Windows 10 – Admins Update
Wer Windows-Rechner zum Geldverdienen benötigt oder gar Maschinen damit steuert, kann sich Produktionsausfälle durch Update-Chaos nicht leisten. So beugen Sie UpdateProblemen vor und beheben sie.
B eim Windows-Update-Dienst hat Microsoft in den letzten Jahren an einigen Schrauben gedreht, nicht immer zur Freude der Anwender. So gilt zum Beispiel in Windows 10 schon lange nicht mehr, was unter Windows 7 noch selbstverständlich war. Tatsächlich geht die Strategie von Microsoft eindeutig dahin, den Anwendern (Administratoren inbegriffen) die Kontrolle über den Windows-Update-Dienst zu nehmen. Tatsächlich lässt sich dieser unter Windows 10 auf normalem Wege kaum mehr kon gurieren. Was umso bedenklicher ist, da Microsoft für dieses Betriebssystem in der Vergangenheit auch fehlerhafte oder zumindest problematische Updates ausgeliefert hat. Außerdem scheinen sich gerade im Zusammenhang mit der Installation von Treibern die Probleme zu häufen.
Die Installation von Updates über lokale Gruppenrichtlinien steuern
Bisher hatte man bezüglich Windows Updates verschiedene Auswahlmöglichkeiten, die direkt in der Systemsteuerung zur Verfügung standen: Neben der Option, sie automatisch zu installieren, konnte man den Zeitpunkt des Herunterladens und der Installation auch selbst bestimmen und sich sogar entscheiden, nie automatisch, sondern nur manuell nach Updates zu suchen. Unter Windows 10 gibt es diese Auswahl nicht mehr. Updates werden grundsätz- lich automatisch installiert. So sieht es jedenfalls für den normalen Anwender aus. Als Administrator können Sie jedoch über Gruppenrichtlinien nach wie vor auf das Wann und Wie der Installation Ein uss nehmen. In der Domäne funktioniert dies über die Gruppenrichtlinien-Verwaltungskonsole (GPMC). In der Arbeitsgruppe müssen Sie die Richtlinieneinstellungen für jeden Computer einzeln treffen. Das dafür zuständige Tool, der Editor für lokale Gruppenrichtlinien, steht allerdings nur unter Windows 10 Pro und Windows 10 Enterprise zur Verfügung, nicht jedoch auf Windows-10-Home-Rechnern. Melden Sie sich also mit einem Administratorkonto an dem jeweiligen Computer (Windows 10 Pro
oder Windows 10 Enterprise) an, drücken Sie [Windows] + [R], geben Sie gpedit.msc in das Textfeld ein und bestätigen Sie mit OK, um den Editor für lokale Gruppenrichtlinien zu starten. Die Richtlinien für Windows Update nden Sie unter Computerkon guration/Administrative Vorlagen/WindowsKomponenten/Windows Update. Um eine Richtlinie zu bearbeiten, klicken Sie die entsprechende Zeile im rechten Bereich doppelt an. Für die automatischen Updates ist etwa die Richtlinie Automatische Updates kon gurier en zuständig. Setzen Sie im gleichnamigen Dialogfeld das Optionsfeld Aktiviert (Bild rechts unten). Stellen Sie Windows so ein, dass vor dem Herunterladen oder zumindest vor der Installation von Updates eine Benachrichtigung erfolgt ( zweiter und dritter Auswahlpunkt im Listenfeld). Standardmäßig werden solche Benachrichtigungen ausschließlich an Benutzer mit Administratorrechten gesendet. Der im Listenfeld unter Punkt 4 einstellbare Zeitplan und die Option Lokalen Administrator ermöglichen,Einstellungen auszuwählen scheinen dagegen unter Windows 10 nicht zu greifen. Indem Sie im Dialogfeld Automatische Updates kon gurieren das Optionsfeld Deaktiviert setzen, schalten Sie die automatischen Windows Updates komplett ab. Die Bearbeitungsdialogfelder für administrative Vorlagen sind alle gleich aufgebaut: Mit dem Optionsfeld links oben kann man eine Richtlinie aktivieren oder deaktivieren und darunter für die aktivierte Richtlinie gegebenenfalls weitere Einstellungen vornehmen. Mit den Schalt ächen Vorherige Einstellung und Nächste Einstellung, rechts und links oben im Dialogfeld, lassen Sie sich der Reihe nach alle Windows-Update-Bearbeitungsdialogfelder anzeigen. Sobald auf dem PC nur eine der lokalen Gruppenrichtlinien kon guriert wurde, erscheint in den Einstellungen von Windows 10 auf der Dialogseite Windows Update sowohl für Standardbenutzer als auch für Administratoren eine entsprechende Meldung ( »Einige Einstellungen sind ausgeblendet oder werden von Ihrer Organisation verwaltet« ). Beachten Sie, dass Benutzer trotzdem Windows-Update-Einstellungen vornehmen können, soweit diese nicht den festgelegten lokalen Gruppenrichtlinien entgegenstehen. Aktivieren Sie unter Windows 10 zum Beispiel die Richtlinie Warnbenachrichtigungszeitplan für den automatischen Neustart zur Updateinstallation kon gurieren, wenn Sie nicht möch- ten, dass Benutzer den geplanten Neustart zur Updateinstallation hinauszögern.
Einzelne Updates von der Installation ausnehmen
Windows 10 installiert grundsätzlich alle Updates, die für die jeweilige Edition passen. Was ist nun aber zu tun, um zu verhindern, dass problematische Updates oder Treiber nach der Deinstallation nicht automatisch wieder installiert werden? Ein Ausblenden von Updates, wie in früheren Windows-Versionen, ist unter Windows 10 leider nicht mehr möglich. Zu Hilfe kommt ein von Microsoft entwickeltes Tool namens Show or hide updates. Um es zu starten, kopieren Sie die Datei wushowhide.diacab ( http://tinyurl.com/y9vo3mu8) in einen beliebigen Ordner oder zum Beispiel auf den Desktop und klicken sie dort doppelt an.
Klicken Sie gegebenenfalls auf der Einstiegsseite des Programms auf Erweitert und aktivieren Sie das Kontrollkästchen Reparaturen automatisch anwenden. Nach einem Klick auf Weiter und anschließend auf Hide Updates sehen Sie alle Updates und Treiber, die zur Installation anstehen. Aktivieren Sie die Kontrollkästchen bei den Updates und Treibern, die Sie nicht installieren wollen. Klicken Sie wiederum auf Weiter, nachdem Sie Ihre Auswahl getroffen haben. Die letzte Seite mit der Überschrift Problemhandlung abgeschlossen zeigt die soeben ausgeblendeten Updates nochmals an. Das Programm Show or hide updates können Sie beenden, indem Sie auf Problembehandlung schließen klicken (entweder auf die Schalt äche oder auf das kleine Schließen-Symbol in der rechten oberen Ecke). Die so ausgeschlossenen Updates werden bei der nächsten Update-Suche nicht mehr berücksichtigt und auch nicht automatisch installiert. Möchten Sie die ausgeblendeten Updates zu einem späteren Zeitpunkt wieder für die Installation freigeben, klicken Sie auf der zweiten Seite des Tools auf Show hidden updates und aktivieren auf der nächsten Seite die entsprechenden Kontrollkästchen. Das Programm kann auch mit der Home-Edition und auf einem Domänencontroller (Windows Server 2016) ausgeführt werden.
Funktionsupdates und Qualitätsupdates zurückstellen
Mit der Version 1703 von Windows 10 Pro (Creators Update) kann die Installation von Updates verzögert werden, Qualitätsupdates bis zu 30 Tage, Funktionsupdates bis zu einem Jahr (in Windows 10 Home gibt es diese Möglichkeit nicht). Qualitätsupdates sind Updates, die jeden Monat zur Verfügung gestellt werden, regelmäßig am zweiten Dienstag eines Monats. Meist handelt es sich um Sicherheitsupdates, und von daher ist es grundsätzlich nicht empfehlenswert, sie zu verzögern. Anders sieht es dagegen hinsichtlich der Funktionsupdates aus, die mit Versionssprüngen verbunden sind. Hier kann es durchaus sinnvoll sein, erst einmal abzuwarten, ob bzw. welche Probleme bekannt werden. Schließlich sind solche sowohl beim Anniversary Update als auch beim Creators Update aufgetreten. Die entsprechenden Einstellungsmöglichkeiten nden Sie in den Windows-10-Einstellungen auf der Dialogseite Erweiterte Optionen ([Windows] + [I] drücken und Update und Sicherheit, Verknüpfung Erweiterte Optionen anklicken). Stellen Sie für Unternehmen im Listenfeld Current Branch for Business ein. In den beiden darunterliegenden Feldern können Sie festlegen, wie viele Tage Sie die Installation von Funktionsund Qualitätsupdates aufschieben wollen. Unabhängig davon können Sie beide Arten von Updates für 35 Tage verzögern, indem Sie den Schalter im Abschnitt Updates aussetzen auf Aus stellen (ganz unten im Bild).
Kon guration von Windows Update in der Domäne
Zumindest in größeren Unternehmen werden die PCs einer Domäne im Active Directory (AD) angehören. Hier werden die Updates vom Domainencontroller zentral über den Windows Server Update Service (WSUS) an die Clients verteilt. Das Verhalten von Windows Update lässt sich im AD ebenfalls über Gruppenrichtlinien festlegen. Diese sind global, das heißt, sie werden jeweils für ein Richtlinienobjekt aufgerufen und gelten für alle Elemente (PCs, Benutzer) des entsprechenden Objekts. Die Gruppenrichtlinien-Verwaltungskonsole starten Sie im Server Manager über Tools/ Gruppenrichtlinienverwaltung. Selektieren Sie im linken Bereich die Gruppenrichtlinienobjekte. Die Default Domain Policy ist auf Domänenebene verknüpft, das heißt, sie
wird auf alle Objekte innerhalb der Domäne angewendet, wenn die Vererbung nicht unterbrochen wird. Die Default Domain Controllers Policy ist mit der OU Domain Controllers verknüpft, sie wird also nur auf Domänencontroller angewendet. Klicken Sie im rechten Bereich mit der rechten Maustaste auf das Objekt, für das Sie Gruppenrichtlinien festlegen wollen, und wählen Sie Bearbeiten, um den Gruppenrichtlinienverwaltungs-Editor zu öffnen. Die Richtlinien für Windows Update nden Sie im GruppenrichtlinienverwaltungsEditor unter Computerkon guration/ Richtlinien/Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniende nitionen (ADMX-Dateien)./WindowsKomponenten/Windows Update. Sie entsprechen weitestgehend denen im Editor für lokale Gruppenrichtlinien auf Arbeitsgruppencomputern. Auch hier gibt es eine Richtlinie Automatische Updates kon - gurieren, die genauso funktioniert wie die oben beschriebene lokale Richtlinie (in der Domäne sollten Sie hier gegebenenfalls den Bezug von Softwareupdates festlegen – Option Updates für andere Microsoft-Produkte installieren). Wenn Sie Hardwaretreiber auf den PCs lokal installieren, bietet es sich an, die Richtlinie Keine Treiber inWindows Updates einschließen zu aktivieren. Mit der Richtlinie Internen Pfad für den Microsoft Updatedienst angeben legen Sie den Zielcomputer für den Bezug von Windows Updates fest. Wenn die Richtlinie aktiv ist, können Sie unten im Bearbeitungsfenster eine Intranetadresse für den Download und eine für das Reporting angeben. Der zu verwendende Port muss in beiden Fällen mit angegeben werden. Berücksichtigen Sie, dass die Richtlinien in der Hierarchie von oben nach unten abgearbeitet werden. Das heißt, die Richtlinie, die am nächsten am Objekt ist, wird als letzte angewendet und überschreibt gegebenenfalls Richtlinien, die in der Hierarchie weiter oben stehen. Denken Sie auch an die Möglichkeit, eigene Gruppenrichtlinienobjekte zu erstellen und diese den OUs zuzuweisen, in denen sie gebraucht werden, bestimmten Richtlinien Vorrang zu geben, die Vererbung an den geeigneten Stellen zu unterbrechen und eventuell Computer und Benutzerteile separat abzuschalten. In Windows 10 ist eine Problembehandlung speziell für Windows Update integriert. Um diese zu starten, klicken Sie auf der Startseite der Einstellungen auf Windows Update. Klicken Sie anschließend im linken Bereich auf Problembehandlung und danach im rechten Bereich unterhalb von Problem direkt beheben auf Windows Update. Darunter erscheint nun die Schalt äche Problembehandlung ausführ en. Klicken Sie diese ebenfalls an, und im erscheinenden Dialogfeld auf Problembehandlung als Administrator ausführen. Greifen Sie auf die Windows Update-Problembehandlung zurück, wenn sich ein Update partout nicht installieren lässt oder entsprechende Fehlermeldungen erscheinen. Einen Versuch ist es allemal wert. Noch leistungsfähiger ist das externe Tool wu170509.diagcab, das über einen intelligenten Hintergrundübertragungsdienst (Background Intelligent Transfer Service, BITS) verfügt und auch eine Netzwerkdiagnose durchführt. Kopieren Sie die Datei wu170509.diagcab ( http://tinyurl.com/ybjf6vnm) an einen beliebigen Ort und klicken Sie sie im Windows-Explorer oder auf dem Desktop doppelt an, um die Problembehandlung zu starten (WindowsUpdate.diagcab http:// tinyurl.com/y75dz3zv verfügt über BITS, führt jedoch keine Netzwerkdiagnose durch). tr