Функция двойного сканирования Центра обновления Windows - Автоматическое управление обновлениями

Microsoft дала совершенно новое значение для обновления управления с помощью комбинации Windows Update для бизнеса и Windows в качестве службы; здесь идет Двойное сканирование . Это функция обновления Windows , которая не требует от администраторов одобрения каждого обновления вручную.

«Мы считаем, что это автоматизированное решение для управления - это будущее, и мы хотим обеспечить, чтобы все, кто хочет двигаться к современному (т. е. Cloud-first) управление обновлениями может это сделать ». - Говорит Microsoft.

Что такое двойное сканирование

Двойное сканирование - это поведение клиента Windows Update (WU), которое было введено с Windows 10 1607 автоматически управлять процессом получения обновлений непосредственно из обновлений Windows (WU) и по-прежнему иметь возможность распространять такие материалы, как драйверы или локально опубликованные обновления через WSUS.

Эффективное двойное сканирование означает получение обновлений Windows из Интернета и обновлений, отличных от Windows от WSUS. Двойное сканирование автоматически включается, когда включена комбинация политик групповой политики Windows:

• DeferQualityUpdate
• DeferQualityUpdatePeriodInDays
• PauseQualityUpdate
• DeferFeatureUpdate
• DeferFeatureUpdatePeriodInDays
• PauseFeatureUpdate

Эта модель может использоваться только те предприятия, которые хотят, чтобы WU был основным источником обновлений, в то время как службы Windows Server Update Services (WSUS) предоставляют все другие материалы.

Нежелательная потеря контроля Dual Scan

Двойное сканирование вводит нежелательную потерю контроля для тех, кто все еще хочет продолжать управлять обновлениями по-старому. Ранее к Windows 10 невозможно было непреднамеренно обновить управляемую машину до новой сборки, просто сканировав ее на Windows Update (WU). Это связано с тем, что на этом канале предоставлялись только качественные обновления, как правило, из-за того, что администраторы не обращали внимания на то, что их клиенты сканируют WU, поскольку это никогда не может привести к каким-либо значительным изменениям состояния клиента.

Но с обновлениями функций, предлагаемыми на WU, клиенты, управляемые через WSUS или Configuration Manager, могут получить обновление функций, которое ранее было отклонено его администратором, нажав «Проверить онлайн для обновлений из Microsoft Update» .

Бизнес-контроль в сценарии On-Premises

Поскольку локальные администраторы были справедливо обеспокоены описанным выше сценарием, они выбрали, чтобы включить WU для бизнес-политики, которая позволила им выбирать, когда были получены обновления функций, которые имели запланированный эффект: сканирование по Windows Update больше не было нажато обновления не поддерживаются.

Тем не менее, эта конфигурация также выполнила критерии включения Dual Scan, которые приводят к тому, что машина не контролируется WSUS или Configuration Manager для целей обновлений Windows.

Но как пользователь не может устанавливать неутвержденные обновления функций при сохранении контроля над управлением обновлениями с помощью существующих локальных инструментов?

Microsoft говорит-

«Мы мы получили достаточную обратную связь по этому сценарию, и мы взяли на себя обязательство опубликовать качественное обновление на 1607, которое позволяет использовать средства управления WU для бизнеса даже в локальном сценарии; то есть для сканирования «Проверка в Интернете для обновлений». Вы сможете отложить обновления функций без автоматического перехода на режим двойного сканирования ».

По умолчанию эта политика не может быть настроена, то же самое нужно включить, чтобы гарантировать, что клиент WU ведет себя так, как предполагалось. Microsoft планирует выпустить обновление качества до 1607, выпущенное этим летом.

Чтобы разблокировать этот сценарий

Microsoft указала шаги для немедленного разблокирования сценария. С помощью этих шагов управляемые клиенты могут выполнять сканирование с помощью WSUS / Configuration Manager и обращаться к Microsoft Store. С этой конфигурацией он будет ограничивать обновления функций, которые автоматически устанавливаются на компьютерах, а также ограничивать любой контент обновления, который будет установлен с помощью Центра обновления Windows. Для всех управляемых клиентов корпорация Майкрософт рекомендует использовать следующие обходные пути:

1. Установите для всех политик WU для бизнеса значение Не настроено. Это гарантирует, что вы не находитесь в режиме двойного сканирования.
2. Убедитесь, что вы установили накопительное обновление за ноябрь 2016 года для 1607 или какое-либо накопительное обновление в последнее время.
3. Включить групповую политику. Управление сетью / Интернет-коммуникацией / настройки Интернет-связи. / Отключить доступ ко всем функциям Центра обновления Windows
4. В командной строке с повышенными правами запустите «gpupdate / force», а затем «UsoClient.exe startscan»
5. Откройте пользовательский интерфейс Windows Update (дождитесь завершения сканирования) и наблюдайте:

Microsoft заявила, что активация «Удалить доступ ко всем функциям Центра обновления Windows» не будет полезна для этого сценария. Двойное сканирование также поддерживается в локальном сценарии. Групповая политика включает параметр - Не разрешать политики отсрочки обновления, чтобы вызвать сканирование с помощью Центра обновления Windows. Для полного ознакомления с данной темой посетите Microsoft.