使用组策略 (GPO) 禁用检查更新

本文介绍如何使用组策略禁用检查更新。为了防止用户从 Microsoft 手动下载更新，您可以禁用检查更新按钮。

如今，大多数组织都使用 Configuration Manager 将软件更新部署到计算机。为什么？因为 SCCM 可以轻松部署和管理更新。

通过配置管理器部署软件更新，您可以确保客户端计算机已使用最新更新进行修补。

软件更新点 (SUP) 与 WSUS 服务交互以配置软件更新设置并请求同步软件更新元数据。

如果您已设置独立的 WSUS 服务器来将 Windows 更新部署到您的计算机，请确保仅将批准的更新部署到所有计算机。

当您使用 ConfigMgr/WSUS 管理更新时，您基本上可以完全控制您部署的更新。您不希望用户手动检查 Microsoft 更新的更新并安装它。

如果您允许用户从 Microsoft 更新检查更新，则任何用户都可以下载更新并安装。您不希望用户下载不需要的更新并导致笔记本电脑出现问题。

当 WSUS 或 SCCM 尝试部署最新更新时，它会检测客户端计算机已安装更新。

为什么要禁用检查更新？

以下是您应阻止域用户使用 Windows 中的检查更新选项的一些原因。

1. 用户可以手动转到开始 > 设置 > Windows Update 并运行检查更新。应在域计算机上禁用此选项，因为用户可以手动下载未经批准的更新。由于这些更新未经管理员测试，因此可能会影响计算机的稳定性。
2. 当用户从 Microsoft 更新手动下载并安装更新时，可能会发生操作系统升级。在一些组织中就出现过这种情况，仅仅因为用户想要更新版本的操作系统而进行操作系统升级。升级后，某些应用程序可能无法正常运行，某些设置可能会发生变化。总的来说，回滚操作系统对系统管理员来说是一个很大的挑战。为了防止出现此类情况，您可以限制用户检查 Microsoft 的更新。
3. 允许用户手动检查 Microsoft 更新中的更新违背了在设置中使用 WSUS（配置管理器）的目的。当您投入资金购买向域计算机部署更新的工具时，当用户直接从 Microsoft 更新下载更新时，它是没有用的。

下面的屏幕截图来自刚刚加入 AD 域并由 Configuration Manager 管理的计算机。

请注意，检查更新按钮已激活并已启用。此外，还有可供安装的累积更新。

如果用户单击下载并安装，质量更新将从 Microsoft 更新下载并安装在计算机上。

用户可能认为计算机需要该可选更新，但它明确指出这是可选的质量更新。

现在，您明白为什么必须在域计算机上禁用更新检查的原因了吗？

因此，在大多数组织中，都会向客户端计算机部署组策略以禁用从 Microsoft 更新站点在线检查更新。

值得庆幸的是，通过“删除使用所有 Windows 更新功能的访问权限”GPO 设置，管理员可以禁用用户的“检查更新”选项。

组策略设置实质上阻止了对 Windows 更新的访问。如果启用此策略设置，用户对 Windows 更新扫描、下载和安装的访问权限将被删除。

任何后台更新扫描、下载和安装都将继续按配置运行。

如何使用组策略禁用检查更新

禁用计算机更新检查的最佳方法是使用组策略 (GPO)。组策略可用于将安全设置应用于用户和计算机。

组策略允许管理员为用户和计算机定义安全策略。 GPO 是一个广泛的主题，您可以从 Microsoft 文档开始了解组策略。

创建组策略时，可以将其部署到整个 AD 域或选择组织单位。每当您创建新的 GPO 时，请确保在试点计算机上对其进行测试，然后将其部署到更广泛的计算机上。

让我们创建一个新的组策略，禁止检查 Microsoft Update 的更新。启动服务器管理器并单击工具 > 组策略管理控制台。

在组策略管理控制台中，展开域并右键单击“组策略对象”并选择“新建”。

将 GPO 名称指定为“禁用从 Microsoft Update 检查更新”或类似名称。单击确定。

创建 GPO 后，右键单击该 GPO 并选择编辑。编辑 GPO 并指定禁用检查更新的设置。

在组策略对象编辑器中，展开计算机配置 > 管理模板 > Windows 组件 > Windows 更新。

在右窗格中的设置列表中，右键单击设置删除对所有 Windows 更新功能的访问权限，然后选择编辑。

GPO 设置“删除使用所有 Windows 更新功能的访问权限”将删除扫描 Windows 更新的访问权限。检查 Microsoft 更新更新按钮将被禁用。

组策略结果 - 检查更新已禁用

应用上述组策略后，在客户端计算机上运行命令 gpupdate /force。

请阅读：如何修改 Windows 计算机的组策略刷新间隔。

在 Windows 10 计算机上，单击开始 > 设置 > Windows 更新。请注意，“检查更新”按钮现已禁用。从 Microsoft 更新在线检查更新的选项也消失了。

相反，您会看到此选项由您的组织管理。

让我们检查一下 Windows 11 计算机上的检查更新按钮是否被禁用。在 Windows 11 计算机上，单击开始 > 设置 > Windows 更新。是的，检查更新按钮被禁用。在线检查 Microsoft 更新更新的选项不可用。