trotz Gegenmaßnahmen, wird das Upgrade von Windows 10 auf Windows 11 durchgeführt

[Mac_Leod]

Hi,

aktuell wird bei uns das Upgrade auf Windows 11 verhindert.
Hierfür gibt es eine GPO die https://learn.microsoft.com/en-us/a...domain-to-disable-win11-upgrad?page=2#answers nach dieser Anleitung eingerichtet wurde.

Zusätzlich werden alle Upgrates auf dem Firmenweiten WSUS nicht freigegen.
Soweit so gut, nun ist es aber gestern passiert das ein Upgrade "Windows 11 (Consumer-Edition), Version 22H2 de-de x64" ausversehen mit freigegeben wurde.
Durch die aktive GPO bin ich davon ausgegangen das diese nun greift und das installieren unterbindet, aber siehe das beim "herunterfahren und installieren" wurde bei 5 Usern Win11 installiert.
Nun frage ich mich natürlich warum das möglich war.
Ist es normal, das wenn im wsus ein Update freigegeben wird, die domain-gpos auf einmal nichts mehr zu sagen haben?
Was hab ich überehen?

 

[bezelbube]

Eigentlich gar nichts.
Überprüfe ob von der GPO folgende Registrierungseinträge gesetzt wurden:

Spoiler: Regeinträge

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"TargetReleaseVersion"=dword:00000001
"ProductVersion"="Windows 10"
"TargetReleaseVersionInfo"="22H2"

Oder ganz einfach im Bios "TPM" deaktivieren.

 

[Syagrius]

Oder ganz einfach im Bios "TPM" deaktivieren.

Toller Tipp, wenn man nicht gerade Bitlocker verwenden will ;-)

 

[Mac_Leod]

Im Firmenkontext TPM deaktivieren mit aktiven Bitlocker ist eher schlecht
Die Regeln werden auch angezogen, ich versteh es nicht.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    TargetReleaseVersion    REG_DWORD    0x1
    ProductVersion    REG_SZ    Windows 10
    TargetReleaseVersionInfo    REG_SZ    22H2
    ElevateNonAdmins    REG_DWORD    0x1
    WUServer    REG_SZ    https://hq-wsus-2:8531/
    WUStatusServer    REG_SZ    https://hq-wsus-2:8531/
    AcceptTrustedPublisherCerts    REG_DWORD    0x0
    SetDisablePauseUXAccess    REG_DWORD    0x0
    SetUpdateNotificationLevel    REG_DWORD    0x1
    UpdateNotificationLevel    REG_DWORD    0x1
    ManagePreviewBuilds    REG_DWORD    0x0
    DisableWindowsUpdateAccess    REG_DWORD    0x0
    SetAutoRestartNotificationConfig    REG_DWORD    0x1
    AutoRestartNotificationSchedule    REG_DWORD    0xf0
    SetAutoRestartRequiredNotificationDismissal    REG_DWORD    0x1
    AutoRestartRequiredNotificationDismissal    REG_DWORD    0x2
    SetActiveHours    REG_DWORD    0x1
    ActiveHoursStart    REG_DWORD    0x7
    ActiveHoursEnd    REG_DWORD    0x12
    AUPowerManagement    REG_DWORD    0x0
    SetAutoRestartDeadline    REG_DWORD    0x1
    AutoRestartDeadlinePeriodInDays    REG_DWORD    0x2
    AutoRestartDeadlinePeriodInDaysForFeatureUpdates    REG_DWORD    0x2

 

[JB6]

Ich hatte es hiermit gemacht:
https://www.deskmodder.de/blog/2015...en-bzw-blockieren-mit-der-wushowhide-diagcab/

Der alte Laptop hätte sonst seine Grafikkarten Treiber nicht mehr laden können.
Dann lies sich die Native Auflösung nicht mehr einstellen, was schrecklich aussah.

 

[TheCadillacMan]

Da die GPO nur bei Windows Update for Business dokumentiert ist (Use Group Policy to configure Windows Update for Business) würde ich mal davon ausgehen, dass sie nur für WUfB und nicht für die Verteilung über WSUS greift.

Theoretisch die sie ja für WSUS-Umgebungen auch nicht nötig, weil man mit WSUS ja schon Kontrolle über die Upgrades hat.

 

[Mac_Leod]

Ja das ist ein guter Ansatz, wollte nur doppelt abgesichert sein.
Es gibt die Upgrades als Busienss 22h2 und als Consumer 22h2.
Beide patchen die Professional Variante von Windows 10.

Mal sehen ob die GPO bei der Business Version greift, wenn ich den Patch freigebe.

 

[Mac_Leod]

Hat wer einen Plan, wo ich das Update einzeln herunterladen kann?
Im Microsoft Update Catalog find ich es nicht.
Auf Downloadquellen mit .ru hab ich nicht wirklich Lust.