演练：使用 组策略 配置 Windows 更新 for Business

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

查找使用者信息？ 请参阅 Windows 更新：常见问题

概述

可以通过 组策略 管理控制台 (GPMC) 使用组策略来控制 Windows 更新 for Business 的工作方式。 在更改 Windows 更新 for Business 设置之前，应考虑并设计更新部署策略。 有关详细信息，请参阅 准备 Windows 客户端更新的服务策略 。

IT 管理员可以使用 组策略 为 Windows 更新 for Business 设置策略，也可以为每个设备) 设置本地 (策略。 所有相关策略都位于计算机配置>管理模板 > Windows 组件>Windows 更新路径下。

若要按照本文所述使用 Windows 更新 for Business 管理更新，应准备以下步骤（如果尚未）：

• 创建与用于分阶段部署更新的部署圈一致的 Active Directory 安全组。
• 允许访问Windows 更新服务。
• 下载并安装适合Windows 10版本的 ADMX 模板。 有关详细信息，请参阅如何在 Windows 中创建和管理 组策略 管理模板的 Central Store 和分步操作：使用管理模板管理Windows 10。

设置适用于企业的 Windows 更新

在此示例中，使用一个安全组来管理更新。 通常，我们建议至少为预发布版本 (早期测试人员设置三个通道、发布广泛部署、成熟版本的关键设备) 部署。

在运行远程服务器管理工具的设备或域控制器上执行以下步骤：

设置戒指

1. (gpmc.msc) 启动组策略管理控制台。

2. 展开 **林 > 域 ><你的域>。

3. 右键单击 <域> ，然后选择“ 在此域中创建 GPO”并将其链接到此处。

4. 在“新建 GPO”对话框中，输入“业务Windows 更新 - 组 1”作为新组策略对象的名称。

5. 右键单击“Windows 更新企业 - 组 1”对象，然后选择“编辑”。

6. 在“组策略管理”编辑器，转到“计算机配置>策略>”“管理模板>”“Windows 组件>”Windows 更新。 现在，你已准备好开始将策略分配给此环 (组设备) 。

管理Windows 更新产品/服务

可以控制何时应用更新，例如，在设备上安装更新时延迟更新或暂停更新一段时间。

确定要向设备提供哪些更新

功能和质量更新都将自动提供给使用 Windows 更新 for Business 策略连接到Windows 更新的设备。 但是，你可以选择是希望设备额外接收适用于该设备的其他 Microsoft 汇报还是驱动程序。

若要启用 Microsoft 汇报，请使用组策略管理控制台转到计算机配置>管理模板 > Windows 组件>Windows 更新>配置自动汇报并选择安装其他 Microsoft 产品的更新。 有关可能更新的其他 Microsoft 产品的列表，请参阅 更新其他 Microsoft 产品。

驱动程序会自动启用，因为它们对设备系统有利。 建议允许驱动程序策略允许驱动程序在默认) (设备上更新，但如果希望手动管理驱动程序，则可以关闭此设置。 如果出于某种原因想要禁用驱动程序更新，请使用组策略管理控制台转到“计算机配置>管理模板>”Windows 组件>Windows 更新>“不要在 Windows 汇报中包含驱动程序”，然后启用该策略。

我们还建议允许 Microsoft 产品更新，如前所述。

设置设备接收功能和质量更新的时间

我想接收下一个功能更新的预发布版本

1. 确保已注册适用于企业的 Windows 预览体验计划。 这是一个免费计划，可供商业客户在发布功能更新之前帮助他们验证功能更新。 加入该计划可让你在发布更新之前接收更新，并接收与后续更新中的内容相关的电子邮件和内容。

2. 使用 组策略 管理控制台转到：计算机配置>管理模板 > Windows 组件>Windows 更新 > Windows 更新 for Business > 管理预览版，并将策略设置为为要安装预发行版本的任何测试设备启用预览版。

3. 在收到预览版版本和功能更新时，使用 组策略 管理控制台转到计算机配置>管理模板 > Windows 组件>Windows 更新 > 适用于企业的>Windows 更新选择。 在“ 选项 ”窗格中，使用下拉菜单选择其中一个预览版本。 对于使用预发布版本进行验证的商业客户，我们将重新评论 Windows 预览体验计划速度缓慢 。

4. 选择“确定”。

我想管理我的设备接收的已发布功能更新

适用于企业的Windows 更新管理员可以延迟或暂停更新。 最多可以将功能更新延迟 365 天，将质量更新延迟长达 30 天。 延迟只是意味着，在至少指定的延迟天数 (产品/服务日期 = 发布日期 + 延迟日期) ）发布之前，你不会收到更新。 从指定的给定开始日期起，最多可以暂停功能或质量更新 35 天。

• 延迟或暂停功能更新：计算机配置>管理模板 > Windows 组件>Windows 更新 > 适用于企业的>Windows 更新在收到预览版和功能更新时选择
• 延迟或暂停质量更新：收到质量汇报时，计算机配置>管理模板 > Windows 组件>Windows 更新 > 适用于企业的>Windows 更新选择

示例

在此示例中，有三个用于质量更新的环。 第一环 (“试点”) 的延迟期为 0 天。 第二环 (“快”) 延迟五天。 第三环 (“慢”) 延迟10天。

发布质量更新后，会在设备下次扫描更新时将其提供给试点圈中的设备。

五天后

快速环中的设备在下次扫描更新时会获得质量更新。

十天后

质量更新发布十天后，会在设备下次扫描更新时将其提供给慢圈中的设备。

如果没有出现问题，所有扫描更新的设备将在发布后的 10 天内以三个波次提供质量更新。

如果更新出现问题，该怎么办？

在此示例中，在将更新部署到“试点”环的过程中发现了一些问题。

此时，IT 管理员可以设置策略来暂停更新。 在此示例中，管理员选择“暂停质量更新检查”框。

现在，所有设备都暂停更新 35 天。 删除暂停后，将为它们提供 下一个 质量更新，理想情况下不会有相同的问题。 如果仍然存在问题，IT 管理员可以再次暂停更新。

我想继续使用特定版本

如果需要设备停留在超过下一个版本延迟的时间点之后的版本，或者需要跳过某个版本，请使用 选择目标功能更新版本 设置，而不是使用 指定何时收到预览版本和功能更新 延迟设置。 使用此策略时，请指定希望设备使用的版本。 如果在设备服务结束前未更新此项，则设备将在其版本服务结束 60 天后自动更新。

设置目标版本策略时，如果指定的功能更新版本早于当前版本或设置无效的值，则在更新策略之前，设备不会收到任何功能更新。 指定目标版本策略时，功能更新延迟不会生效。

管理用户体验更新的方式

我想管理更新后设备下载、安装和重启的时间

建议允许自动更新，这是默认行为。 如果未设置自动更新策略，设备将尝试使用内置智能（例如智能使用时间和智能忙碌检查）在最佳时间为用户下载、安装和重启。

若要进行更精细的控制，可以设置用户可以使用计算机配置>管理模板 > Windows 组件>设置的最长活动时段，Windows 更新>指定自动重启的有效小时数范围。

最好不要设置使用时段策略，因为默认情况下，当自动更新未禁用时，会启用该策略，并在用户可以设置自己的使用时段时提供更好的体验。 如果确实想要设置使用时间，请使用计算机配置>管理模板 > Windows 组件>Windows 更新>关闭在活动时段更新的自动重启。

若要在活动时段外更新，无需设置任何其他设置：只需禁用自动重启。 若要进行更精细的控制，请考虑使用自动更新来计划安装时间、日期或周。 为此，请使用计算机配置>管理模板 > Windows 组件>Windows 更新>配置自动汇报并选择“自动下载并计划安装”。 可以自定义此设置，以适应希望为设备安装更新的时间。

设置这些策略时，安装将在指定时间自动进行，设备将在安装完成后 15 分钟重启， (除非用户) 中断。

我想确保设备安全并符合更新截止时间

建议使用计算机配置>管理模板 > Windows 组件>Windows 更新>为功能和质量更新指定自动更新和重启的截止时间，以确保设备在Windows 10版本 1709 及更高版本上保持安全。 这样做的方式是，你可以指定在向设备提供更新后，在必须安装设备之前可以经过的天数。 此外，还可以设置在强制用户重启之前挂起的重启之后可以经过的天数。

此策略还提供了一个选项，通过提供“参与重启体验”，直到截止时间实际过期，选择退出自动重启。 此时，无论使用时间如何，设备都会自动计划重启。

这些通知是用户看到的内容，具体取决于你选择的设置：

(为 Windows 10、版本 1709 及更高版本) 设置指定自动更新和重启的截止时间时：

• 在等待重启时，在截止时间之前：

  • 在前几天，用户会收到 Toast 通知

  • 在此时间段过后，用户会收到以下对话框：

    

  • 如果用户计划了重启，或者如果计划了自动重启，则会在计划时间之前 15 分钟收到此通知，告知重启即将发生：

    

• 如果在截止时间过后重启仍挂起：

  • 在截止时间过去前 12 小时内，用户会收到此通知，指出截止时间即将到来：

    

  • 截止时间过后，用户将被迫重启以使其设备保持合规性，并收到以下通知：

    

我想管理用户看到的通知

还有影响通知的其他设置。

建议使用默认通知，因为它们旨在提供最佳用户体验，同时调整已设置的符合性策略。 如果具有默认通知设置无法满足的进一步需求，则可以使用以下值的计算机配置>管理模板 > Windows 组件>Windows 更新>显示更新通知的选项：

0 (默认) - 使用默认Windows 更新通知
1 - 关闭所有通知，不包括重启警告
2 - 关闭所有通知，包括重启警告

选项 2 为个人设备创建较差的体验;仅建议用于已禁用自动重启的展台设备。

注意

从 Windows 11 版本 22H2 开始，“仅在活动时段应用”已添加为更新通知的显示选项的附加选项。 如果选择了“ 仅在使用时段应用” ，则仅在使用选项 1 或 2 时在活动时段禁用通知。 为确保设备保持更新，如果选择了“ 仅在活动时段应用” ，并且当配置了 指定自动更新和重启的截止时间 时达到截止时间后，仍将在活动时段显示通知。

计算机配置>管理模板 > Windows 组件>Windows 更新>为更新配置自动重启重启警告通知计划提供了更多选项。 此设置允许指定自动重启警告提醒通知的时间段， (2-24 小时;4 小时是更新前的默认) ，指定自动重启迫在眉睫警告通知 (15-60 分钟的时间段是默认) 。 建议使用默认通知。

我想管理用户可以访问的更新设置

每个 Windows 设备为用户提供了可用于管理 Windows 汇报的各种控件。 他们可以通过搜索来查找 Windows 汇报或通过在“设置”中选择“汇报和安全”来访问这些控件。 我们提供了禁用用户可访问的各种这些控件的功能。

有权访问更新暂停设置的用户可以阻止功能和质量更新 7 天。 可以使用计算机配置>管理模板 > Windows 组件>> Windows 更新删除对暂停更新的访问权限，防止用户通过“Windows 更新设置”页暂停更新。 禁用此设置时，用户将看到 某些设置由组织管理 ，并且更新暂停设置灰显。

如果使用 Windows Server Update Server (WSUS) ，则可以阻止用户扫描Windows 更新。 为此，请使用计算机配置>管理模板 > Windows 组件>Windows 更新>删除访问权限以使用所有Windows 更新功能。

我想启用可选更新

适用于：

• Windows 11版本 22H2，KB5029351 及更高版本
• Windows 10版本 22H2，安装了KB5032278或更高版本的累积更新

除了每月累积更新之外，还可以使用可选更新来提供新功能和非安全性更改。 大多数可选更新在每月的第四个星期二发布，称为可选的非安全预览版。 可选更新还可以包括逐步推出的功能，称为受控功能推出 (CFR) 。 默认情况下，不会为使用 Windows 更新 for Business 接收更新的设备启用可选更新安装。 但是，可以使用计算机配置>管理模板 > Windows 组件>Windows 更新>管理Windows 更新>启用可选更新策略，为设备启用可选更新。

为了保持更新的计时一致， 启用可选更新 策略遵循 质量更新的延迟期。 此策略允许你选择设备是否应接收 CFR 以及可选的非安全预览版本，或者最终用户是否可以决定安装可选更新。 此策略可以更改“设置>更新 &安全性>*Windows 更新>”“最新更新可用后立即获取最新更新”选项的行为。

以下选项可用于策略：

• 自动接收可选更新 (包括 CFR) ：

  • 设备上会自动安装最新的可选非安全更新和 CFR。 质量更新延迟期应用于这些更新的安装。
  • 选中 “获取最新更新后立即获取最新更新 ”选项，用户无法更改设置。
  • 设备将在推出初期接收 CFR。

• 自动接收可选更新：

  • 设备上会自动安装最新的可选非安全更新，但 CFR 不会安装。 质量更新延迟期应用于这些更新的安装。
  • 未选择“在 最新更新可用后立即获取更新 ”选项，并且用户无法更改设置。

• 用户可以选择要接收的可选更新：

  • 用户可以从“设置更新”& 安全性>Windows 更新>“可选更新”选项>“”可选更新“>中选择要安装哪些可选更新。
    • 向设备提供可选更新，但除非还启用了“获取 最新更新后立即获取最新更新 ”选项，否则安装这些更新需要用户交互。
    • CFR 提供给设备，但不一定是在推出初期提供。
  • 用户可以在“设置>更新 &安全性>*>Windows 更新”“最新更新”选项中启用“获取最新更新后立即获取最新更新”选项。 如果用户在 更新可用后立即启用获取最新更新，则：
    • 设备将在推出初期接收 CFR。
    • 可选更新会自动安装在设备上。

• 未配置 (默认) ：

  • 设备上未安装可选更新，并且禁用了“ 获取最新更新后立即获取最新更新 ”选项。

我想启用通过服务引入的功能，这些功能在默认情况下处于关闭状态

(从 Windows 11 版本 22H2 或更高版本)

通过每月累积更新，会引入新功能和增强功能，为 Windows 11 提供持续创新。 为了让组织有时间进行规划和准备，默认情况下会暂时关闭其中一些新功能。 默认情况下关闭的功能在每月累积更新的知识库文章中列出。 通常，某个功能在默认情况下会选择关闭时因为它会显著影响用户体验或 IT 管理员。

在下一个年度功能更新中，将启用默认从服务更新中关闭的功能。 组织可以选择按自己的节奏部署功能更新，以延迟这些功能，直到他们准备好使用这些功能。

可以使用计算机配置>管理模板 > Windows 组件>来启用这些功能，Windows 更新>管理最终用户体验 > 启用默认处于关闭状态的服务引入的功能。 你可使用以下选项：

• 已启用：已启用最新的每月累积更新中的所有功能。
  • 当策略设置为 “已启用”时，当前关闭的所有功能将在设备下次重新启动时打开
• 已禁用 - 默认关闭随附的功能将保持关闭状态
• 未配置 - 默认关闭随附的功能将保持关闭状态