Windows 10 werkt met zogenaamde “ringen” voor de distributie van updates. Met Windows Update for Business en via groepsbeleid kunnen beheerders met deze ringen bepalen op welke computers welke updates wanneer geïnstalleerd moeten worden en hoe ze in het netwerk verspreid moeten worden.
Standaard biedt Windows 10 in de instellingen de optie om aanpassingen te doen met betrekking tot Windows-updates en bijvoorbeeld updates met maximaal 35 dagen terug te schuiven. Verder kan hier worden bepaald of een computer direct updates moet ontvangen (Current Branch) of pas na enige tijd (Current Brunch for Business), als deze worden getest op computers met de instelling Current Branch (zie figuur 1).
Naast de instellingsopties in de Windows 10 Instellingen-app zijn er echter ook instellingsopties beschikbaar in het groepsbeleid. Deze kunnen worden gevonden in de Groepsbeleid Editor onder “Computerconfiguratie_Beleidssjablonen/Windows Componenten/Windows Update”. Net als alle groepsbeleid werken de instellingen alleen op computers met Windows 10 Professional, Enterprise of Education.
Deployment Rings en Windows Update for Business
Met Deployment Rings kunnen beheerders centraal bepalen in welke afzonderlijke “waves” updates naar verschillende computers moeten worden gedistribueerd. Microsoft biedt de “Current Branch” en “Current Branch for Business” ringen al standaard aan. Een derde ring zou het gebruik van Insider previews zijn. Beheerders kunnen echter met extra ringen werken, bijvoorbeeld voor afzonderlijke afdelingen in het bedrijf.
Rekening houden met updatetypen
In principe maakt Windows 10 onderscheid tussen drie verschillende updatetypen:
- Feature Updates:Naast updates voor meer veiligheid en kwaliteit, bevatten deze updates ook nieuwe functies. Voorbeelden zijn de “Anniversary Updates” of de “Creators Update”. Deze updates kunnen tot 365 dagen worden uitgesteld, waarna ze moeten worden geïnstalleerd.
- Kwaliteitsupdates: Dit zijn conventionele updates, bugfixes en beveiligingspatches die geen nieuwe functies bieden. Updates voor Microsoft Office kunnen ook op deze manier worden verstrekt. Quality Updates kunnen 30 tot 35 dagen worden uitgesteld.
- Niet-uitstelbare Updates:Dit zijn bijvoorbeeld updates voor Windows Defender.
Instellingen voor Windows Updates voor Bedrijven aanpassen
De instellingen voor uitstel kunnen worden gemaakt in de Windows-instellingen (zie afbeelding 1), maar kunnen natuurlijk ook centraal worden ingesteld via groepsbeleid (zie afbeelding 2). De dialoog hiervoor is te vinden in de instellingen van het groepsbeleid onder “Computerconfiguratie”. Hier kunnen de instellingen voor feature updates en kwaliteitsupdates worden gemaakt.
Als de beleidsinstelling wordt geactiveerd, kan eerst worden bepaald of feature updates of kwaliteitsupdates van de “Current Branch” of “Current Branch for Business” moeten worden geïnstalleerd. Bovendien kan hier worden gespecificeerd vanaf welke datum en hoe lang de updates moeten worden uitgesteld (zie figuur 2). Microsoft geeft voorbeelden voor de configuratie in een stapsgewijze handleiding over dit onderwerp.
De bandbreedte en grootte van updates aanpassen
Verder zijn er belangrijke instellingen voor Windows-updates te vinden in het groepsbeleid onder “ComputerconfiguratiePoliciesAdministrative TemplatesWindows ComponentsDelivery Optimisation” (zie afbeelding 3). Hier kunt u specifiek de bandbreedte bepalen waarmee updates worden gedownload. Ook hier moeten instellingen worden gemaakt zodat de bandbreedte voldoende is voor de downloads. Microsoft geeft hier ook uitgebreide informatie over.
De waarden voor “Maximale downloadbandbreedte”, “Max. uploadbandbreedte” en “Minimale QoS-waarde op de achtergrond” moeten worden gecontroleerd en aangepast.
Verbin Windows 10 met WSUS
Windows Update for Business vervangt echter niet Windows Server Update Services (WSUS), maar vult WSUS aan. Naast de instellingen voor Windows Update for Business moeten bedrijven ook de configuraties van WSUS aanpassen. WSUS is in Windows Server 2016 nog vrijwel identiek opgezet als in Windows Server 2012 R2.
Het voordeel van WSUS in Windows 10 is dat zelfs de vrij grote updates gemakkelijk in het netwerk kunnen worden gedistribueerd. Dit bespaart aanzienlijk bandbreedte op het internet en beheerders kunnen grotere updates in groepen verspreiden. Beheerders configureren de automatische updates ook in het groepsbeleid in Windows 10 onder “Computerconfiguratie/Beleidsregels/Administratiesjablonen/Windows-componenten/Windows Update”.
Werkstations kunnen zo worden geconfigureerd dat ze automatisch updates van WSUS downloaden en installeren. De eerste optie hiervoor is “Specify internal path for Microsoft update service”. Deze optie wordt geactiveerd om Windows servers en werkstations te verbinden met WSUS (zie Figuur 4). Aangezien WSUS een webtoepassing is, moet de servernaam worden opgegeven met een HTTP-adres: http://:. WSUS kan ook worden gebruikt met HTTPS. Standaard gebruikt WSUS echter eerst HTTP.
De tweede belangrijke optie is het updategedrag, dat wordt gedefinieerd via “Automatische updates configureren”. De volgende opties zijn hoofdzakelijk beschikbaar:
- Notify before download and installation: Met deze optie waarschuwt Windows gebruikers voordat ze de updates downloaden en installeren.
- Automatisch downloaden, maar waarschuwen vóór installatie: Met deze optie downloadt de client de updates automatisch, maar vindt de installatie niet automatisch plaats. Deze instelling is optimaal voor servers.
- Autom. downloaden en installeren volgens schema: Bij deze installatie voorziet de client zichzelf volledig automatisch van de benodigde updates. Als de clients niet zijn ingeschakeld op het moment van de update, start Windows de update bij de volgende start.
- Lokale beheerder mag instelling selecteren: Met deze optie kunnen lokale beheerders de configuratie zelf selecteren.