Misc.

2020/06/12

「自動更新の構成」ポリシーにWindows Server 専用の新オプション「7」、詳細情報は現状ポリシーのヘルプのみ

このブログへのタレコミより。

6 月 最近の品質更新で「コンピューターの構成(\ポリシー)\管理用テンプレート\Windows コンポーネント\Windows Update」の「自動更新を構成する」 ポリシーに新しいオプション「7」が追加されたらしい。(追記:2020-01 C からでした)

いろんなバージョンのを確認してみた。バージョン 2004 には最初からあったけど、それ以外は最近の品質更新で WindowsUpdate.admx/.adml がアップデートされたみたい。先日の 2020-06 B の更新だと思ってましたが(タレコミ元からの情報)、仮想マシンの1 か月前のチェックポイントにロールバックしてみたら 2020-05 B の時点でも既にありました。KB の file information for cumulative update (.csv) のリストや C:\Windows\WinSxS\amd64_microsoft-windows-windowsupdate-adm_* を参考にすると、現在の WindowsUpdate.admx は少なくともバージョン 2016/1607 は 2020-02 B、バージョン 2019/1809 は 2020-05 B (もしかしたら 2020-03 B)のときには既にこうだったようです。(追記:2020-01 C からでした)





追加されたのは「7 - 自動ダウンロード、インストール時に通知、再起動を通知」、ただしバージョン 2016 は日本語化されてなく「7 - Auto Download, Notify to install, Notify to Restart」と表示されると思う。説明によると、「オプション 7 は Windows Server 2006 エディション以降のサーバーでのみサポートされています」となっています。 ヘルプによると・・・

"7 = インストールと再起動について通知します (Windows Server 専用)。

Server SKU デバイスのみに適用される、Windows Server 2016 のこのオプションを使用すると、ローカルの管理者は Windows Update を使用して手動でインストールまたは再起動を進めることができます。"
いろんなバージョンを確認してみたと言いましたが、Windows 10 は 1607、1809、2004、Windows Server は LTSC 2016、LTSC 2019、SAC 2018、SAC 2004 の「自動更新の構成」ポリシーに新しい「7」オプションがあります。それ以外は「5」で終わり。

Windows Server のデスクトップ エクスペリエンス狙いなのか(アクションセンターによる通知だから? 2004 はたまたま最初から入ってたからあるだけとか)、Server Core(SAC は Server Core のみ)にも適用されるのかよくわからないし、効果のほどもいまいち不明。

利用可能な更新があったら自動でダウンロードしておいて、インストールの準備ができたら通知してくれて、再起動待ちになったらまた通知してくれる? ってことなら、「3 - 自動ダウンロードしインストールを通知」とあまり変わらない気もする。再起動待ちになったら、いままでもアクションセンターに通知されてたし(Server Core を除く)。

というわけで、Windows Server 2016(LTSC 2016)と Windows Server 2019(LTSC 2019)のデスクトップ エクスペリエンスと、Windows Server, version 2004 (Server Core のみ)にこのポリシー設定を仕込んでおいた。7 月 15 日に何かわかる(はず)。


関連しそうなドキュメントに新しいオプションはまだ見当たらない。

Manage additional Windows Update settings (04/25/2020)
・Configure Automatic Updates
https://docs.microsoft.com/en-us/windows/deployment/update/waas-wu-settings#configure-automatic-updates
Step 4: Configure Group Policy Settings for Automatic Updates (10/16/2017)
・Configure Automatic Updates
https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/4-configure-group-policy-settings-for-automatic-updates#configure-automatic-updates
Deploy Windows 10 updates using Windows Server Update Services (WSUS) (03/26/2020)
https://docs.microsoft.com/en-us/windows/deployment/update/waas-manage-updates-wsus
Policy CSP - Update (02/10/2020)
https://docs.microsoft.com/en-us/windows/client-management/mdm/policy-csp-update

注:AD のセントラルストアを使っている場合は、アップデートされた WindowsUpdate.admx と ja-jp\WindowsUpdate.adml をコピーしないと、グループ ポリシー エディターでは新しい選択肢は出てきません。

6/15) Defender の定義(セキュリティ インテリジェンスの更新プログラム)が来たので挙動の違いを中間報告。再起動通知がどう違うのかは今回はわかりましぇん。

(ア)Windows Server 2016 デスクトップ エクスペリエンスで「自動更新を構成する」=「7 - Auto Download, Notify to install, Notify to Restart」のとき。通知メッセージが英語。



(イ)Windows Server 2019 デスクトップ エクスペリエンスで「自動更新を構成する」= 「7 - 自動ダウンロード、インストール時に通知、再起動を通知」のとき。通知メッセージが英語&「Install now」ボタン。

(ウ)Windows Server, version 2004(Server Core)で「自動更新を構成する」= 「7 - 自動ダウンロード、インストール時に通知、再起動を通知」のとき。通知なし。そもそもServer Core にはアクション センターがない。

でも、SoftwareDistribution¥Download¥Install に更新はダウンロードしているし、プロセスの一覧みると AntiMalware Definition Update が更新始めてるみたい。これは Windows Update ではなく、Windows Defender さんの自動更新機能(MpCmdRun. -SignatureUpdate)が仕事をしているんだと思う。

(エ)Windows Server 2016 デスクトップ エクスペリエンスで「自動更新を構成する」=「3 - 自動ダウンロードしインストールを通知」のとき。

通知メッセージが日本語なだけで、「7 - Auto Download, Notify to install, Notify to Restart」との違い不明。

7/16 追記)違いはアクティブ時間外の自動再起動のところでした。→ 今日(7/15)は月例の Windows Update (2020-07 B)


1 件のコメント:

  1. 新しい自動更新のオプション「7 - 自動ダウンロード、インストール時に通知、再起動を通知」について
    https://social.msdn.microsoft.com/Forums/en-US/0230bc75-ea82-4624-b341-6a0709b20b91/26032123751235633258212052635626032123981245812503124711251912?forum=jpsccmwsus

    返信削除

注: コメントを投稿できるのは、このブログのメンバーだけです。