2016年2月3日

WSUSの「推奨される更新プログラム」の扱い


Windows10への無償アップデートが「オプションの更新プログラム」から「推奨される更新プログラム」へと格上げされました。


適用プログラムは「KB2952664」と「KB3035583」のようです。設定によってはですが通常はアップグレードプログラムは自動的に実行されるようです。ただしアップデート中に確認メッセージが表示されるようですので、アップデートしたくなければ拒否すれば良いですし、最初から2つの適用プログラムを拒否することもできます。

というわけで個人PCは対処可能なのですが、問題は会社のPCです。業務アプリの動作確認や周知徹底ができていないので(とりあえず)アップデートはしたくないのです。多くのユーザーは確認メッセージをスルーするでしょうから「何もしていないのにWindows10になった」と苦情が殺到するでしょう。

WSUS(Windows Server Update Services)を導入していますのでそこで拒否できないか調べてみました。WSUSで承認しないようにすれば良いのでしょうが、自動承認にしているのです。本来は良くないことなのでしょうが管理の手間を省くために仕方なくそうしています。適用にタイムラグを設けて、そのタイムラグの間に適用による不具合が世間で話題になった時だけ拒否する運用にしています。ですから承認ではじくのではなく、そもそも適用対象にしないようにしたいのです。

WSUSのコンソールで手動同期してから上記の更新プログラムを検索してみたのですが出てきませんでした。適用範囲外になっているようです。

「オプション」→「製品とクラス」→「クラス」を見ると以下のようになっていました。



チェックが入っているのは3つだけです。以前、ストレージがパンクした時に最低限のものしかチェックしないように設定しました。
・セキュリティ問題の更新プログラム
・重要な更新
・定義更新プログラム

一覧の中に「推奨される更新プログラム」はありません。上記2つのKBがWSUSに入っていないことから「推奨される更新プログラム」はチェックされた3つのクラスの中に入っていないということです。ではどこに含まれるのかということなのですが、調べたのですが結局わかりませんでした。「更新」に含まれると考えるのが妥当でしょう。

全ての「推奨される更新プログラム」を適用しないことの是非は置いておいて、ともかく今回はなにもする必要は無いようでした。

「推奨される更新プログラム」が適用されるかはクライアントの設定でも制御できます。「グループポリシーエディタ」で変更可能です。これを「無効」にすれば適用されません。


 説明を読むとデフォルトの「未構成」になっていれば「推奨される更新プログラム」は自動では適用されないように見えます。ということはデフォルトのままだったらWSUSで承認されても自動適用されない?と思いきや「未構成」だと「Windows Update」→「設定の変更」でユーザーが変更できるということで、さらにこの設定のデフォルトは「有効」なので結局は自動適用の対象になるということです。(分かり辛くてすみません)



0 件のコメント:

コメントを投稿