Как с помощью групповых политик отключить автоматическую перезагрузку ПК после установки обновлений?

Question

[supablex]

Добрый день!

Я прочитал несколько форумов (1, 2, 3, 4) и статей (перевод) на этот счёт, но описанное там либо не подходит, либо вызывает вопросы.

Ситуация: есть лабораторное оборудование, исследования на котором пользователи запускают в разные дни и разное время, и сам процесс может длиться долго, иногда 1-2 суток. Оборудование подключается к компьютеру на windows 10, который является частью домена. У нас нет сервера обновлений и пока хотелось бы обойтись без него.

Задача: не отказываясь от получения обновлений Windows дать пользователю максимальную свободу в перезагрузке компьютера, чтобы она не происходила во время анализа и была только по требованию пользователя. Сторонний софт не применим.

Подскажите, какие политики лучше настроить, чтобы соответствовать требованиям:

• продолжать получать обновления
  
• установка может происходить в любое время
  
• перезагрузка компьютера только по клику пользователя
  
• возможность откладывать перезагрузку максимальное количество раз/дней
  
• отсутствие таймера до принудительной перезагрузки компьютера
  

Что было настроено ранее:
Configure Automatic Updates - 3 - Auto download and schedule the install без указания дней и времени внутри политики.
No auto-restart with logged on users for scheduled automatic updates installations - enabled
Пользователей научил проверять наличие обновлений и перезагружаться перед запуском длительных тестов, но на прошлой неделе автоматическая перезагрузка произошла

Логи

The process C:\WINDOWS\system32\svchost.exe (Computer_name) has initiated the restart of computer Computer_name on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart

Installation Successful: Windows successfully installed the following update: 2025-03 Cumulative Update Preview for .NET Framework 3.5, 4.8 and 4.8.1 for Windows 10 Version 22H2 for x64 (KB5055063)
Installation Started: Windows has started installing the following update: Security Intelligence Update for Microsoft Defender Antivirus - KB2267602 (Version 1.425.289.0) - Current Channel (Broad)
Installation Successful: Windows successfully installed the following update: Security Intelligence Update for Microsoft Defender Antivirus - KB2267602 (Version 1.425.289.0) - Current Channel (Broad)

Я пошел смотреть другие политики, но, кажется, повключал слишком много и теперь не уверен в результате.

Включенные политики

Allow non-administrators to receive update notifications - enable
Configure Automatic Updates - 4 Auto download and schedule the install
Поставил галку Install during automatic maintenance, каждую четвертую неделю, в понедельник, в 07:00
Configure Auto-restart reminder notifications for updates - enabled - Period 250 min
Вопрос: это значит, что в течение этого периода будут появляться уведомления? Тогда что произойдёт после 240 минут? Или они будут появляться каждые 240 минут?
Configure auto-restart required notification for updates - enabled - Method: 2 - User Action
Configure auto-restart warning notifications schedule for updates - enabled, Reminder: 24 hours, Warning: 60 minutes
No auto-restart with logged on users for scheduled automatic updates installations - enabled

Как не остаться без обновлений и перезагружаться только вручную и только, когда это удобно?

Comments

[99insania99]

Мне кажется, имеет смысл подойти к вопросу со стороны целесообразности авто-обновлений как таковых

[rPman]

Напишу сюда, так конкретные инструкции не дам, но точно на сервере обновлений, как одна из функций домен контроллера WSUS, есть возможность приостанавливать обновления, для собственного тестирования, т.е. момент обновления определяется централизованно, выбрать время и обновлять весь парк, когда он не используется

[kalapanga]

Я так понимаю, что на компьютере, к которому подключено оборудование, ещё куча народа занимается чем попало. В этом случае огромный шанс, что эксперименту навредят не обновления, а сами пользователи. Пусть оборудованием управляет выделенный компьютер, отключенный от сети - совсем!

[supablex]

99insania99, в данном случае появляются риски безопасности, поэтому отказываться от обновлений это совсем крайний вариант

[99insania99]

supablex, риски безопасности в чем заключаются? Ходите ножками/rdp/psexec и ручками обновляйте все когда точно ничего не используется

[supablex]

rPman, таких вот особенных компьютеров, как в моём примере достаточно немного среди всего парка, не хотелось бы ради них держать отдельный сервер, его обслуживать и руками ИТ обновления устанавливать. в идеале отдать это пользователям, которые лучше меня знают в какой день компьютер мы не будет нужен и они бы в тот день запустили установку и сколь кгодно много перезагрузок.

[supablex]

kalapanga, этот компьютер используется только для работы с конкретным оборудованием, других задач на нём не выполняют, там всё по регламенту. Отключить от сети нельзя, он завязан на сервере приложений и файловом сервере. плюс для нам получать обновления (контролированно) это мастхев.
но как я понял да, отказаться от них совсем гораздо проще чисто технически)

[supablex]

99insania99, например, если в ОС выявится уязвимость, которой могут воспользоваться злоумышленники. и это не обязательно какая-то прямая атака из инетрнета, ведь вредоносное ПО может быть принесено на флешке или прислано по почте. У нас конечно же етсь инструменты, предотвращающие такие атаки, но в этом мире нет ничего неуязвимого) просто чем больше ты будешь защищен, тем меньше риск что-то потерять

[supablex]

99insania99, лучшие практики написаны кровью, потом, зашифрованными дисками и утекшими данными

[99insania99]

supablex, опять таки, как в предложенном мною варианте страдает безопасность?

[99insania99]

supablex, что-то я шибко сумневаюсь, что у вас существует в сети четкое разграничение сетей, vlan, mac filtering, DMZ, данные постоянно бекапятся и шифруются, бекапы проверяются, а диски хранятся в разных физических точках. А для доступа к критической и чувствительной информации создана "белая комната".
Не надо возводить все в абсолют как ситхи, в особенности автообнову винды, которая частенько любит поломать то, что работает)

[supablex]

99insania99, Я понимаю, что по моей постановке вопроса так могло показаться) Если винда при обновлении сломается, то она в большинстве случаев себя потом починит. А если нет, то я смогу её восстановить из бэкапа, это не очень большая проблема.
Обновления можно получать не автоматически, а вручную пользователем, но вопрос остаётся прежним - как это сделать? Если я выключу политику "Configure Automatic Updates", пользователь сможет в день простоя оборудования сам в свойствах Windows загрузить и установить доступные обновления? или тут "Доктор сказал в морг, значит в морг"?
Я хочу исключить своё участие в рутинных обновлениях.

[rPman]

идеале отдать это пользователям, которые лучше меня знают в какой день компьютер мы не будет нужен и они бы в тот день запустили установку и сколь кгодно много перезагрузок.

Я хочу исключить своё участие в рутинных обновлениях.

и получите скорее всего случайные проблемы.

В стандарте в windows в настройках обновлений можно указать расписание, интервал времени, когда разрешена установка и перезагрузка, там же можно отложить обновления на неделю и делать это вручную некоторое время (полагаю до ежегодного комулятивного обновления)

Answer 1

[Антон Весельчак]

Добрый день. Проблему понял чётко, и она типичная для оборудования, работающего в режиме непрерывного анализа. Идём по шагам, начнём с самого важного — полного исключения автоматической перезагрузки при установке обновлений.

Шаг 1. Отключим авто-перезагрузку после обновлений через групповую политику.

Откройте редактор групповых политик на контроллере домена:

Group Policy Management Console (gpmc.msc)
Создайте новую GPO или отредактируйте уже существующую, связанную с нужными компьютерами.
Перейдите в:
Computer Configuration →
Administrative Templates →
Windows Components →
Windows Update →
Windows Update for Business

Найдите параметр “No auto-restart with logged on users for scheduled automatic updates installations” и убедитесь, что он включён (Enabled) — вы это уже сделали.

Теперь более надёжное ограничение (новое):

Перейдите сюда:
Computer Configuration →
Administrative Templates →
Windows Components →
Windows Update →
Manage end user experience
Найдите политику “Turn off auto-restart for updates during active hours”.
Включите её (Enabled) и задайте активные часы, например, 00:00–23:59.

Это эффективно "навсегда" отключит автоматическую перезагрузку, пока кто-либо вошёл в систему.

Получилось задать 23:59 как конец интервала? Или система не разрешает?

Comments

[defmin]

дополнительный вопрос: почему 00:00–23:59, но не 00:00–00:00, может ведь грузануть в эту минуту, не?

[Антон Весельчак]

defmin, Windows вроде не позволяет задать 00:00–00:00 как активные часы, потому что интервал не может быть равен нулю — он должен быть хотя бы 1 час. Максимум, который можно установить, — это 18 часов (на момент актуальных версий Windows 10).

Поэтому идея задать 00:00–23:59 — это скорее теоретическая концепция, но на практике:

Если вы задаёте, например, 00:00–18:00, то система будет считать с 18:00 до 00:00 "неактивными часами", когда перезагрузка допустима.
Значит, даже при включении политики "No auto-restart with logged on users", перезагрузка всё равно может произойти, если никто не сидит за ПК в "неактивные часы".
Поэтому, чтобы по-настоящему исключить авто-перезапуск, придётся комбинировать:

Активные часы на максимально допустимые 18 часов, например, 06:00–23:59.
Политику “No auto-restart with logged on users” — вы уже включили.
Настройку “Configure auto-restart required notification for updates” → Method: 2 – User Action — вы тоже включили, это хорошо: перезагрузка будет ждать пользователя.

[defmin]

Антон Весельчак, принято, благодарю, для меня вопрос решён.

[supablex]

Антон Весельчак, Антон, спасибо за совет. Но если включена политика "No auto-restart with logged on users for scheduled automatic updates installations", то эта "Turn off auto-restart for updates during active hours" не имеет силы

[supablex]

Антон Весельчак, а вы не знаете, что именно означает "with logged on users"? Если пользователь залогинился, но нажал Win+L и не шевелил даже мышкой 5 часов, это будет причиной не перезагружаться? Или винда увидит неактивность, то посчитает, что он уже не залогинен?
И второе, касательно Turn off auto-restart for updates during active hours: задать интервал возможно только в часах и самый поздний час это 11 pm. Тут опять же не очень ясно до 11 часов вечера будет активное время или по 11 часов, т.е. включительно. Скорее всего с 11 PM до 0 AM будет неактивное время. Получится ли поставить диапазон 12 am - 12 am тоже вопрос, рисковать не хочется, в моём случае цена перезагрузки по время исследования может быть достаточно высока.

[Роман Безруков]

supablex, как вариант - скриптом в планировщике раз в N минут проверять состояние службы Windows Update (wuauserv), останавливать службу и переводить в состояние Disabled.
Установку обновлений, если таких особенных компов больше одного, можно делать удаленно, например, с помощью PowerShell-модуля PSWindowsUpdate. Обновления накатывает админ, предварительно остановив задачу в планировщике.

[Антон Весельчак]

supablex, 1. "With logged on users" — что это значит?

Когда политика "No auto-restart with logged on users" активна, то Windows не будет перезагружать компьютер, если кто-то залогинен. Однако важно понять, что это не зависит от активности пользователя, а от состояния его сессии.

Если пользователь нажал Win+L (заблокировал компьютер) или не двигал мышью/клавишами, система всё равно будет считать его залогиненным. Это также означает, что если на компьютере открыт сеанс, то перезагрузка не произойдёт, даже если пользователь не активен.
Если пользователь не залогинен (например, экран заблокирован и сессия неактивна длительное время или пользователь вышел), то Windows будет считать его неактивным, и перезагрузка может быть выполнена в неактивное время, если политика позволяет это.
Итог: Если пользователь заблокировал экран, но сессия не завершена, то система всё равно считает его залогиненным, и перезагрузка не произойдёт. Когда сессия пользователя завершена (в том числе по таймауту), то система может перезагрузить ПК.

2. О "Turn off auto-restart for updates during active hours"

В Windows действительно есть ограничение на максимальное время, которое можно задать для активных часов — это 12 часов, а 11 PM — это максимальная граница для последнего часа.

Если вы установите 11 PM как конечное время, то с 11:00 PM до 00:00 (полночь) будет считаться неактивным временем.
Включительно: если вы устанавливаете активные часы, например, 12:00 AM до 12:00 AM, это означает, что с 12:00 ночи и до 12:00 следующего дня будет активное время, и в этот период перезагрузка не произойдёт.
Однако, если вы хотите исключить перезагрузку в любое время в течение суток (например, с 12:00 AM по 12:00 AM), лучше поставить активные часы с 12:00 AM по 11:59 PM, а с 11:59 PM до 12:00 AM будет неактивное время.

Задача состоит в том, чтобы перезагрузка не произошла во время активных исследований. Если активные часы будут установлены, например, с 6 AM до 11 PM, система не будет делать перезагрузку в эти часы. Если вам нужно максимально безопасное время, скорее всего, нужно задать более раннее время в 6 AM — 11 PM или даже раньше, чтобы минимизировать риски.

План действий:

Задать активные часы с 12:00 AM до 11:59 PM.
Убедиться, что политика "No auto-restart with logged on users" включена.
Оставить перезагрузку на усмотрение пользователя.
Дай знать, получилось ли корректно настроить активные часы, или есть сомнения по диапазону времени.