用户对客户端设备补丁更新保持怀疑态度,因为他们担心他们的计算机会在未经许可的情况下突然自己重启,丢失数据。虽然,您可以在更新后推迟重新启动并安排选择的时间,具体取决于更新Windows在未经您许可的情况下仍可能在一段时间后重新启动您的计算机,如果没有重新启动它将无法正常运行。
通常我们安装补丁更新之前,需要做准备工作 。首先,确保我们的数据在多个位置备份,因此如果系统崩溃,我可以重建我的计算机并从备份中恢复数据。我在网络上的两个位置备份数据,另外我在云端备份。云的备份在后台静默运行,不会干扰我的日常任务。有时我会意外删除文件或覆盖数据,有时不得不去云端抓取我想要的文件。
下面我们介绍使用组策略阻止Windows 10在安装更新后未经我的许可重新启动。
您可以配置两种类型的组策略。在域环境中,您可以使用Active Directory配置可能影响网络上的多台计算机的设置,Windows工作站或Windows服务器。如果您没有Active Directory的域环境,那么即使您只有一台计算机,工作组环境。换句话说,所有Windows计算机都是域或工作组的一部分。如果您处于工作组环境中,例如10个或更少计算机的小型网络,或者您在家中使用台式机或笔记本电脑,则可以使用本地组策略编辑器来获得相同的结果。
在域上配置组策略
登录到您的某个域控制器并按照此过程操作。
1. 在域控制器上启动组策略管理控制台(GPMC),然后转到 GPMC - >林:Contoso.com - >域 - > Contoso.com - >组策略对象 - >默认域策略。您可以使用任何其他组策略。如果您计划将策略应用于默认域策略,我建议您创建另一个策略并将其称为Contoso默认域策略 ,然后将此策略应用于Contoso.com域。您只需单击并将创建的新策略拖到Contoso.com即可将其链接。您还可以选择性地为一个部门或多个部门中的特定计算机创建和应用策略,而无需将其应用于整个域。
2. 编辑 Contoso默认域策略。
![clip_image001[26]](https://www.zubairalexander.com/blog/wp-content/uploads/2017/12/contoso-group-policy-01.png "clip_image001[26]")
3. 转到以下位置:计算机配置 - >管理模板 - > Windows组件 - > Windows Update。
4. 双击“没有自动重启,登录用户进行计划自动更新安装”。
![clip_image002[20]](https://www.zubairalexander.com/blog/wp-content/uploads/2017/12/contoso-group-policy-02.png "clip_image002[20]")
5. 选择“已启用”单选按钮,然后单击“确定”以应用该设置。
![clip_image003[20]](https://www.zubairalexander.com/blog/wp-content/uploads/2017/12/contoso-group-policy-03.png "clip_image003[20]")
6. 验证设置的状态已经从未配置,以启用,然后关闭组策略管理编辑器。
![clip_image004[20]](https://img2018.cnblogs.com/blog/1015389/201903/1015389-20190326230600063-1260304495.png "clip_image004[20]")
7. 你可以在每台计算机上运行gpupdate / force来立即实现更改,这在大多数情况下是不实际的; 或重新启动所有计算机,这在大多数情况下也不理想; 或者等待计算机上下一次自动更新计算机设置,这是此类非紧急修改的合理选择。您始终可以在任何计算机上使用管理凭据在命令提示符下运行gpupdate / force,这将刷新本地计算机上的计算机策略和用户策略。运行gpupdate没有什么害处,在所有计算机上运行它只是太多的工作。
说明:
在组策略管理编辑器的右侧窗格中选择“ 扩展”选项卡后,上面的屏幕截图所示,您可以阅读每个策略设置的说明。此策略指定要完成计划安装,自动更新将不会自动重新启动计算机。它将等待登录的用户重新启动计算机。
“如果状态设置为”已启用“,则在用户登录计算机时,自动更新将不会在计划安装期间自动重新启动计算机。相反,自动更新将通知用户重新启动计算机。“
此策略,必须重新启动计算机才能使更新生效。如果状态设置为“已禁用”或默认设置为“未配置”,则“自动更新”将让用户知道计算机将在5分钟后自动重新启动以完成安装。
注意:仅当自动更新配置为执行计划的更新安装时,此策略才适用。如果禁用“配置自动更新”策略,则此策略不起作用。
在本地计算机上配置组策略
如果您不想在域中的多台计算机上实现此更改,则可以使用本地组策略编辑器(gpedit.msc)在本地计算机上配置此策略。您可以随时在任何Windows计算机上使用本地组策略编辑器。但是,根据域管理员在Active Directory中配置组策略的方式,本地策略可能会被域策略取代。
1. 在Windows计算机上,在“搜索”框中键入gpedit.msc,然后按Enter键。
2. 转到计算机配置 - >管理模板 - > Windows组件 - > Windows Update。
![clip_image005[12]](https://www.zubairalexander.com/blog/wp-content/uploads/2017/12/contoso-group-policy-05.png "clip_image005[12]")
3. 双击“没有自动重启,登录用户进行计划自动更新安装。”并选择“启用”。
4. 单击“确定”并关闭“本地组策略编辑器”。
5. 使用管理凭据运行命令提示符,键入 gpupdate / force ,然后按Enter键。这将刷新本地计算机上的计算机策略和用户策略。您也可以注销并重新登录,或重新启动计算机以应用更改,但一般情况下,只有在应用的策略不起作用时才需要执行此操作。
![clip_image006[8]](https://img2018.cnblogs.com/blog/1015389/201903/1015389-20190326230601831-1445271817.png "clip_image006[8]")
6. 当系统提示您重新启动计算机时,可以单击“暂停”以稍后再次提醒,选择要重新启动计算机的时间,或者如果可以,则重新启动计算机。
![clip_image007[8]](https://www.zubairalexander.com/blog/wp-content/uploads/2017/12/windows10-update-notification.png "clip_image007[8]")
注意:使用GPMC在域上配置策略时,它不会修改本地组策略编辑器。它只是通过域控制器上的Active Directory实现组策略。如果在本地计算机上配置与域策略冲突的策略,则将实施域策略。策略应用顺序:
本地 - >站点 - >域 - >组织单位
首先应用计算机上的本地组策略设置,然后在Active Directory站点级别配置的策略生效,然后在域级别配置策略,最后应用组织单位级别的策略。这使企业域管理员可以完全控制实施公司策略,防止员工绕过组织在域级别应用的策略。