微软分享有用的组策略教程，以充分利用 Windows 更新

微软为组织分享了一个有用的参考，以便为各种设备设置适当的组策略设置。这些包括：

• 单用户或个人设备
• 多用户设备
• 教育设备
• 售货亭和广告牌
• 工厂机器、过山车和类似的东西
• 微软团队会议室设备

但是，该公司建议大多数用例使用默认设置。此处讨论的政策可在此处找到：政策 CSP - 更新

管理单用户设备

单用户设备是由一个人使用的用户拥有或公司拥有的设备。除了个人计算任务之外，这些设备还可用于混合工作活动，包括会议、演示和任何数量的其他任务。对于这些任务中的任何一项，中断都会阻碍生产力。鉴于这些设备经常连接到公司网络并访问敏感信息，因此它们必须保持安全。鉴于对安全性的更高需求，应该考虑一些支持的策略。

这种情况可能需要：

• 在工作日或积极使用设备时减少中断。
• 在会议和/或演示期间不能取下设备。
• 必须保存所有数据。
• 希望对他们的设备有一定程度的控制。
• 设备必须符合特定的合规标准。

注意：除确保设备符合特定合规标准外，所有要求均通过默认体验实现。

政策	描述	何时设置它以及为什么
GP 名称： 指定自动更新和重新启动的截止日期 GP 设置名称： 对于质量更新： Deadline（天）、Grace period（天） 对于功能更新： Deadline（天）、Grace period（天） CSP 名称： 对于质量更新：ConfigureDeadlineForQualityUpdates、 ConfigureDeadlineGracePeriod 对于功能更新：ConfigureDeadlineForFeatureUpdates， ConfigureDeadlineGracePeriodForFeatureUpdates	此策略允许您指定在用户可能在场的活动时间内强制在设备上安装更新之前的天数。	对于有合规需求或与设备保持安全相关的商业或教育环境，始终建议使用此策略。 注意：从我们的角度来看，安全是最重要的，截止日期是确保安全的好方法。

通过策略指定自动更新和重启的截止日期

多用户设备

多用户设备是多人在一段时间内使用的共享设备。这是一种常见的情况，尤其是对于在实验室或图书馆环境中使用的 HoloLens 或 PC 等设备。对于这些设备，可能有一段时间可以使用。例如，如果它们在不允许在上午 12 点后访问的实验室中通宵通电，那么您可以放心地在那个时候更新它们。此外，您可能不希望最终用户安排更新，因为他们可能会在另一个用户在场时不方便地安排更新，这会导致糟糕的体验。

这种情况可能需要：

• 在使用期间几乎没有通知。
• 使用期间不会自动重启。
• 最终用户不应该能够安排重新启动。
• 在特定时间安排自动唤醒和重新启动。
• 保持安全和受保护的设备。

注意：以上大部分都可以通过没有配置策略的默认体验来实现。也就是说，如果默认体验不能满足您的需求，您可以考虑以下方法。

政策	描述	何时设置它以及为什么
GP 名称： 配置自动更新 GP 设置名称： 计划安装时间：每天 X 时间 CSP 名称： AllowAutoUpdate = 3, ScheduledInstallTime	此策略使您能够管理自动更新行为。 计划安装时间 (3) 将设备限制为在指定时间安装，直到达到最后期限。	如果未配置策略，最终用户将获得默认行为（自动安装和重新启动）。如果未指定日期和时间，则默认为每天凌晨 3 点。 仅当多用户设备不使用时存在常规特定窗口时，才建议使用此策略。
GP 名称： 删除使用所有 Windows 更新功能的访问权限 GP 设置名称： 不适用 CSP 名称： Update/SetDisableUXWUAccess	此策略将删除最终用户从 Windows 更新设置页面扫描、下载或安装的能力。	仅当您的最终用户正在配置更新设置并导致更新行为扰乱共享设备的其他用户时，才建议使用此策略。
GP 名称： 在活动时间关闭自动重启更新 GP 设置名称： 活动时间：开始、结束 CSP 名称： ActiveHoursStart、ActiveHoursEnd	此策略使您能够指定设备不应重新启动的时间。 这会覆盖根据用户使用情况在设备上计算的默认智能活动时间。	我们建议您仅利用在设备上计算的默认内置智能活动时间。 也就是说，如果您认为有必要，并且如果在一段时间内允许使用设备或不允许重新启动，则可以利用此策略。例如，如果这是图书馆或实验室中的设备，并且您发现智能活动时间不能满足您的需求，您可能希望将活动时间设置为该建筑物的工作时间，以确保设备不会更新直到不再使用。
GP 名称： 指定自动更新和重新启动的截止日期 GP 设置名称： 对于质量更新： Deadline（天）、Grace Period（天） 对于功能更新： Deadline（天）、Grace Period（天） CSP 名称： 对于质量更新：ConfigureDeadlineForQualityUpdates、ConfigureDeadlineGracePeriod 对于功能更新：ConfigureDeadlineForFeatureUpdates，ConfigureDeadlineGracePeriodForFeatureUpdates	此策略允许您指定在用户可能在场的活动时间内强制在设备上安装更新之前的天数。	对于有合规需求或与设备保持安全相关的商业或教育环境，始终建议使用此策略。 注意：从我们的角度来看，安全是最重要的，截止日期是确保安全的好方法。

教育设备

教育设备是学生和教师在学校环境中使用的单用户或共享设备。这既包括个人设备，也包括可能存储在教室电脑推车中以供共享使用的设备。对于这种情况，任何形式的通知都可能在课堂环境中造成极大的破坏。

这种情况可能需要：

• 上课期间没有通知。
• 上课期间不会自动重启。
• 保持安全和受保护的设备。

注意：虽然默认设置可能无法在上课期间自动重启，但您可能需要考虑以下事项以确保设备受到保护并防止在上课期间收到通知。

政策	描述	何时设置它以及为什么
GP 名称： 更新通知的显示选项 GP 设置名称： 关闭通知。选中“仅在活动时间应用”复选框 CSP 名称： UpdateNotificationLevel 、 NoUpdateNotificationsDuringActiveHours（目前仅在活动分支中）	此策略允许您定义用户看到的 Windows 更新通知，包括关闭所有通知（包括重启警告）的能力。 “仅在活动时间应用”会导致通知仅在活动时间关闭。	“仅在活动时间内应用”的功能是新的，目前仅适用于 Windows Insider Program for Business 中利用 Dev 或 Beta 渠道的设备。此策略允许您仅在活动时间关闭 Windows 更新通知。请在 Beta 频道试用体验并提供反馈！ 对于使用 Windows 10 或 Windows 11 版本 21H2 设备的用户，我们不建议配置此选项，而是建议利用默认体验。
GP 名称： 指定自动更新和重新启动的截止日期 GP 设置名称： 对于质量更新： Deadline（天）、Grace Period（天） 对于功能更新： Deadline（天）、Grace Period（天） CSP 名称： 对于质量更新：ConfigureDeadlineForQualityUpdates、ConfigureDeadlineGracePeriod 对于功能更新：ConfigureDeadlineForFeatureUpdates，ConfigureDeadlineGracePeriodForFeatureUpdates	此策略允许您指定在用户可能在场的活动时间内强制在设备上安装更新之前的天数。	对于有合规需求或与设备保持安全相关的商业或教育环境，始终建议使用此策略。 注意：从我们的角度来看，安全是最重要的，截止日期是确保安全的好方法。
GP 名称： 在活动时间关闭自动重启更新 GP 设置名称： 活动时间：开始、结束 CSP 名称： ActiveHoursStart、ActiveHoursEnd	此策略使您能够指定设备不应重新启动的时间。 这会覆盖根据用户使用情况在设备上计算的默认智能活动时间。	我们建议您仅利用在设备上计算的默认内置智能活动时间。 也就是说，如果您认为有必要，并且如果在一段时间内允许使用设备或不允许重新启动，则可以利用此策略。例如，如果这是图书馆或实验室中的设备，并且您发现智能活动时间不能满足您的需求，您可能希望将活动时间设置为该建筑物的工作时间，以确保设备不会更新直到不再使用。

最终用户更新通知的显示选项

售货亭和广告牌

信息亭是简单的用户界面，无需培训或文档即可使用来完成特定任务或获取信息。一个例子是自动柜员机（ATM）。这些设备通常长时间无人看管，这意味着没有最终用户可以与之交互或触发重启。类似地，传达信息的广告牌通常旨在显示或获取来自最终用户的交互，但没有与更新交互的最终用户。然而，这些设备需要保持安全和最新，尽管最终用户不会通过在屏幕上看到“立即重启”通知来步行或开车。

这种情况可能需要：

• 没有通知。
• 在某些时期没有自动重启。
• 在低可见性/使用情况下安排特定时间重新启动。
• 没有最终用户交互。

注意：默认情况下，安装完成后，设备将在活动时间以外自动重启。但是，为确保没有通知中断，我们建议配置以下内容。

政策	描述	何时设置它以及为什么
GP 名称： 更新通知的显示选项 GP 设置名称： 关闭通知 CSP 名称： UpdateNotificationLevel	此策略允许您定义用户看到的 Windows 更新通知。这包括关闭所有通知的能力，包括重启警告。	对于没有活跃最终用户的设备，建议使用此策略，因为通知可能具有破坏性且无用（例如信息亭和广告牌）。
GP 名称： 配置自动更新 GP 设置名称： 计划安装时间：每天 X 时间 CSP 名称： AllowAutoUpdate = 3, ScheduledInstallTime	此策略使您能够管理自动更新行为。 计划安装时间 (3) 将设备限制为在指定时间安装，直到达到最后期限。	如果未配置策略，设备将遵循默认行为（自动安装和重启）。如果未指定日期和时间，则默认为每天凌晨 3 点。 当信息亭或广告牌的使用率或可见度较低的特定时段时，可以使用此策略。也就是说，您可以通过配置活动时间来获得类似的结果（见下一行）。
GP 名称： 在活动时间关闭自动重启更新 GP 设置名称： 活动时间：开始、结束 CSP 名称： ActiveHoursStart、ActiveHoursEnd	此策略使您能够指定设备不应重新启动的时间。 这会覆盖根据使用情况在设备上计算的默认智能活动时间。	当设备最有可能在使用或可见时，您可以将活动时间配置到窗口。这将确保在可能导致较少中断的情况下在该窗口之外进行重新启动。
GP 名称： 指定自动更新和重新启动的截止日期 GP 设置名称： 对于质量更新： Deadline（天）、Grace Period（天） 对于功能更新： Deadline（天）、Grace Period（天） CSP 名称： 对于质量更新：ConfigureDeadlineForQualityUpdates、ConfigureDeadlineGracePeriod 对于功能更新：ConfigureDeadlineForFeatureUpdates，ConfigureDeadlineGracePeriodForFeatureUpdates	此策略允许您指定在用户可能在场的活动时间内强制在设备上安装更新之前的天数。	对于有合规需求或与设备保持安全相关的商业或教育环境，始终建议使用此策略。 注意：从我们的角度来看，安全是最重要的，截止日期是确保安全的好方法。

工厂机器、过山车和类似的东西

有些设备我们通常甚至认为不需要更新，除非我们是管理它们的人。工厂车间的机器、游乐园的过山车以及其他关键基础设施都可能需要更新。鉴于这些设备的重要性，它们保持安全、保持功能并且不会在任务中间中断是至关重要的。通常这些是最后一波中的一些设备，在其他所有内容都经过验证后推出更新时。

这种情况可能需要：

• 最终用户在特定时间启动更新或更新。
• 永远不会自动重启。

注意：这是唯一不建议遵守最后期限的用例之一，因为在这种情况下永远不能接受自动更新。

政策	描述	何时设置它以及为什么
GP 名称： 配置自动更新 GP 设置名称： 计划安装时间：每天 X 时间 或 通知下载/通知安装 CSP 名称： AllowAutoUpdate = 3, ScheduledInstallTime 要么 允许自动更新= 0	此策略使您能够管理自动更新行为。 计划安装时间 (3) 将设备限制为在指定时间安装，直到达到最后期限。 通知下载 (0) 将要求最终用户采取措施（通过通知或设置页面）下载更新。	建议在设备不使用的特定时间段内使用计划安装策略。 仅在最终用户未触发的任何意外更新产生负面后果的情况下，才建议通知下载或通知安装。 注意：如果需要完全控制，您还可以通过禁用此策略来禁用自动更新，最终用户将不得不手动启动扫描、下载、安装和重新启动。仅在需要对更新进行高度接触管理的特定情况下才建议这样做。这使设备面临变得不安全和缺少更新的高风险。

Microsoft 团队会议室设备

微软团队会议室由Microsoft积极管理“开箱即用”。这使您能够采用无需干预的方法，Microsoft不需要任何策略Teams 会议室可通过经过验证的更新成功保持最新状态。默认情况下，仅更新Microsoft已验证将提供给设备并自动安装。我们建议不要在Microsoft上配置任何策略Teams Rooms 设备，尤其是任何产品策略，因为它们可能与Microsoft团队会议室管理已经到位。这些冲突会导致体验下降。了解有关 Microsoft 团队聊天室更新管理的更多信息。

以上是微软分享有用的组策略教程，以充分利用 Windows 更新的详细内容。更多信息请关注PHP中文网其他相关文章！