Azure

Windows 更新在 Azure Windows Server 2019 VM 上顯示“某些設置由您的組織管理”

  • January 13, 2021

這是 2020 年 5 月在 Azure 上創建的 Windows Server 2019。它是一個獨立的伺服器。在“設置”>“更新和安全”>“Windows 更新”中,我看到消息“某些設置由您的組織管理”。當我點擊“查看配置的更新策略”時,我看到我的設備上設置了策略:

Automatically download updates and install them on the specified schedule
Source: Administrator
Type: Group Policy

Set Automatic Update options
Source: Administrator
Type: Group Policy

我打開了本地組策略編輯器並導航到電腦配置 > 管理模板 > Windows 組件 > Windows 更新。所有這些設置都設置為“未配置”。

接下來,我檢查了電腦是否在某種域中。

  1. systeminfoDOMAIN是 ‘WORKGROUP’。
  2. 我跑了dsregcmd /status,看到AzureAdJoinedEnterpriseJoinedDomainJoined都是“否”。
  3. 使用gpresult /r提升的命令提示符,我可以看到在電腦設置和使用者設置中,都沒有應用組策略。

那麼這些 Windows 更新策略從何而來?我在這裡看到了類似的問題,但沒有答案。

這些是在HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU@GregAskew 提到的系統資料庫中設置的。您提到的兩個密鑰似乎是公共 Server 2019 Datacentre VM 映像的預設值(當然是我目前在 Azure 中部署的 10 個左右),讓伺服器作業系統可以隨意下載和安裝更新盒子。

在最初的“未配置”狀態下,組策略將所有這些設置顯示為“未配置”,儘管事實上至少有兩個匹配的系統資料庫項配置了您已確定的部分。據我所知,任何未在系統資料庫或組策略中配置的設置都可以由使用者從控制面板界面進行操作。這是組策略編輯器中“配置自動更新”選項的幫助文本的支持

如果狀態設置為未配置,則不會在組策略級別指定使用自動更新。但是,管理員仍然可以通過控制面板配置自動更新。

相反,正如您所期望的,只有在系統資料庫或組策略中指定的那些才會從控制面板中被鎖定。

一旦您開始通過組策略編輯設置,系統資料庫項就會被修改和/或添加到(相對於您在 GPEdit 中操作的特定組策略設置)。

儘管系統資料庫或組策略中的某些設置明顯缺乏配置,但 Windows 更新仍將執行。例如,為了解決您在評論中關於 AUOption 是否正常執行的問題,再次仔細查看組策略編輯器中“配置自動更新”選項的幫助,它指出:

如果未指定計劃,則所有安裝的預設計劃將是每天凌晨 3:00。如果任何更新需要重新啟動才能完成安裝,Windows 將自動重新啟動電腦。(如果使用者在 Windows 準備好重新啟動時登錄到電腦,則會通知使用者並提供延遲重新啟動的選項。)

在我自己的 Azure 租賃中,我通過組策略設置了“配置自動更新”3,將“安裝其他 Microsoft 產品的更新”設置為 TRUE,並且未配置所有內容。然後,我使用 Azure 更新管理來處理安裝/重新啟動和監視更新狀態的維護視窗,而我仍在測試它似乎到目前為止對我來說執行良好。

引用自:https://serverfault.com/questions/1041307