trotz Gegenmaßnahmen, wird das Upgrade von Windows 10 auf Windows 11 durchgeführt

Mac_Leod

Captain
Registriert
Dez. 2001
Beiträge
3.825
Hi,

aktuell wird bei uns das Upgrade auf Windows 11 verhindert.
Hierfür gibt es eine GPO die https://learn.microsoft.com/en-us/a...domain-to-disable-win11-upgrad?page=2#answers nach dieser Anleitung eingerichtet wurde.

Zusätzlich werden alle Upgrates auf dem Firmenweiten WSUS nicht freigegen.
Soweit so gut, nun ist es aber gestern passiert das ein Upgrade "Windows 11 (Consumer-Edition), Version 22H2 de-de x64" ausversehen mit freigegeben wurde.
Durch die aktive GPO bin ich davon ausgegangen das diese nun greift und das installieren unterbindet, aber siehe das beim "herunterfahren und installieren" wurde bei 5 Usern Win11 installiert.
Nun frage ich mich natürlich warum das möglich war.
Ist es normal, das wenn im wsus ein Update freigegeben wird, die domain-gpos auf einmal nichts mehr zu sagen haben?
Was hab ich überehen?
 

Anhänge

  • 1682597844609.png
    1682597844609.png
    318,4 KB · Aufrufe: 299
Eigentlich gar nichts.
Überprüfe ob von der GPO folgende Registrierungseinträge gesetzt wurden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"TargetReleaseVersion"=dword:00000001
"ProductVersion"="Windows 10"
"TargetReleaseVersionInfo"="22H2"
Oder ganz einfach im Bios "TPM" deaktivieren.
 
Im Firmenkontext TPM deaktivieren mit aktiven Bitlocker ist eher schlecht :D
Die Regeln werden auch angezogen, ich versteh es nicht.


Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    TargetReleaseVersion    REG_DWORD    0x1
    ProductVersion    REG_SZ    Windows 10
    TargetReleaseVersionInfo    REG_SZ    22H2
    ElevateNonAdmins    REG_DWORD    0x1
    WUServer    REG_SZ    https://hq-wsus-2:8531/
    WUStatusServer    REG_SZ    https://hq-wsus-2:8531/
    AcceptTrustedPublisherCerts    REG_DWORD    0x0
    SetDisablePauseUXAccess    REG_DWORD    0x0
    SetUpdateNotificationLevel    REG_DWORD    0x1
    UpdateNotificationLevel    REG_DWORD    0x1
    ManagePreviewBuilds    REG_DWORD    0x0
    DisableWindowsUpdateAccess    REG_DWORD    0x0
    SetAutoRestartNotificationConfig    REG_DWORD    0x1
    AutoRestartNotificationSchedule    REG_DWORD    0xf0
    SetAutoRestartRequiredNotificationDismissal    REG_DWORD    0x1
    AutoRestartRequiredNotificationDismissal    REG_DWORD    0x2
    SetActiveHours    REG_DWORD    0x1
    ActiveHoursStart    REG_DWORD    0x7
    ActiveHoursEnd    REG_DWORD    0x12
    AUPowerManagement    REG_DWORD    0x0
    SetAutoRestartDeadline    REG_DWORD    0x1
    AutoRestartDeadlinePeriodInDays    REG_DWORD    0x2
    AutoRestartDeadlinePeriodInDaysForFeatureUpdates    REG_DWORD    0x2
 
Da die GPO nur bei Windows Update for Business dokumentiert ist (Use Group Policy to configure Windows Update for Business) würde ich mal davon ausgehen, dass sie nur für WUfB und nicht für die Verteilung über WSUS greift.

Theoretisch die sie ja für WSUS-Umgebungen auch nicht nötig, weil man mit WSUS ja schon Kontrolle über die Upgrades hat.
 
  • Gefällt mir
Reaktionen: Nero FX
Ja das ist ein guter Ansatz, wollte nur doppelt abgesichert sein.
Es gibt die Upgrades als Busienss 22h2 und als Consumer 22h2.
Beide patchen die Professional Variante von Windows 10.

Mal sehen ob die GPO bei der Business Version greift, wenn ich den Patch freigebe.
 
Hat wer einen Plan, wo ich das Update einzeln herunterladen kann?
Im Microsoft Update Catalog find ich es nicht.
Auf Downloadquellen mit .ru hab ich nicht wirklich Lust.

1682671878175.png
 
Zurück
Oben