A través de las políticas de grupo podemos fácilmente filtrar en que equipos y de qué manera se distribuyen las actualizaciones de Windows 10 o directamente bloquearlas hasta el momento que queramos aplicarlas. Vamos a ver cómo podemos hacer esto de manera centralizada para todos nuestros clientes.

windows updates gpo

 

Ante todo, mantener las actualizaciones automáticas es lo más recomendable en la mayoría de casos pero en ciertas ocasiones y/o escenarios tenemos que controlar esos eventos como en escenarios en los que deseemos actualizar ciertas máquinas con las últimas actualizaciones pero tengamos otras que por algún requerimiento prefiramos testear todas las actualizaciones antes de lanzarlas a producción en nuestra red..

Para ello vamos a ver cómo podemos editar la GPO correspondiente para cambiar este comportamiento

  1. Entramos en nuestro controlador de dominio y abrimos el editor de políticas de grupo
  2. Identificamos y editamos la GPO que queramos editar, recordad que podemos editar este setting individualmente para cualquier GPO y que está este aplicada a cualquier OU del dominio para una aplicación granular
  3. Navegamos a la ruta Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update
    y hacemos doble click sobre la política de Configure Automatic Updates
  4. Si queremos deshabilitar completamente las nuevas actualizaciones de Windows, marcamos la opción de “Disabled”, aplicamos y salimos del editor.

Alternativamente si no queremos desactivar las actualizaciones completamente podemos desactivar la descarga y/o actualización automática seleccionando alguna otra de las opciones disponibles en la misma política.

  • Notificar para descarga y auto instalación
  • Auto descarga y notificar para instalación
  • Auto descarga y planificación de instalación (suele ser la opción por defecto en cliente)
  • Permitir al administrador local elegir la configuración

La opción más cercana a deshabilitar las actualizaciones sería “Notificar para descarga y auto instalación”. De todas maneras a tener en cuenta que a través de GPO es muy sencillo cambiar esa política para dar paso o volver a cortar actualizaciones

Otra política útil en este caso es la de bloquear en que horas un equipo no puede forzar un reinicio debido a actualizaciones, esta política la encontramos en la misma ruta que la anterior con el nombre “Turn off auto-restart for updates during active hours” y en ella simplemente marcamos una hora de inicio y otra de final para evitar que algún equipo se reinicie durante esas horas.