Microsoft ya está desplegando Windows 11 de forma automática a través de Windows Update ya que a nivel comercial les interesa tener la máxima base de clientes migrados cuanto antes. En el caso que gestionemos una red empresarial es muy probable que queramos por el momento evitar esa actualización o aplicarla únicamente a un grupo determinado de máquinas, vamos a ver cómo podemos hacer eso fácilmente con las políticas de grupo.
Una nueva versión de sistema operativo no es un tema menor, aparte de los potenciales problemas de seguridad y estabilidad tenemos que tener en cuenta que todo nuestro software y servicios sigan operando con normalidad, para ello, de la misma manera que ha sido siempre importante controlar las actualizaciones de Windows 10 lo es aún más tener totalmente bajo control la de Windows 11. Vamos a repasar cómo indicar que versión de producto y de funcionalidades queremos tener en nuestras máquinas.
Gestionando actualizaciones de Windows a través de GPO
Lo primero que tenemos que hacer es, si no los tenemos ya, descargar y aplicar los templates ADMX de la actualización 21H2 (de Windows 10) ya que en ellos se incluyen las opciones necesarias y nos van a permitir la gestión de nuestras máquinas con las últimas opciones disponibles. En este otro Cybertruco, podemos ver toda la información para descargar e instalar los mismos.Una vez realizados los pasos anteriores ya tendremos nuestros ADMX actualizados.
Ahora accedemos a la consola de gestión de políticas de grupo (gpmc.msc) y dentro de cualquiera de nuestras GPO encontraremos la sección de Windows Update siguiendo la ruta
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update > Windows Update for Business
Si hacemos caso a la documentación ahora mismo disponible de Microsoft (enlace) podemos, sin hacer nada, estar relativamente tranquilos en este aspecto ya que indican que si tenemos en uso las políticas a nivel de GPO de Windows Update for Business a no ser que lo explicitemos nuestras máquinas no recibirán esa actualización automática. Pero dicho esto y si preferimos no quedar en la medida de lo posible a expensas de cambios en estas normas de Microsoft lo mejor es controlar esto con nuestras políticas de grupo. A través de ellas podemos especificar qué máquinas reciben qué actualizaciones y cuándo, esto que será tratado en otro Cybertruco incluye lo que nos preocupa hoy, que es como controlar la potencial actualización a Windows 11.
Una vez estando en la política correspondiente y en la ruta que hemos visto antes, solo nos quedará editar la entrada de “Select the target Feature Update Version” que tendremos disponible tras haber actualizado los ADMX. En esta entrada tenemos dos campos en las opciones
- La versión de Producto de Windows
- La versión de características
Como veis en la siguiente imágen, para evitar que la actualización de Windows 11 sea ofrecida a nuestros usuarios deberemos marcar el producto como Windows 10 y en principio la versión de características no haría falta especificarla, pero he puesto la versión (21H2) a modo de ejemplo por si también queréis hacerlo. De esa manera si en un futuro apareciese una nueva gran actualización de Windows 10, se podría controlar su disponibilidad.
En el caso que queráis aplicar inmediatamente los cambios, abrid CMD y ejecutad
gpupdate /force
Espero que os sea de utilidad, saludos
