Windows 更新在 Azure Windows Server 2019 VM 上显示“某些设置由你的组织管理”

Windows 更新在 Azure Windows Server 2019 VM 上显示“某些设置由你的组织管理”

这是 2020 年 5 月在 Azure 上创建的 Windows Server 2019。它是一台独立服务器。在“设置”>“更新和安全”>“Windows 更新”中,我看到消息“某些设置由您的组织管理”。当我单击“查看配置的更新策略”时,我看到我的设备上设置了策略:

Automatically download updates and install them on the specified schedule
Source: Administrator
Type: Group Policy

Set Automatic Update options
Source: Administrator
Type: Group Policy

我已经打开了本地组策略编辑器并导航至计算机配置 > 管理模板 > Windows 组件 > Windows 更新。所有这些设置均设置为“未配置”。

接下来,我检查该计算机是否位于某种域中。

  1. systeminfo领域是‘工作组’。

  2. 我跑过去dsregcmd /status看到AzureAdJoined企业加入域名已加入答案都是‘否’。

  3. 使用gpresult /r提升的命令提示符,我可以看到在计算机设置和用户设置中,都没有应用组策略。

那么这些 Windows 更新策略从何而来?我见过类似的问题这里,但尚未得到答复。

答案1

这些是在注册表中设置的,HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU正如@GregAskew 所说。您提到的两个键似乎是公共 Server 2019 数据中心 VM 映像的默认设置(当然是我迄今为止在 Azure 中部署的 10 个左右的默认设置),这使得服务器操作系统可以随意下载和安装开箱即用的更新。

在初始“未配置”状态下,组策略会将所有这些设置显示为“未配置”,尽管至少有两个匹配的注册表项配置了部分设置(如您所识别的)。据我所知,任何未在注册表或组策略中配置的设置都可以由用户从控制面板界面进行操作。组策略编辑器中“配置自动更新”选项的帮助文本对此表示支持

如果状态设置为“未配置”,则在组策略级别未指定使用自动更新。但是,管理员仍然可以通过控制面板配置自动更新。

相反,正如您所期望的,只有在注册表或组策略中指定的那些才会被控制面板锁定。

一旦您开始通过组策略编辑设置,注册表项就会被修改和/或添加(相对于您在 GPEdit 中操作的特定组策略设置)。

尽管注册表或组策略中某些设置明显配置不足,Windows Update 仍将正常运行。例如,为了回答您在评论中提出的有关 AUOption 是否正常运行的问题,请再次仔细查看组策略编辑器中“配置自动更新”选项的帮助,其中指出:

如果未指定计划,则所有安装的默认计划为每天凌晨 3:00。如果任何更新需要重新启动才能完成安装,Windows 将自动重新启动计算机。(如果用户在 Windows 准备重新启动时登录到计算机,则将通知用户并提供延迟重新启动的选项。)

在我自己的 Azure 租户中,我通过组策略设置了“配置自动更新”3,将“安装其他 Microsoft 产品的更新”设置为 TRUE,并将所有内容保留为未配置状态。然后,我使用 Azure 更新管理来处理安装/重启的维护窗口和更新状态的监控,尽管我仍在测试,但到目前为止,它似乎运行良好。

相关内容