阻止用户在终端服务器上安装 Windows 更新

阻止用户在终端服务器上安装 Windows 更新

我正在尝试管理运行 Windows Server 2016 的 RDS 环境。我注意到登录到终端服务器的用户会收到提示并能够安装 Windows 更新。客户要求将此功能仅限于管理员使用。

根据 Microsoft 的文档,这是预期的默认行为。以下文章建议使用组策略Computer Configuration > Administrative Templates > Windows Components > Windows Update > Remove access to use all Windows Update features.

如何阻止用户访问 Windows Server 上的 Windows 更新

使用组策略配置适用于企业的 Windows 更新Use Group Policy to configure Windows Update for Business

然而,应用此策略(至少在 Server 2016 上)会阻止每个人安装更新,包括管理员

这是有同样问题的人提出的问题其中没有明显的解决方案,甚至没有能力阻止用户接收更新通知。

这是关于有人试图暂时禁用该策略的问题以便能够安装更新。虽然这充其量只是一个丑陋的解决方法,但我似乎能够强制 Windows 更新实际上通过运行 来更新当前策略usoclient StartScan。我认为这种方法可以变成一个 powershell 脚本,但是更新扫描有时会花费很长时间,因此这对于及时手动触发更新来说并不实用。更不用说根据问题,这个仅有的可以工作,因为服务器仍在运行 v1607。

即使删除 Windows 更新功能访问权限的策略处于活动状态,是否可以使用安装更新usoclient?我尚未测试过这一点,因为安装更新会阻止我执行进一步的测试,直到有另一个更新可用。

有没有办法将上述政策仅适用于用户?

说实话,如果有一种方法可以防止向用户显示更新通知,我甚至会很高兴。他们根本无法安装更新并不是绝对必要的,因为在我看来,不太可能有人会主动打开 Windows 更新设置菜单。

相关内容