Командний рядок оновлення політик. GPUPDATE – виконання оновлення групових політик для користувача та комп'ютера

Команда GPUPDATE використовується для оновлення групових політик для користувача та/або комп'ютера.

Формат командного рядка:

GPUpdate

Параметри командного рядка:

/Target:(Computer | User)- Оновлення параметрів політики лише користувача (User) або лише комп'ютера (Computer). Якщо не вказано, параметри обох політик оновлюються.

/Force- застосування всіх параметрів політики. Якщо не вказано, застосовуються лише параметри політики, що змінилися.

/Wait:значення- Час очікування (у секундах) завершення обробки політики. За замовчуванням – очікування 600 секунд. Значення "0" – без очікування. Значення "-1" – очікування не обмежене. У разі перевищення часу очікування, знову активізується вікно командного рядка, але обробка політики триває.

/Logoff- Виконання виходу після оновлення параметрів групової політики. Потрібно для тих клієнтських розширень групової політики, які не обробляють політику у фоновому режимі, а обробляють її лише при вході користувача, таких, як установка програм для користувача або перенаправлення папок. Цей параметр не впливає, якщо не викликаються розширення, що вимагають виходу користувача.

/Boot- Виконання перезавантаження після застосування параметрів групової політики. Потрібно для клієнтських розширень групової політики, які не обробляють політику у фоновому режимі, а обробляють її лише при запуску, таких, наприклад, як інсталяція програм для комп'ютера. Цей параметр не впливає, якщо не викликаються розширення, що вимагають перезапуску системи.

/Sync- Наступне активне застосування політики має виконуватись синхронно. Активне застосування політики відбувається при перезавантаженні комп'ютера або вході користувача в систему. Цей параметр можна використовувати для користувача, комп'ютера або обох, натиснувши /Target. При цьому параметри /Force та /Wait, якщо вони вказані, пропускаються.

Приклади використання:

gpupdate /?- відобразити підказку щодо використання команди.

gpupdate- Виконується оновлення політик комп'ютера та політик користувача. Застосовуються лише політики, що змінилися.

gpupdate /Target:computer- Виконується оновлення політик тільки для комп'ютера.

gpupdate /Force- Виконується оновлення всіх політик.

gpupdate /Boot- оновлення групових політик із перезавантаженням комп'ютера.

Вирішив, що потрібно написати коротку статтю, на яку можна і потрібно буде часто посилатися. І тема цієї статті — як оновити групову політику.

Навіщо треба вручну оновлювати політику?

Коли це може стати в нагоді? Майже завжди, коли Ви змінюєте якийсь параметр у будь-якій політиці. Ні, не думайте, що політика повинна оновлюватися тільки вручну. Насправді вона автоматично оновлюється. Раз на півтори години! Уявіть, Ви змінили якусь політику і чекаєте на півтори години, щоб перевірити, чи працює вона саме так, як Вам хотілося. Маячня, чи не так?

Звичайно, марення. Тому існує спосіб змусити комп'ютер оновити групові політики вручну. А перед цим небагато теорії. Як відомо, політики поділяються на дві великі групи:

• політики комп'ютера
• політики користувача

Політики з першої групи застосовуються до всіх користувачів комп'ютера, тоді як політики з другої групи лише для окремих користувачів. Так ось, при завантаженні комп'ютера завантажуються одразу й групові політики. Причому, зчитування всіх політик відбувається з нуля, що забезпечує застосування останніх змін. А ось політики користувача перевіряються та завантажуються при вході користувача до системи.

Знаючи ці факти, ось Вам і рішення. Щоб змінити політику користувача набрали чинності, вийдіть і знову увійдіть в систему. Якщо потрібно оновити політику комп'ютера, перезавантажте комп'ютер. Жарт.

Команда для оновлення локальної групової політики

Описані способи, звичайно, приведуть до потрібного результату, але вони досить дурні. Адже є одна чудова утиліта командного рядка під назвою gpupdate.Загалом, щоб оновити групову політику, вистачає команди:

Gpupdate /force

Ось такою простою дією можна швидко оновити політики комп'ютера.

У цій статті ми покажемо простий спосіб віддаленого оновлення групових політик на клієнтах (комп'ютерах та серверах) домену Active Directory без необхідності доступу до консолі віддаленої машини і без використання команди gpupdate .

Однією з найскладніших проблем в управлінні груповими політиками AD є тестування політик «на льоту», без перезавантаження комп'ютера або доступу до локального комп'ютера та запуску команди.

Функція Remote Group Policy Update надає можливість використовувати одну консоль керування GPO (GPMC.msc) як для створення, зміни, так і застосування та тестування групових політик.

Функціонал віддаленого оновлення групових політик вперше з'явився в Microsoft Windows Server 2012, у всіх наступних версіях (Windows Server 2016, Microsoft Windows 10), цей функціонал та його стабільність поступово покращувався.

Вимоги до роботи Remote Group Policy Update:

Вимоги до серверного оточення:

• Windows Server 2012 і вище
• Або Windows 10 із встановленими інструментами управління RSAT (Management tools)

Вимоги до клієнтів:

• Windows 7 та вище

Вимоги до мережевої взаємодії (файєрволів) між сервером та клієнтами

• Повинен бути відкритим TCP Port 135
• Увімкнено службу Windows Management Instrumentation (Службу керування Windows)
• Служба Task Scheduler (служба планувальника завдань)

Якщо ваше оточення відповідає цим вимогам, відкрийте консоль керування груповими політиками (GPMC.msc), виберіть OU (контейнер), в якому розташовані цільові комп'ютери, на яких потрібно примусово оновити GPO.

Клацніть правою кнопкою миші на потрібний контейнер і виберіть пункт Group Policy Update.

У вікні з'явиться інформація про кількість об'єктів у цьому OU, на яких буде зроблено оновлення GPO. Щоб підтвердити дію, натисніть кнопку Yes.

У вікні Remote Group Policy update results ви побачите статус виконання оновлення політик, а також статус цієї операції (успіх/помилка, код помилки). Природно, якщо комп'ютер вимкнено, або доступ до нього обмежений фаєрволом, з'явиться відповідна помилка.

· Коментарів немає

Оновлення настройок політик Microsoft Windows Group Policy на локальній машині не дуже складно зробити за допомогою такого інструменту, як Gpupdate, але оновлення цих політик на віддалених комп'ютераху домені неможливо зробити ні за допомогою консолі керування Microsoft Management Console (MMC), ні за допомогою будь-яких, доступних на сьогоднішній день, продуктів компанії Microsoft. У цій статті я розповім вам про різні хитрощі, сценарії та безкоштовні інструменти, які дозволяють оновити налаштування політики груп на віддалених комп'ютерах у домені.

Вступ

Більшість адміністраторів знають проблему застосування політик груп на віддалених комп'ютерах. Після встановлення будь-якої важливої ​​політики, іноді нам хотілося б, щоб ця політика групи GP відразу ж з'явилася на клієнтських комп'ютерах. Але проблема полягає в тому, що за умовчанням так звана фонова обробка відбувається лише в інтервалі від 90 до 120 хвилин (випадковим чином) – якщо ми хочемо прискорити процес оновлення, то тут ми надані самі собі. Звичайно, існує причина, через яку політики просто не оновлюються кожні п'ять хвилин або навіть у режимі реального часу. Завантаження контролерів доменів і мережі в більшості середовищ буде занадто велике, щоб з нею впоратися. Але якщо виникне потреба швидкого застосуваннядуже важливі налаштування безпеки для великої кількості клієнтів, то було б непогано підготуватися до такої ситуації.

Що нам дійсно потрібно, це забезпечити можливість для адміністратора, оновлювати політики на комп'ютерах Computer1, Computer2 та/або Computer3 – а також політики для користувачів A, B та C з централізованої точки – робочої станціїадміністратора, якщо адміністратор вважатиме це за необхідне. Подивіться малюнок 1.

Малюнок 1: Сценарій

У нас є чудовий інструмент під назвою Gpupdate, який вбудований в операційну систему Microsoft Windows XP і новіші операційні системи – а також у нас є інструмент під назвою Secedit для операційної системи Windows 2000 – але на нещастя команда Gpresult для інструментів Gpupdate та Secedit може оброблятись лише на локальних комп'ютерах. Звичайно, у нас є вже налаштована система установки, як сервер управління системами Microsoft Systems Management Server (SMS), ми можемо використовувати цю систему для передачі невеликих сценаріїв, які запустять необхідну команду для групи користувачів або комп'ютерів.

Якщо у вашій мережі немає такої системи, ви повинні спробувати більш творчі підходи – т.к. альтернатива полягає в тому, щоб зайти на всі необхідні комп'ютери за допомогою інструменту типу Remote Assistance (Видалений помічник), або розіслати всім користувачам електронний лист із проханням виконати команду Gpupdate… Тому шукайте більш творчі підходи.

Проблеми

Перед тим, як поглибитись у деталі, я хочу згадати спільні проблеми, з якими стикаються люди при спробі використати методи, згадані у цій статті.

Проблеми з брандмауером:

Як і у випадку з іншими з'єднаннями, які ініційовані в мережі, пакети, які намагаються оновити налаштування політик на віддалених комп'ютерах, не зможуть подолати локальний брандмауер на віддалених комп'ютерах (наприклад, брандмауер, який вбудований в операційну систему Windows, починаючи з Windows XP з пакетом оновлення Service Pack 2 і вище), якщо цей брандмауер не налаштований таким чином, щоб дозволяти такий вхідний трафік (з вибраної підмережі subnet, IP або щось таке). Вбудований в операційну систему Windows брандмауер повинен бути налаштований, щоб дозволяти вхідний трафік, який ми формуємо використанням об'єкта політики групи, тому, як це не іронічно звучить, така політика – це єдина, яку ми не можемо використовувати для віддалених комп'ютерів з включеним брандмауером.

Налаштування політики, які мають бути встановлені для всіх методів, згаданих у цій статті, є наступними:

Computer Settings | Administrative Templates | Network | Network Connections | Windows Firewall | Domain Profile | "Windows Firewall: Allow remote administration exception".

Інші пристрої, які виконують роль брандмауера, між центральним комп'ютером і віддаленими комп'ютерами повинні також дотримуватися вищезазначених налаштувань (дивіться тест допомоги Help, для згаданої політики у GPEDIT.MSC).

Права адміністратора:

Користувач, який ініціює процес на віддаленому комп'ютері, повинен мати на ньому права локального адміністратора – інакше все працюватиме не так, як ви очікуєте.

Після того, як ви про це подбали, давайте розглянемо самі методи.

Написання сценаріїв

Сценарії безкоштовні і широко поширені серед фахівців з інформаційним технологіямв Інтернет - це насправді "Open Source". Компанія Microsoft надала нам кілька вбудованих можливостей для розширення можливостей операційної системита середовища – у цій статті ми розповімо про те, як можна використовувати ці можливості для віддаленого оновлення політик груп GP.

Gpupdate & Secedit

Спочатку ми повинні згадати інструменти Gpupdate та Secedit, без цих інструментів нічого, з перерахованого нижче, не було б можливим. Сценарії та інструменти, які згадуються тут, усі мають на увазі, що один із цих інструментів встановлений на віддаленому клієнті, залежно від версії операційної системи. Як згадувалося вище, інструмент Secedit входить до складу операційної системи Windows 2000, а інструмент Gpupdate був узятий з операційної системи Windows XP і вище, він навіть присутній в операційній системі Longhorn, у тому вигляді, як вона знаходиться зараз. У наступних сценаріях я сфокусуюсь на Gpupdate – ми можемо перевірити версію операційної системи перед запуском Gpupdate або Secedit, але цю перевірку можна додати пізніше без особливих труднощів.

Файл Gpupdate.exe за умовчанням розміщується в папці "%windir%\system32", тому нам не потрібно знати абсолютний шлях до його розташування на віддаленій машині. Інструмент можна викликати з набором різних ключів:

Syntax: Gpupdate

У наших сценаріях “зроби сам” для додатків HTML Application (HTA) та Windows Management Instrumentations (WMI) ми сфокусуємося на запуску Gpupdate без ключів – або з ключами “/Taget:Computer” (для оновлення політик, що стосуються комп'ютера) або “/ Target:User” (для оновлення політик, які стосуються користувача). Інші параметри можна увімкнути, трохи попрацювавши – але чи потрібні нам насправді “/Logoff” чи “/Boot”? Це означає, що користувачі можуть вийти у разі потреби (установка програмного забезпечення, зміна папок і т.д.) або навіть вимагатиме перезавантаження комп'ютера під час роботи користувача. Чи насправді це те, що нам треба? У будь-якому випадку, ми можемо також використовувати інструмент типу Shutdown.exe для цих цілей – тому моя думка не буде надто популярною.

PsExec

Перший метод, про який я хочу розповісти, дуже простий у використанні та практично не вимагає навичок програмування. Навіщо вигадувати щось, що вже було винайдено, так? Інструмент під назвою PsExec був розроблений Марком Руссиновичем, колишнім власником компанії Sysinternals, викупленої компанією Microsoft у липні 2006. На сьогоднішній день доступна версія 1.73, яку можна завантажити з сайту Microsoft Technet.

Інструмент PsExec чудовий, коли йдеться про віддалене виконання, в основному завдяки тому, що він не вимагає встановлення агентів на віддаленому комп'ютері. Вам лише необхідно вказати ім'я комп'ютера і команду, яку необхідно запустити разом з ключами в командному рядку - і все!

Невеликий трюк у тому, щоб помістити файл PsExec.exe в директорію “%windir%”, т.к. у цьому випадку нам не потрібно вказувати повний шлях до цього файлу під час запуску його з командного рядка.

Для того, щоб оновити політики групи на віддаленій машині, все, що нам необхідно зробити, це задати 'Computername' (ім'я комп'ютера) у наступній команді: “PsExec Computername Gpupdate”. Користувач, який працює на віддаленій машині, навіть не дізнається, що трапилося, але у фоновому режимі команда Gpupdate оновить політики для користувача та комп'ютера та застосує всі загублені налаштування. Ви можете подумати, що команду PsExec необхідно запустити з ключем "-i" для оновлення для віддалених користувачів спеціальних політик для користувачів, але тестування показує, що це необов'язково.

Сценарій FLEX COMMAND

Отже, метод, згаданий вище, дозволяє оновити політики одного користувача чи комп'ютера, а як щодо оновлення всієї організаційної одиниці (Organizational Unit чи OU) завдяки спільному використанню PsExec і Gpupdate? Для цього я створив демонстраційний сценарій, щоб показати деякі можливості, які ми можемо скористатися завдяки написанню сценаріїв. Сценарій називається FLEX COMMAND і його можна завантажити звідси. Ви можете легко відкрити файл з розширенням HTA за допомогою текстового редакторатипу Notepad і побачити код, ніякої прихованої магії.

Коли стартує FLEX COMMAND, він з'єднується з доменом Active Directory (AD) domain комп'ютера, на якому він виконується. Тому він повинен бути виконаний на комп'ютері, який є членом домену, інакше не буде знайдено організаційну одиницю OU.

Виберіть OU, інструмент повинен оброблятися на машинах, які живі (відповідають на запити WMI requests). Останнє, що потрібно зробити, це вставити командний рядок, який ми хочемо виконати на локальному комп'ютерідля кожного об'єкта, що знаходиться в обраній організаційній одиниці OU. Текстовий рядок “(C)” потрібно залишити, т.к. вона буде замінена назвою комп'ютера, під час роботи сценарію.

Рисунок 2: FLEX COMMAND у дії

Припустимо, що організаційна одиниця OU під назвою MyComputers містить всього 3 комп'ютери: Computer1, Computer2 і Computer3. Команда, яку ми набрали, “psexec (c) gpupdate” потім перекладається в 3 наступні команди: “psexec \ computer1 gpupdate”, “psexec \ computer2 gpupdate”, “psexec \ computer3 gpupdate” – всі команди будуть послідовно виконані (якщо комп'ютери живі) і віддалені політики будуть оновлені.

Інструмент можна модифікувати таким чином, що список комп'ютерів надходитиме з файлу (txt, csv, xls тощо), бази даних, особливої ​​групи безпеки в AD, за допомогою ручного вибору зі списку. Спосіб запуску сценарію також можна змінити, він це лише демонстраційний сценарій, основне призначення якого показати наявні у нас можливості.

Сценарій розповсюджується безкоштовно, і ви можете тестувати, використовувати та змінювати його на свій розсуд – подробиці.

Інструментарій керування Windows Management Instrumentation (WMI)

Добре, інструмент PsExec дійсно чудовий, але чи є якісь ручні методи, за допомогою яких я можу краще налаштувати рішення для свого середовища? Так, насправді є! WMI є дуже потужним і досить простий у використанні після декількох годин вивчення. Якщо ви володієте WMI, і у вас все гаразд з дозволами на брандмауері та правами адміністратора, то ви зможете зробити практично все в середовищі Windows environment - навіть віддалене вимкнення комп'ютера, перезавантаження та виконання віддалених команд.

Я створив інший сценарій для демонстраційних цілей за назвою OU GPUPDATE. Цей сценарій HTA використовує декілька різних технік - насправді це невелика модифікація сценарію FLEX COMMAND. По-перше, він розбирає структуру організаційної одиниці OU в AD (верхній список, що випадає), надає користувачам можливість вибрати комп'ютери з OU, запустити Gpupdate з параметром “/Target:User” або “/Target:Computer” або взагалі без параметрів. Тільки «живі» комп'ютери (що відповідають на запити WMI requests) торкнуться за замовчуванням.

Рисунок 3: Виберіть, що потрібно оновити – налаштування користувача, налаштування комп'ютера або обидві

Це сценарій поширюється безкоштовно, і ви можете тестувати, використовувати і змінювати його на власний розсуд звідси .

Віддалене написання сценаріїв

Крім WMI ми маємо можливість використання звичайного віддаленого написання сценаріїв (VBScript). Це можна включити встановленням всього одного значення в частині HKLM реєстру комп'ютерів, також механізм сценарію повинен підтримувати віддалене написання сценаріїв "remote scripting", і з цього моменту все інше стає очевидним. Процедура полягає в копіюванні файлу сценарію на віддалений комп'ютер (цей сценарій повинен використовувати Gpupdate), а потім надсилається команда VBScript, яка запускає сценарій віддалено.

RGPREFRESH

RGPREFRESH – це інструмент, розроблений Дареном Мар-Елем. Його інструмент використовує WMI і запускає Secedit або Gpupdate залежно від операційної системи на віддаленому комп'ютері, з ключами, вибраними користувачем. Ці ключі надають вам ті ж можливості, що і при локальному використанні цього інструменту.

Цей інструмент обробляє одну машину за раз, але спільно з інструментом під назвою FLEX COMMAND (як оболонка) цей інструмент можна використовувати для цілої організаційної одиниці (OU) лише кількома натисканнями миші … Обидва інструменти RGPREFRESH і PsExec можна також спільно використовувати з утилітами DSQUERY , FOR та іншими утилітами, що працюють з командного рядка, на більш ніж один комп'ютер за раз.

Рисунок 4: Параметри для RGPREFRESH

Цей інструмент можна безкоштовно завантажити з цієї сторінки.

Specops Gpupdate

Special Operations Software, Specops, що є міжнародним виробником програмного забезпечення, пропонує продукти з управління Active Directory на основі технології політик груп. Компанія випустила своє власне рішення для віддаленого оновлення політик, і що чудове, це те, що воно абсолютно безкоштовно. Поточна версія Specops Gpupdate - 1.0.2.13 (2006-10-25) а саму утиліту можна завантажити звідси. Цей інструмент не тільки має функціональність, яку ми розробили в сценаріях, згаданих вище, але також додає кілька можливостей з управління. Давайте розглянемо цю чудову утиліту.

Установка Specops Gpupdate

Установка MSI програми дуже проста – все, що для неї потрібно, це користувача та комп'ютери Active Directory Users & Computers (ADUC) MMC, а також Microsoft .NET Framework version 2.0.

Рисунок 5: Процес установки також простий, як установка пакетів MSI (натискаємо на next, next, next)

Після встановлення файлу MSI у графічному інтерфейсі нічого не змінюється GUI, і лише з допомогою “Add/Remove Programs” можна дізнатися, що у нашій машині встановлений Specops. Тому ми маємо виконати додаткову роботу для магічного перетворення …

Розширення для Active Directory User & Computers

Після встановлення Specops Gpupdate у лісі AD Forest, необхідно виконати спеціальну команду

"%CommonProgramFiles%\Specopssoft\Specops ADUC Extension\SpecopsAducMenuExtensionInstaller.exe" /add

Це не оновлення схеми, хоча ви і повинні мати права корпоративного адміністратора для запуску цієї команди. Ця команда абсолютно оборотна, просто запустіть її ще раз із ключем "/remove". Все, що вона робить, це реєструє, так звані специфікатори екрана Display Specifiers для розширення перегляду за допомогою ADUC.

Потім натисніть правою кнопкою миші на об'єкті організаційної одиниці OU або комп'ютера, і побачите, що з'явилися чотири нові команди: Gpupdate, Restart, Shut down та Start. Є можливість зробити вибір кількох комп'ютерів та OU завдяки утриманню клавіші та натискання правої кнопки миші на необхідних об'єктах.

Малюнок 6: ADUC MMC розширився

Якщо у вас, як і мене, постало питання, а чи можна зміни застосувати також для не контролерів домену DC, то відповідь, так! Після установки Windows Server 2003 Admin Pack Service Pack 1 Administration Tools Pack на клієнті Windows XP Professional, .NET Framework 2.0 і Specops Gpupdate, консоль управління виглядає також, як на контролері домену DC, і має ті ж можливості.

Параметри Gpupdate

Перший параметр, який ми маємо, дозволяє нам запустити команду Gpupdate віддалено на вибраних комп'ютерах. Після вибору Gpupdate ми повинні підтвердити вибір, як показано на малюнку 7, і поставити галочку в полі use force option, якщо ми хочемо використовувати налаштування посилення.

Малюнок 7

Після натискання на кнопку OK з'явиться динамічний графік, див. Рисунок 8, а також звіт про стан оновлення.

Малюнок 8

Параметри Restart та Shutdown

Наступні два параметри 'Restart' та 'Shutdown' є дуже важливими для керування, тому вони потрібні нам прямо в ADUC. Ми можемо запустити команду restart (перезавантажити) або shutdown (вимкнути), а також задати інтервал часу в секундах, який надається користувачеві для того, щоб закрити все запущені програми. Написати сценарій, який робив би те саме, не дуже складно за допомогою WMI або завдяки використанню команди Shutdown.exe з правильними ключами, але завдяки Specops Gpupdate ми отримуємо цю функціональність абсолютно безкоштовно без витрат часу і сил.

Рисунок 9: Діалогове вікно з повідомленням про перезавантаження

Параметр Start Останній з чотирьох параметрів називається 'Start', і насправді є функціональністю Wake on LAN або WOL (розбудити по мережі), вбудовану в ADUC. Після вибору та підтвердження цього параметра, дивись Малюнок 10, так звані магічні пакети (Magic packet) будуть надіслані на MAC адреси клієнтських комп'ютерів, і почнеться їх завантаження. Для роботи WOL відповідна функціональність має підтримуватися BIOS комп'ютерів. Specops Gpupdate взаємодіє з серверами Microsoft DHCP в корпорації, знаходження інформації, необхідної для запуску цього процесу, тому є можливість розбудити клієнтів DHCP і лише у мережі із встановленими серверами Microsoft DHCP.

Рисунок 10: Підтвердьте запуск віддаленого WOL

До речі, для WOL також можна використовувати сценарії, приклади такого коду виходять за рамки цієї статті.

Висновок

Ми розглянули кілька способів, за допомогою яких можна застосувати політики груп на віддалених комп'ютерах. Який метод із перерахованих краще підходить для вас, залежить від середовища. Особисто мені подобається написання сценаріїв, але навіщо старанно працювати над тим, що вже створили інші люди? На це запитання маю дві відповіді. Перший, під час написання таких сценаріїв, ми вчимося, а другий – особливі умови або виготовлення на замовлення. Написання сценаріїв покращує наші навички як спеціалісти з інформаційних технологій, а також дозволяє налаштовувати готові рішення для більш чіткого задоволення конкретних умов.

Компанія Specops розробила дуже гарну безкоштовну утиліту, яка виконує основні функції оновлення політик на мережевих клієнтах. Я рекомендую вам скуштувати її!

Джерело www.windowsecurity.com

Налаштування політики оновлень Windows 10 це налаштування способу отримання оновлень у Windows 10. У Windows 10 параметри центру оновлень перенесли з Панелі керування до Параметри системи. У Windows 10 немає таких налаштувань як в Панелі керування і тому не стало можливості відключати оновлення або вибирати спосіб їх отримання. Однак за допомогою Редактора реєстру та Редактора локальної групової політики можна вимкнути оновлення та встановити спосіб їх отримання.

Налаштування оновлення за допомогою Редактора локальної групової політики

Запускаємо Редактор локальної групової політики, натиснувши на клавіатурі відразу дві клавіші WIN+R gpedit.mscта натискаєте ОК.

Групова політика оновлення Windows 10

Конфігурація комп'ютера – Адміністративні шаблони – Компоненти Windows – Windows Update. Натискаєте на останній пункт Windows Update, а потім у правій частині знайдіть пункт Налаштування автоматичного оновленнята змінюєте його налаштування.

Налаштування оновлень Windows 10 групові політики

Для цього у вікні потрібно вгорі поставити крапку у пункті Увімкнено, а потім нижче встановіть налаштування оновлення. Натисніть кнопку ОК. Потім, щоб зроблені вами налаштування запрацювали відкрийте Параметри системи — Оновлення та безпека — Windows Updateта натисніть кнопку Перевірка наявності оновлень.

Закінчивши налаштування політик Windows 10, запустіть оновлення

Після цього налаштування в Редакторі локальної групової політики набудуть чинності.

Налаштування оновлень за допомогою Редактора реєстру

Запускаємо Редактор реєстру, натиснувши на клавіатурі відразу дві клавіші WIN+R. Відкриється вікно Виконати в яке вписуєте команду regeditта натискаєте ОК.

Відкрийте Редактор реєстру та створіть там чотири параметри для керування Оновленнями Windows 10

У лівій частині вікна редактора відкриваємо HKEY_LOCAL_MACHINE - SOFTWARE - Policies - Microsoft - Windows. Наведіть курсор на останній пункт Windows та натисніть праву кнопку миші. У контекстному меню вибираєте Створити - Розділ. Новий розділ назвіть WindowsUpdate.
Потім наведіть курсор на тільки те, що створений розділ WindowsUpdate і знову створіть розділ який назвіть AU.
Потім наведіть курсор на тільки, що створений розділ AU і натисніть праву кнопку миші і у меню виберіть Створити – Параметр DWORD (32-біта). Новий створений параметр з'явиться у правій частині вікна, назвіть його AUOptions. Таким же чином навівши курсор на розділ AU, створіть ще три параметри і назвіть перший NoAutoUpdate, другий ScheduledInstallDay, а третій ScheduledInstallTime(опціонально NoAutoRebootWithLoggedOnUsers). Тепер у цих чотирьох нових параметрах потрібно змінити значення.

Для параметра AUOptions

• 2 — Отримувати сповіщення перед інсталяцією та завантаженням будь-яких оновлень.
• 3 — Автоматично отримувати оновлення та сповіщення про їх приготування.
• 4 — Автоматично отримувати та інсталювати оновлення за розкладом.
• 5 — Дозволити локальним адміністраторам самим вибирати режим оновлення та сповіщення.

Для параметра NoAutoUpdate

• 0 — Увімкнено автоматичне встановленняоновлень, які будуть завантажуватися та встановлюватися в залежності від зроблених налаштувань у параметрі AUOptions.
• 1 — Вимкнено автоматичне встановлення оновлень.

Для параметра ScheduledInstallDay

• 0 — встановлення оновлень буде проводитися щодня при значенні 4 параметрів AUOptions.
• 1 — встановлення оновлень буде проводитися щопонеділка при значенні 4 параметра AUOptions.
• 2 — встановлення оновлень буде проводитися щовівторка при значенні 4 параметра AUOptions.
• 3 — встановлення оновлень буде проводитися щосереди при значенні 4 параметра AUOptions.
• 4 — встановлення оновлень буде проводитися щочетверга при значенні 4 параметра AUOptions.
• 5 — встановлення оновлень буде проводитися щоп'ятниці при значенні 4 параметра AUOptions.
• 6 — встановлення оновлень буде проводитися щосуботи при значенні 4 параметра AUOptions.
• 7 — встановлення оновлень буде проводитися щонеділі при значенні 4 параметра AUOptions.

Для параметра ScheduledInstallTime

Від 0 до 23 встановлюватимуться оновлення в стільки годин в залежності від встановленого параметра і при значенні 4 параметра AUOptions.

Для параметра NoAutoRebootWithLoggedOnUsers

• 0 — Після завершення інсталяції оновлень комп'ютер автоматично перезавантажиться, працює за 4 параметрами AUOptions.
• 1 — Після завершення інсталяції оновлень комп'ютер автоматично не перезавантажиться, працює за 4 параметрами AUOptions.