Configuration de Windows Update par GPO

Windows Update peut être géré par GPO.

Les postes peuvent utiliser Windows Update "classique", Windows Update for Business (WUfB) ou WSUS.

Dans mon cas, les mises à jour sont déployées par WSUS.

Nous allons voir ici l'expérience utilisateur de ces mises à jour.

Certaines GPO existent mais ne sont pas fonctionnels. De plus, plusieurs stratégies ne sont pas recommandées par Microsoft. Pour plus d'infos, voir Why you shouldn’t set these 25 Windows policies.

La bonne pratique désormais est d'utiliser des dates d'échéances et des périodes de grâce. Pour plus d'infos, voir Manage how users experience updates, Windows quality update end user experience et Windows feature update end user experience.

Exemple pour les mises à jour de fonctionnalités avec la GPO configurée ci-dessous :

1 - La mise à jour est approuvée le lundi. La personne aura 7 jours pour redémarrer son PC (des notifications apparaitront). Si le PC n'est pas redémarré, il redémarrera automatiquement même durant les heures d'activités après 7 jours.

2 - La mise à jour est approuvée le lundi. Le pc n'est démarré qu'une semaine plus tard ; on utilisera alors la période de grâce. Le pc aura 2 jours pour être redémarré (des notifications apparaitront) ou celui-ci s'effectuera automatiquement, même durant les heures d'activités.

On se basant sur ces deux documentations de Microsoft, on obtient le résultat suivant (à modifier selon vos besoins) :

Et en français :

Dans notre cas, les ordinateurs ne redémarreront pas en dehors des heures d'activités si la date d'échéance (deadline) n'est pas dépassée. Ce paramètre est la case à cocher "Don't auto-restart until end of grace period".

Pour plus d'infos sur le comportement de l'ordinateur avec la mise en place des dates d'échéances et de grâce, voir https://learn.microsoft.com/en-us/windows/deployment/update/waas-wufb-group-policy#i-want-to-keep-devices-secure-and-compliant-with-update-deadlines.

Un exemple :

Installation du rôle AD DS (Contrôleur de domaine) et DNS

Ajouter un contrôleur de domaine secondaire

Activer la corbeille Active Directory

Monter un partage par GPO par OU

Créer des GPO pour Chrome

Déployer un .msi par GPO

Déployer un fond d'écran par GPO

Déployer des favoris Chrome via GPO

Gérer Edge par GPO

Déployer des favoris Edge par GPO

Gérer OneDrive par GPO

Configuration de Windows Update par GPO

Installation du rôle DHCP

Fail-over DHCP

Installation du rôle WSUS et synchronisation

Optimisation de WSUS

Ciblage des postes clients pour les mises à jour via le serveur WSUS

Création de vues

Création des GPO pour le ciblage WSUS et des groupes de tests des mises à jour

Approbation des mises à jour

Installation du runtime Microsoft Report Viewer

Approbation automatique des mises à jour de définition (Windows Defender)

Mise en place du TLS/SSL pour WSUS

Résoudre l'apparition de duplicatas de WSUS dans la console

Installation automatique des définitions de Microsoft Defender

Windows Server 2022 et WSUS

WDS

Extraire les pilotes de VMware Tools

Convertir un fichier ESD en WIM

MDT : Microsoft Deployment Toolkit

Créer une image de référence 21H2

Impossible de trouver le fichier script "C:\LTIbootstrap.vbs".

Déployer une image de référence avec MDT et WDS

MDT / WDS avec base de données SQL

Modifier le registre d'une image Windows

Exemple : MDT avec SQL

Erreur "Verify BCDBootEx" avec MDT

Installation de Windows Admin Center

Convertir un certificat letsencrypt en .pfx (admin center)

Ajouter des serveurs dans Admin Center

Installation de l'autorité de certification racine

Configuration Radius NPS pour l'authentification 802.1x via EAP-TLS

Déploiement du wifi 802.1x PEAP-TLS par GPO

Audit et sécurisation (hardening) d'AD CS

Configuration de Windows Update par GPO