我正在尝试管理运行 Windows Server 2016 的 RDS 环境。我注意到登录到终端服务器的用户会收到提示并能够安装 Windows 更新。客户要求将此功能仅限于管理员使用。
根据 Microsoft 的文档,这是预期的默认行为。以下文章建议使用组策略Computer Configuration > Administrative Templates > Windows Components > Windows Update > Remove access to use all Windows Update features.:
如何阻止用户访问 Windows Server 上的 Windows 更新
使用组策略配置适用于企业的 Windows 更新Use Group Policy to configure Windows Update for Business
然而,应用此策略(至少在 Server 2016 上)会阻止每个人安装更新,包括管理员。
这是有同样问题的人提出的问题其中没有明显的解决方案,甚至没有能力阻止用户接收更新通知。
这是关于有人试图暂时禁用该策略的问题以便能够安装更新。虽然这充其量只是一个丑陋的解决方法,但我似乎能够强制 Windows 更新实际上读通过运行 来更新当前策略usoclient StartScan。我认为这种方法可以变成一个 powershell 脚本,但是更新扫描有时会花费很长时间,因此这对于及时手动触发更新来说并不实用。更不用说根据问题,这个仅有的可以工作,因为服务器仍在运行 v1607。
即使删除 Windows 更新功能访问权限的策略处于活动状态,是否可以使用安装更新usoclient?我尚未测试过这一点,因为安装更新会阻止我执行进一步的测试,直到有另一个更新可用。
有没有办法将上述政策仅适用于用户?
说实话,如果有一种方法可以防止向用户显示更新通知,我甚至会很高兴。他们根本无法安装更新并不是绝对必要的,因为在我看来,不太可能有人会主动打开 Windows 更新设置菜单。