでいくつか迷う部分があったので、下記に私が見つけられた部分を記載しておきます。
1つ目に、ブログのタイトルが「25 Windows policies」となっていますが、記載されているのは24個です。コメントで突っ込みがありますが、理由は明確になっていません。おそらく書き間違いかなと思っています。
2つ目に、Windows 11の従来のポリシー(Legacy Policies)に含まれるものが推奨されないと説明しているにもかかわらず、非推奨のポリシーには従来のポリシー(Legacy Policies)にないポリシーも含まれています(従来のポリシーの数は18個です)。これも文脈がおかしいですが、従来のポリシー(Legacy Policies)にとらわれず「Policies not to set」に記載のあるものが非推奨と認識して確認しています。
3つ目に、「CSP」という言葉がブログの中で頻出してきます。明確な説明はありませんが「Policy CSP」のことかと思われます。これらは、ADのグループポリシーでは出てこないもののためCSPだけに関する説明は無視しています。
CSPの詳細は下記をご参照ください。
IT 担当者向けの構成サービス プロバイダー
4つ目に、「compliance deadline policies」という言い回しが頻出しますが、グループポリシーには、このような項目はありません。文脈から「更新プログラムをインストールするための自動再起動の期限を指定する」ポリシーのことを指していると思われるため、読み替えて記載しています。
任意(レガシー)
上記の非推奨項目に明記されておらず、Windows 11の従来のポリシー(Legacy Policies)に含まれているポリシーです。おそらく非推奨扱いではあると思いますが、Windows 11で動く可能性があるため検証しています。
任意
非推奨にも任意(レガシー)にも含まれない、要件によって設定する可能性があるポリシーです。
必須
WSUSを使うために設定しないと動作しないポリシーです。
Windows Updateグループポリシーの評価・検証結果サマリ
Windows Server 2022のADに含まれるWindows Updateグループポリシーに関連する評価と検証結果一覧です。
グループポリシーを開いたときに表示される順番でリストしています。
非推奨の説明文は、上記の「Why you shouldn’t set these 25 Windows policies」から簡易的に端折っているので、詳細はブログの方を確認してください。
Windows 11のポリシー配置については、Windows Serevr 2022のADのグループポリシーに含まれるWindows 11のローカルグループポリシーの場所を記載しています。※Windows 11だけに含まれるものについては記載していません。
NO | 設定 | 評価 | 個人的に推測する使用頻度 | 説明 | 検証結果 | Windows11のポリシー配置場所 |
---|---|---|---|---|---|---|
1 | [Windowsシャットダウン]ダイアログボックスで[更新をインストールしてシャットダウン]オプションを表示しない
(英語名) Do not display ‘Install Updates and Shut Down” option in Shut Down Windows dialog box |
非推奨 |
|
|
非推奨のため実施しない。 | 従来のポリシー |
2 | [Windowsシャットダウン]ダイアログボックスの既定のオプションを[更新をインストールしてシャットダウン]に調整しない
(英語名) Do not adjust default option to ‘Install Updates and Shut Down’ in Shut Down Windows dialog box |
非推奨 | ー | Windows 10には実装されておらず、Windows 10またはWindows 11に設定しても効果なし。 | 非推奨のため実施しない。 | 従来のポリシー |
3 | Windows Updateの電源管理を有効にして、システムのスリープ状態が自動的に解除され、スケジュールされた更新がインストールされるようにする | 任意
(レガシー) |
低 | 更新プログラムのインストールがスケジュールされている(「自動更新を構成する」ポリシーのことと思われる)場合、休止状態を解除しインストールを行うかを指定する。
参考:Windows Update の電源管理を有効にして、システムのスリープ状態が自動的に解除され、スケジュールされた更新がインストールされるようにする 未構成の場合は、休止状態の解除は行われず、従来のポリシーで使用は非推奨に近いと思われるため使うことはなさそう。 |
特に重要ではないため検証なし。 | 従来のポリシー |
4 | アクティブ時間内の更新プログラムの自動再起動をオフにします | 任意 | 中 | アクティブ時間を指定する。 | 【WSUS】「アクティブ時間内の更新プログラムの自動再起動をオフにします」グループポリシー | エンドユーザーエクスペリエンスの管理 |
5 | 自動再起動のアクティブ時間範囲を指定する | 任意 | 低 | ユーザーがアクティブ時間を設定できる、開始時刻からの最大時間を指定する。 | 【WSUS】「自動再起動のアクティブ時間範囲を指定する」グループポリシー | エンドユーザーエクスペリエンスの管理 |
6 | 更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する | 任意 | 低 | 従量制課金接続のネットワークの場合の更新プログラムのダウンロード許可を指定する。
挙動が不明瞭なため利用は避けたい。 |
【WSUS】「更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する」グループポリシー | エンドユーザーエクスペリエンスの管理 |
7 | スケジュールされた時刻に常に自動的に再起動する | 任意 | 低 | 少なくとも2024年5月時点のWindows11では意図した動作にならないため使用しない。 | 【WSUS】「スケジュールされた時刻に常に自動的に再起動する」グループポリシー | エンドユーザーエクスペリエンスの管理 |
8 | 更新プログラムをインストールするための自動再起動の期限を指定する
(英語名) Specify deadline before auto-restart for update installation |
非推奨 | ー | 代わりに、No.13の「自動更新と再起動の期限を指定する」ポリシーで「猶予時間が終了するまで自動的に再起動しない」を選択する。 | 非推奨のため実施しない。 | 従来のポリシー |
9 | 更新のための自動再起動リマインダー通知を構成する
(英語名) Configure auto-restart reminder notifications for updates |
非推奨 | ー | 代わりに、No.13の「自動更新と再起動の期限を指定する」ポリシーとデフォルトの通知フローを利用する。 | 非推奨のため実施しない。 | 従来のポリシー |
10 | 更新プログラムをインストールするための自動再起動通知をオフにする
(英語名) Turn off auto-restart notifications for update installations |
非推奨 | ー | デフォルトの通知エクスペリエンスはユーザーに良い体験をもたらすようにできており、通知を無効にするとユーザーの不満につながる。
それでも無効にしたい場合は、No.35の「更新通知の表示オプション」ポリシーを利用する。 |
非推奨のため実施しない。 | 従来のポリシー |
11 | 更新のための自動再起動必須通知を構成する
(英語名) Configure auto-restart required notification for updates |
非推奨 | ー | Windows 10またはWindows 11でサポートされておらず、設定しても効果なし。
|
非推奨のため実施しない。 | 従来のポリシー |
12 | 自動更新を構成する | 任意 | 高 | 個人的見解としては、Server向けOSではこちらを使う方が良い。
更新プログラムのダウンロード・インストールの自動更新に関する設定。 No.13の「自動更新と再起動の期限を指定する」ポリシーを使うと上書きされる。 |
WSUSでパッチを配信するためのグループポリシー設定 | エンドユーザーエクスペリエンスの管理 |
13 | 自動更新と再起動の期限を指定する | 任意 | 高 | 個人的見解としては、クライアント向けOSではこちらを使う方が良い。
更新プログラムのダウンロード・インストールの自動更新に関する設定。 No.12の「自動更新を構成する」を上書きする。 |
【WSUS】「自動更新と再起動の期限を指定する」グループポリシー | エンドユーザーエクスペリエンスの管理 |
14 | イントラネットのMicrosoft更新サービスの場所を指定する | 必須 | 超高 | Windows Update場所にWSUSサーバーを指定するため必須設定。 | WSUSでパッチを配信するためのグループポリシー設定 | Windows Server Update Serviceから提供される更新プログラムの管理 |
15 | 自動更新の検出頻度 | 任意 | 高 | Windows Updateの検出頻度を既定の22時間から変更する。
注: このポリシーを有効にするには、[イントラネットの Microsoft の更新サービスの場所を指定する] 設定を有効にする必要があります。 注: [自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。 |
【WSUS】「自動更新の検出頻度」グループポリシー | Windows Server Update Serviceから提供される更新プログラムの管理 |
16 | Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない
(英語名) Do not allow update deferral policies to cause scans against Windows Update |
非推奨 | ー | Windows 10では動作するが、Windows 11ではサポートされていないため効果がない。
代わりに「Windows Updateの特定のクラスにソースサービスを指定する」ポリシーを利用する。(このポリシーはWindows Server 2022 ADのデフォルトのGPOには含まれないため、Windows11の管理テンプレートを準備する必要があると思われる) |
非推奨のため実施しない。 | 従来のポリシー |
17 | “更新の一時停止”機能へのアクセスを削除する | 任意 | 中 | Windows Updateに関する下記の操作を制御する。
|
【WSUS】「”更新の一時停止”機能へのアクセスを削除する」グループポリシー | エンドユーザーエクスペリエンスの管理 |
18 | Windows Updateのすべての機能へのアクセスを削除する | 任意 | 中 | Windows Updateに関する下記の操作を制御する。
|
【WSUS】「Windows Updateのすべての機能へのアクセスを削除する」グループポリシー | エンドユーザーエクスペリエンスの管理 |
19 | インターネット上のWindows Updateに接続しない | 任意 | 高 | インターネット上のWindows Updateをさせないように制限する(Microsoft Storeも制限される)。
注: このポリシーは、”イントラネットの Microsoft 更新サービスの場所を指定する” ポリシーを使用してイントラネットの更新サービスに接続するようにこの PC が構成されているときにのみ適用されます。 |
【WSUS】「インターネット上のWindows Updateに接続しない」グループポリシー | Windows Server Update Serviceから提供される更新プログラムの管理 |
20 | 非管理者による更新の通知の受信を許可する
(英語名) Allow non-administrators to receive update notifications |
非推奨 | ー | デフォルトでユーザーは更新通知を受け取る。 | 非推奨のため実施しない。 | 従来のポリシー |
21 | 更新プログラムのための再起動猶予期間を移行および通知するスケジュールを指定します
(英語名) Specify Engaged restart transition and notification schedule for updates |
非推奨 | ー | 代わりに、No.13の「自動更新と再起動の期限を指定する」ポリシーとデフォルトの通知フローを利用する。 | 非推奨のため実施しない。 | 従来のポリシー |
22 | Windows Updateからドライバーを除外する | 任意 | 低 | 更新プログラムからドライバ関連を除外する。
WSUSだけ使う場合は、必要ではない。WSUSとWindows Update for Businessを併用するなどWindows Updateを利用する際に検討が必要。 |
特に重要ではないため検証なし。 | Windows Updateから提供される更新プログラムの管理 |
23 | ソフトウェアの通知を有効にする
(英語名) Turn on Software Notifications |
非推奨 | ー | Windows 10 または Windows 11 に実装されていなかった。設定しても効果はない。 | 非推奨のため実施しない。 | 従来のポリシー |
24 | 自動更新を直ちにインストールすることを許可する
(英語名) Allow Automatic Updates immediate installation |
非推奨 | ー | デフォルトでアップデートは自動的にインストールされるため不要。 | 非推奨のため実施しない。 | 従来のポリシー |
25 | 推奨される更新の自動更新を有効にする
(英語名) Turn on recommended updates via Automatic Updates |
非推奨 | ー | Windows 10 または Windows 11 に実装されていなかった。設定しても効果はない。 | 非推奨のため実施しない。 | 従来のポリシー |
26 | スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない
(英語名) No auto-restart with logged on users for scheduled automatic updates installation |
非推奨 | ー | ポリシーの説明通りに機能しない。No.13の「自動更新と再起動の期限を指定する」ポリシーを利用し、ユーザーが意識しない再起動を防ぐために、自動再起動を無効にする。 | 非推奨のため実施しない。 | 従来のポリシー |
27 | スケジュールされたインストール時の再起動を再確認する
(英語名) Re-prompt for restart with scheduled installations |
非推奨 | ー | Windows 10 または Windows 11 に実装されていなかった。設定しても効果はない。 | 非推奨のため実施しない。 | 従来のポリシー |
28 | スケジュールされたインストールの再起動を遅らせる
(英語名) Delay Restart for scheduled installations |
非推奨 | ー | Windows 10には実装されておらず、Windows 10またはWindows 11に設定されても効果なし。 | 非推奨のため実施しない。 | 従来のポリシー |
29 | 自動更新のインストールの予定を変更する
(英語名) Reschedule Automatic Updates scheduled installations |
非推奨 | ー | Windows 10 または Windows 11 に実装されていなかった。設定しても効果はない。 | 非推奨のため実施しない。 | 従来のポリシー |
30 | 更新のための自動再起動警告通知のスケジュールを構成する
(英語名) Configure auto-restart warning notifications schedule for updates |
非推奨 | ー | No.13の「自動更新と再起動の期限を指定する」ポリシーの期限に伴うデフォルトの通知フローを利用する。 | 非推奨のため実施しない。 | 従来のポリシー |
31 | カート再起動の電源ポリシーを更新します
(英語名) Update Power Policy for Cart Restarts |
非推奨 | ー | Windows 10で機能するが、コンプライアンスとデバイスの更新速度が大幅に低下する。
代わりに、デフォルトのアクティブ時間を活用する。 |
非推奨のため実施しない。 | エンドユーザーエクスペリエンスの管理 |
32 | クライアント側のターゲットを有効にする | 任意 | 中 | WSUSクライアント台数が多く、コンピュータの運用を厳密に定められる場合は検討できる。手動でのメンバーシップの変更は行えなくなる。
注: このポリシーは、このコンピューターで指定されている先のイントラネット Microsoft 更新サービスがクライアント側のターゲットをサポートするように構成されているときにのみ適用されます。[イントラネットの Microsoft の更新サービスの場所を指定する] ポリシーが無効か構成されていない場合、このポリシーは有効にはなりません。 |
【WSUS】「クライアント側のターゲットを有効にする」グループポリシー | Windows Server Update Serviceから提供される更新プログラムの管理 |
33 | イントラネットのMicrosoft更新サービスの保存場所にある署名済み更新を許可する | 任意 | 低 | サードパーティによる署名がされているものをWSUSで受け入れる際に必要?
Configuration Managerでは有効にする必要がありそうだが、WSUS単体では不要と思われる。 参考2:Configuration Manager クライアントで Windows Update 配下のポリシーが意図せず未構成になってしまう事象について 参考3:Allow signed updates from an intranet Microsoft update service location |
特に重要ではないため検証なし。 | Windows Server Update Serviceから提供される更新プログラムの管理 |
34 | 特定のクラスのWindows更新プログラムのソースサービスを指定する | 任意 | 低 | 機能更新、品質更新、ドライバ、その他の更新プログラムの分類でWSUSから受信するか、Windows Updateから受信するかを指定できる。
このような分け方をすることはないと思うので、使う必要はなさそう。 |
特に重要ではないため検証なし。 | Windows Server Update Serviceから提供される更新プログラムの管理 |
35 | 更新通知の表示オプション | 任意 | 低 | Windows Update通知を制御する。 | 特に重要ではないため検証なし。 | エンドユーザーエクスペリエンスの管理 |
参考
Microsoftブログ
コミュニティ・ブログ
まとめ
WSUSの問題ではありませんが、Windows Update関連のポリシーはかなり混沌としています。
参考に記載しているMicrosoftブログによれば、以下の2つが大きなポリシーのようですが、要件にもよりますので、1つ1つ確認しながら動作を確認する必要がありそうです。
- 従来のポリシーは使用しない
- 「エンドユーザーエクスペリエンスの管理」の項目はデフォルトを使用する(デフォルトでよい感じになるようになっているため。本当か?と思いますが)。