Windows 10 Enterprise: Updates deaktivieren

[LukeLR101]

Hallo zusammen,

ich habe ein merkwürdiges Problem auf einem Windows 10 Enterprise-System. Ich möchte gerne die automatischen Updates deaktivieren, sodass nur manuell beim Klicken des Buttons in Windows Update Updates gemacht werden. Dementsprechend habe ich in den Gruppenrichtlinien, wie einschlägig im Internet empfohlen wird, die Richtlinie "Configure Windows Update" auf "disabled" gesetzt. Die dazugehörige Beschreibung besagt:

If the status for this policy is set to Disabled, any updates that are available on Windows Update must be downloaded and installed manually. To do this, search for Windows Update using Start.

Von meinem Verständnis her sollten also dadurch keine automatischen Updates mehr durchgeführt werden. Allerdings sagt Windows Update, selbst nach einem Neustart, immer noch: "Available updates will be downloaded and installed automatically". Und das passiert auch, sobald der Rechner den Update-Server erreichen kann, werden Updates heruntergeladen und installiert.

Ich habe deshalb auch schon in der Registry überprüft, ob der entsprechende Schlüssel "NoAutoUpdate", wie an vielen Stellen im Internet beschrieben, vorhanden ist. Der Schlüssel wird ordnungsgemäß angelegt, sobald die Updates per Gruppenrichtlinie deaktiviert werden. Alles ist hier im Screenshot zu sehen:

Ich habe darüber hinaus für die Gruppenrichtlinie "Configure Windows Update" auch schon den Wert "2 - Notify before downloading and installing any updates." ausprobiert. Dies hat auch nicht geholfen, obwohl laut der Beschreibung auch keine Updates gemacht werden sollten:

When Windows finds updates that apply to this computer, users will be notified that updates are ready to be downloaded. After going to Windows Update, users can download and install any available updates.

Hat jemand vielleicht eine Idee, warum Windows die Gruppenrichtlinien hier so konsequent ignoriert? Andere Einstellungen an den Gruppenrichtlinien für Windows Update werden umgesetzt, es kann also nicht generell an den Gruppenrichtlinien liegen. Aber wieso macht der Rechner immer noch automatisch Updates, auch wenn es die Gruppenrichtlinien bzw. die Registry verbieten? Über jegliche Hinweise würde ich mich freuen, vielen Dank!

 

[Fujiyama]

Ist bei euch in der Firma/Betrieb nur ein einzelnes Gerät betroffen?

 

[cumulonimbus8]

Dummstell:
Greift eine andere Richtlinie eine Ebene höher ein und setzt diese Anti-Update-Richtlinien außer Kraft?

→ Ich habe immer Zweifel an Leuten die mal eben die Updates aussetzen wollen, aber offenbar keine wirklichen Erfahrungen im ganzen Umgang mit diesen Dingen aufweisen können (so wie es anklingt).
→ Wenn es keinen ernsthaften Grund dazu gibt - Abstürze weil ein Update fehlerhaft ist - dann kommt es mir immer so vor als wäre das Ei User klüger als die Henne MS.

Enterprise… Das hat ein Unternehmen aber kein einfacher User für sich daheim. Wie oben angedeutet: hat da jemand oder etwas die Daumen drauf keine Updates sperren zu können?

CN8

 

[LukeLR101]

Es handelt sich um einen Rechner, der an ein Messinstrument angeschlossen ist, und der nur kontrolliert Updates erhalten soll. Ansonsten kommen bei uns Linux-Systeme zum Einsatz, sodass sich dieses Problem sonst nicht stellt. Aber diese Plattform setzt eben leider ein Windows-System vorraus. Wir haben administrativen Vollzugriff auf das System, und wenn ich mir die resultierenden Gruppenrichtlinien anschaue (entweder über rsop.msc oder über gpresult in der PowerShell) sehe ich auch, dass diese Gruppenrichtlinie angewendet wird.

 

[SPB]

Bei den "normalen" Windows 10-Versionen (Home+Pro) kann man folgendes machen:

• Netzwerkverbindung als "getaktete Verbindung" deklarieren
• automatische Updates über getaktete Verbindung nicht erlauben

Vielleicht gibt es das auch bei der LTSC.

 

[AndyMutz]

also ich kann dir sagen, dass der NoAutoUpdate registry key absolut ausreicht, denn ich nutze ihn auch auf all meinen enterprise installationen und dort werden nie updates automatisch installiert.
die GPO habe ich noch nie konfiguriert, ist also nicht nötig um updates zu blocken. eventuell liegt hier dein fehler, weil du die auch zusätzlich konfiguriert hast.

-andy-

 

[LukeLR101]

Vielen Dank schonmal für die zahlreichen Antworten! Ich habe jetzt mal in der Gruppenrichtlinie die "Configure Windows Update" auf den Standardwert zurückgesetzt. Damit ist auch der Registry-Eintrag NoAutoUpdate wieder verschwunden. Anschließend habe ich diesen neu angelegt und wieder auf den Wert 1 gesetzt. Bei Windows Update ändert sich allerdings leider nichts, auch nach einem Neustart.

Die Netzwerkverbindung als getaktet festzulegen habe ich auch schon probiert, es handelt sich aber um eine Ethernet-Verbindung, und dafür hat Windows wohl nicht vorgesehen, dass die getaktet sein können. Dementsprechend gibt es diese Option scheinbar leider nicht.

 

[cumulonimbus8]

Um mir das Maul zu verbrennen: dies Richtlinien kann man so wenig «auf Standard» zurücksetzen wie das für Einträge in der Registry unmittelbar gilt. Da hat sich MS für mich blamiert; nicht mal Zeitstempel für Einträge werden geführt, dazu wäre wohl in dem »Riesenhaufen Datenüll« kein Platz gewesen…

Es ist möglich, dass WIN so verbogen ist, dass man den Stecker ziehen muss.

Frage: Warum braucht eine Maschine mit Messintrumet[en] unbedingt Enterprise? Wie gesagt, so was hat man eigentlich nicht als Einzellizenz zu leigen, und nur das Tollste/Teuerste zu kaufen weil man das Firma kann ist nicht der Königsweg.
Ist da evtl. doch eine IT dazwischen die »stört«?

CN8

 

[LukeLR101]

Die Gruppenrichtlinien haben den Wert "Aktiviert", "Deaktiviert" und "Nicht konfiguriert", letzterer war zumindest in unserem Fall der Standardwert bei den Windows-Update-Gruppenrichtlinien. Kann natürlich sein, dass das nicht überall in den Gruppenrichtlinien der Fall ist, aber zumindest bei uns war unter Windows Update ursprünglich nichts konfiguriert, deshalb meine ich das mit Standardwert Es stimmt aber natürlich, dass es nicht viel Aufwand und gleichzeitig sehr hilfreich gewesen wäre, einen Standardwert für die Einträge zu hinterlegen, oder einen Zeitstämpel / Änderungsprotokoll mitzuführen.

Und es ist eine Enterprise-Lizenz, weil man die Instrumente zusammen mit Rechner und Windows-Lizenz als Paket kauft, die Hersteller der Instrumente wollen vermutlich neben ihren eigenen Produkten auch noch mit der Hardware und den Windows-Lizenzen Geld verdienen. Da hat man dann keine Wahl, da kriegt man halt nur das, was angeboten wird. Die Hersteller kümmern sich aber nur um ihre eigene Software, den Rest muss man selbst machen.

 

[cumulonimbus8]

"Nicht konfiguriert"

Wie gesagt, man erschlage mich, aber genau das ist dieser Haken!

Ein Bit (wer den Film TRON kennt weiß was ich meine…) ist entweder gesetzt oder nicht gesetzt, 1 oder 0. «Nicht konfiguriert» ist ein schizophrener Zustand ›davor‹ den man beeinflusst, umschaltet, aber nicht wieder ›rückwärts‹ erreichen kann (außer man hat ein äußeres Backup).

Es ist für mich daher denkbar, dass sowohl «Ein» wie «Aus» eine wirksam falsche Einstellung sind. MS halt…

Oder (Gott bewahre, reines Herumraten) ein Setzen von Etwas ›weiter unten‹ erzwingt ›weiter oben‹ eine Reaktion die nicht augenfällig ist, aber (möglich…) den Bit-Schalter dort falsch setzt und man kann dann ›unten‹ tun was man will, es bewirkt nichts.

CN8

 

[Rickmer]

Im Zweifelsfall kann man dem PC auch einen frei erfundenen WSUS einstellen. Dann schafft der auch nie, Updates zu ziehen...

Ein Bit (wer den Film TRON kennt weiß was ich meine…) ist entweder gesetzt oder nicht gesetzt, 1 oder 0. «Nicht konfiguriert» ist ein schizophrener Zustand ›davor‹ den man beeinflusst, umschaltet, aber nicht wieder ›rückwärts‹ erreichen kann (außer man hat ein äußeres Backup).

Bei GPOs steht eigentlich immer daneben, welcher Standard-Zustand angewendet wird wenn es nicht durch eine GPO exakt definiert ist...

 

[TorenAltair]

Braucht die Maschine überhaupt Internetzugriff?

 

[AndyMutz]

Bei Windows Update ändert sich allerdings leider nichts, auch nach einem Neustart.

welche änderung erwartest du denn?
der registry key bewirkt nur, dass windows keine windows updates mehr automatisch installiert.
wenn du selbst nach windows updates suchst, dann wird alles installiert was gefunden wird.

-andy-

 

[snaxilian]

Ein Bit (wer den Film TRON kennt weiß was ich meine…) ist entweder gesetzt oder nicht gesetzt, 1 oder 0.

Ich empfehle den Film noch einmal zu gucken, wenn man es ganz genau nimmt, hat das Bit drei Zustände. Ja, Nein und still/wartend/existent Ist vermutlich einfach der Darstellung im Film geschuldet^^

@LukeLR101 Ich könnte mir vorstellen, dass das System einfach noch Kenntnisse über Updates aus der Zeit vor der Konfiguration hat. Daher erneut die gewünschten Einstellungen per GPO setzen. Reboot.
Dann würde ich zum einen mit cleanmgr.exe -> Systemdaten bereinigen -> Windows-Update-Bereinigung etc. weg räumen und im zweiten Schritt den Windows Update Cache zurück setzen:
1. services.msc aufrufen
2. "background intelligent transfer service" suchen, Rechtsklick, Stop
3. "windows update" suchen, Rechtsklick, Stop
4. den Ordner C:\Windows\SoftwareDistribution löschen. Sollte dies nicht gehen, erneut prüfen ob die zwei genannten Dienste ggf. noch laufen.
5. Reboot.
Jetzt erneut nach Updates suchen und das Verhalten prüfen.