none
GPO AGGIORNAMENTI

    Domanda

  • Ho WSUS e schedulato gli aggiornamenti avvengano un giorno alla settimana all'ora di pranzo. 

    Vorrei che però gli utenti non ricevessero il messaggio di necessità di riavviare, ma che gli aggiornamenti concludessero l'installazione tra lo spegnimento e la riaccensione successiva, ad esempio a fine attività della giornata.

    I client sono dei Seven, quindi non posso impostare la work hours. Che soluzioni ho?

    Grazie in anticipo.

    lunedì 15 aprile 2019 11:11

Tutte le risposte

  • Potresti usare : Delay Restart for scheduled installations

    Computer Policy -> Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update.

    Con questa policy ritarderai il restart es. se imposti 300 minuti, dovresti avere abbastanza tempo.

    Ciao Gastone


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 15 aprile 2019 23:07
    Moderatore
  • Buongiorno Gastone,

    ho impostato anche la "No auto-restart with logged on users for scheduled automatic updates installations".

    Quella policy che tu indichi mi fa mettere al massimo 30 minuti e non 300 e la volevo spostare a 30.

    L'altra che invece permette un periodo lungo è la re-prompt for restart with scheduled installation. E' questa quella che tu dicevi?

    Questo fa si, che assieme a quella che tu dicevi se la imposto ad esempio a 300 minuti, ovvero 5 ore, ma la persona è ancora con il computer accesso perchè ancora sta lavorando gli propone un prompt o cosa? 

    Non riesco a capire qual è il comportamento che dovrebbe avere, a rigor di logica il PC. Io penso: allo scadere dei 300 minuti, compare un prompt per rinviare di 30 minuti?

    Edit: ho fatto il test come dicevo, ma poco dopo le 13, non appena installato un aggiornamento, mi è venuto fuori il popup che chiede il riavvio.

    Questo che ti allego è l'esito delle GPO a livello di registro di configurazione del PC. Hai idea di dove sto sbagliando?

    martedì 16 aprile 2019 06:12
  • In genere è sufficiente disabilitare l'installazione immediata degli aggiornamenti sempre tramite policy.
    Infatti il prompt per il riavvio verrà sempre proposto dopo un'installazione di un aggiornamento, te invece devi abilitare solo la voce per consentire di installare gli aggiornamenti all'arresto/riavvio.
    Inoltre disabiliterei anche la policy "Consenti ai non amministratori di ricevere notifiche di aggiornamento".
    martedì 16 aprile 2019 15:18
    Moderatore
  • La parte per gli utenti non amministratori è già così, ma perdonami ma non mi è chiara la cosa come la stai dicendo. Quindi tu useresti l'opzione 3, invece della 4 che io uso? Le riporto:

     3 = (Default setting) Download the updates automatically and notify when they are ready to be installed
    Windows finds updates that apply to the computer and downloads them in the background (the user is not notified or interrupted during this process). When the downloads are complete, users will be notified that they are ready to install. After going to Windows Update, users can install them.
    4 = Automatically download updates and install them on the schedule specified below.

    Ma anche nella 3 mi impone di settare un'orario di aggiornamento, quindi non capisco come imposteresti la policy per "abilitare solo la voce per consentire di installare gli aggiornamenti all'arresto/riavvio".

    martedì 16 aprile 2019 15:28
  • Allow Automatic Update immediate installation -> Disabled
    Configure Automatic Updates -> Auto download and notify for install (ignora semplicemente le impostazioni dell'orario, non sono applicabili con la voce 3 anche se rimangono modificabili nella GUI)
    Do not display ‘Install Updates and Shut Down’ option in Shut Down Windows dialog box -> Disabled
    Allow non-administrators to receive update notifications -> Disabled

    Quest'ultima voce può essere abilitata se vuoi che gli utenti abbiano un controllo ancora maggiore sull'installazione degli aggiornamenti, ma generalmente non è consigliata.



    martedì 16 aprile 2019 21:50
    Moderatore
  • Ok adesso è più chiaro, ma potresti spiegarmi un'ultima cosa? Che effetto hanno le policy:

    re-prompt for restart with scheduled installation

    Delay Restart for scheduled installations

    Perchè inizio davvero ad esser confuso.

    La seconda ipotizzavo, che fosse il tempo di comparsa del primo prompt post installazione. Ovvero appena installato tutto, dopo 30 minuti, fa il prompt; oppure, meglio, a utenti scollegati, dopo quanto in autonomia fa il restart del computer.

    La prima invece, mi aspetterei che una volta impostata, proponesse il restart ai minuti selezionati, all'utente che è loggato.

    Non c'è quindi modo di "promptare" ma premettere un periodo temporale più lungo delle 4 ore, ad esempio 6/10?


    mercoledì 17 aprile 2019 06:40
  • Quelle opzioni hanno effetto solo con l'opzione 4, con tutte le altre opzioni che non prevedono installazioni schedulate quelle policy vengono semplicemente ignorate. 
    In ogni caso:

    Delay Restart for scheduled installations: Dopo l'installazione schedulata Windows attenderà il tempo specificato in questa policy prima di richiedere il riavvio (se è abilitata la policy No auto-restart with logged on users for scheduled automatic updates installations, altrimenti viene eseguito un riavvio automatico).

    Re-prompt for restart with scheduled installation: Dopo che l'utente ha selezionato l'opzione di rimandare il riavvio, Windows attenderà il tempo specificato in questa policy prima di riproporre nuovamente il riavvio.


    mercoledì 17 aprile 2019 09:39
    Moderatore
  • Quindi se vedi il post con le impostazioni nel registro di sistema, provenienti dalle GPO dovrebbe fare il primo prompt dopo 30 minuti l'installazione e proporre la installazione dopo 600 minuti, ovvero 6 ore.

    Invece presenta lo standard dopo 10 minuti e poi il post poni è il classico da 10 minuti 1 ora 4 ore..

    Why?

    mercoledì 17 aprile 2019 10:00
  • Ma perché stai vedendo le chiavi di registro? Come stai configurando queste GPO?
    Dopo ogni modifica sul client forzi l'aggiornamento delle group policy ed esegui un riavvio?
    mercoledì 17 aprile 2019 10:24
    Moderatore
  • Nella maniera classica dal pannello Group Policy nel DC.

    Ma ho fatto per sicurezza sia gpupdate /force sul client, che poi il comando RSOP, e infine per sicurezza ho controllato anche le chiavi di registro, e tutto quadra come impostato; era solo per dire, e rafforzare il concetto che le impostazioni dovrebbe averle recepite, stanno anche li.

    L'idea era appunto, se proprio il primo prompt è inevitabile, mettiamolo che compaia dopo 30 minuti e la possibilità di rimandarlo a 10 ore; così lanciando il tutto alle 13, è plausibile che uno uscendo di lavoro anche alle 20 non abbia più "notifiche" e allo spegnimento/riaccensione si applichino gli aggiornamenti.

    mercoledì 17 aprile 2019 10:28
  • Attenzione, quelle policy non accettano qualsiasi valore, per questo motivo è come se non venissero recepite.
    Su Re-prompt for restart with scheduled installation dovresti scegliere tra uno dei valori predefiniti che ti propone Windows, ovvero 10 minuti, 1 ora o 4 ore.
    A questo proposito vedi qui il secondo intervento di Lawrence Garvin.

    Hai provato comunque ad utilizzare le impostazioni che ti avevo consigliato?


    mercoledì 17 aprile 2019 10:51
    Moderatore
  • Cacchio che sfiga: "Prior to Vista, for Win2003 and WinXP, you can configure any value from 1 to 24 hours (1440 minutes), in increments of 1 minute"

    Che sarebbe comodissimo ancora con qualsiasi computer anche se credo con i 10, impostando a GPO le active hours non dovrei avere questi "impicci".

    Quella impostazione che tu mi indicavi era la prima che avevo fatto, ma mi piaceva meno, preferivo potesse esserci una soluzione "silente". Anche perchè in quel modo allo spegnimento installa ed applica, nell'altro caso installa in maniera silente e attende solo il riavvio/spegminento e riaccesione, per applicare.

    Pfff.. certo che potevano mantenerla la compatibilità eh..

    In ogni caso il primo prompt dopo 30 minuti mi sarei aspettato funzionasse, ma non recepisce nemmeno quello. 
    mercoledì 17 aprile 2019 10:56
  • Teoricamente 30 minuti dovrebbero venire accettati dalla Delay restart for scheduled installations, ma considera che si tratta del valore massimo accettato dalla policy.
    giovedì 18 aprile 2019 08:10
    Moderatore