2016/10/28

Windows Update の UI を無効化する Windows 10/2016 向けの新ポリシー(とウソクライアント)

Windows 10 Anniversary Update (Ver 1607)、Windows Server 2016、Nano Server 向けに累積的な更新 KB3197954 が配布され、細かい OS バージョンは 10.0.14393.351 になりました。

Windows 10 update history で October 27, 2016—KB3197954 (OS Build 14393.351)  の変更点など見ていたところ...

Windows 10 update history
[URL] https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Improved support for IT administrators using Group Policy to block users updating the operating system from Windows Update.
Windows Update 用の新しいポリシー設定が追加されたようです。新旧 ポリシー を比べてみると...


コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Update のすべての機能へのアクセスを削除する

というポリシーが追加されていました。試しに有効化してみると...

[設定]アプリの[更新とセキュリティ > Windows Update]が「一部の設定は組織によって管理されています」状態になり、[更新プログラムのチェック]ボタンが推せなくなりました。"This option is managed by your organization" という日本語化されていないメッセージがなんだか残念。

[Windows Update のすべての機能へのアクセスを削除する]となっていますが、Windows Update を完全にオフにするものではなく、[設定 > 更新とセキュリティ > Windows Update]へのアクセスってことなのかなぁと想像しています。Windows Update Services (WSUS) とか Windows Update for Business とかでしっかり管理して、ユーザーに余計なことをさせたくないときに使うのかなぁ? と思います。

なぜかというと、ウソクライアント (%Windir%\System32\Usoclient.exe) を実行してみると、スキャンを開始できたからです。ウソクライアントについては、こちらの記事をご覧ください。
一瞬で消え去る怪しいウィンドウ、「ウソクライアント(usoclient.exe)」のホントの仕事は?@IT
[URL] http://www.atmarkit.co.jp/ait/articles/1607/01/news036.html



また、Server Core インストールや Nano Server には、このポリシー設定は何も影響しないみたいです。




・・・

ちょっとこのポリシーを試してみて、ポリシーを未構成に戻しても、[更新プログラムのチェック]ボタンが戻ってこない (ここの設定はスキャンを実行しないとポリシーが反映されない残念なつくりになっています) で焦るかもしれません。

そんなときもウソクライアントが役に立ちます。usoclient StartScan を実行すれば、スキャンを開始してくれて、ポリシーの変更を反映してくれます。



[Windows Update のすべての機能へのアクセスを削除する]ポリシーの説明には、Windows Server 2016 以降または Windows 10 以降となっていますが、Windows 10 Anniversary Update (ver 1607) 以降で利用できる新ポリシーだと思います。

1 件のコメント:

山市 良 さんのコメント...

14393.0~14393.223(KB3197356)までの間に「更新プログラムをインストールするための自動再起動の期限を指定してください」(Specify deadline before auto-restart for update installation)というポリシーも追加されましたね。ちゃんと動くのかどうかは未確認。