Geräteverwaltung in Windows 10

Sie haben in den vorherigen Kapiteln die Konfiguration der Remote -Administration und der Jump -Server -Konfiguration zur Fehlerbehebung, Bereitstellung und allgemeinen Arbeitsnutzungsszenarien erfahren. In diesem Kapitel werden wir uns auf die neuen Funktionen der Mobile Device Management (MDM) von Windows 10 befassen, die Vorbehalte der Windows 10 GPO -Verarbeitung diskutieren und das Patching und Wartung einschließlich der Bereitstellungslösungen der erforderlichen Qualität und Funktionen betrachten Updates wie Windows Update (für Business), WSUs, SCCM und Drittanbieter.
Die folgenden Themen werden abgedeckt:

• Management für mobile Geräte
• Änderungen an GPOs in Windows 10
• Aktualisieren Sie Bereitstellungslösungen
• Patching und Wartung

Sich entwickelnde Geschäftsbedürfnisse

Laut Forrester Research ist Mobilität die neue Normalität. Informationsarbeiter werden die Grenze zwischen Unternehmens- und Verbrauchertechnologien löschen, und daher ist Mobilität sicherlich ein definierender Vektor in der Entwicklung der neuen Geschäftswelt. 56% der Informationsarbeiter senden ihre erste E -Mail, bevor sie ins Büro gelangen, und 73% senden ihre letzte E -Mail, nachdem sie das Büro verlassen haben. 52% der Informationsarbeiter verwenden drei oder mehr Geräte für die Arbeit.
Die Geschäftsbedürfnisse entwickeln sich mit der neuen Branche 4.0 von Mitarbeitern, die am Montag bis Freitag von 9 bis 5 in Richtung einer 24/7 -Unschärfe der Arbeit und der persönlichen Aktivitäten arbeiten. Von Computern auf einem LAN -Unternehmensnetzwerk in Bezug auf mehrere Geräte, jederzeit und überall; und aus lokalen Anwendungen und Dateihostern für Software As a Service (SaaS) und Cloud-basierte Dateihosting.
Außerdem müssen sich die alten School-Methoden zum Management von Computern entwickeln, ohne die Komplexität über den Wert zu erhöhen. Windows 10 hat MDM aktiviert:

In Windows 10 ist der MDM-Agent bereits mit FirstParty (Intune/SCCM) und Drittanbieterlösungen integriert und verwendbar. MDM -Richtlinien können auch vom Windows -Konfigurationsdesigner oder mit einer Skript und der WMI -Brücke (Integrated Windows Management Instrumentation) erstellt/angewendet werden. MDM -Richtlinien können in der Domäne, Azure AD verbunden, ad/azure ad hybrid verbunden und Azure AD AD -Konto hinzugefügt. MDM kann als leichter GPO -Ersatz für Computer verwendet werden, die nur Azure -Anzeigen und mobilen Lösungen wie Intune, AirWatch oder MobileIron verbinden.

Da alle verfügbaren Konfigurationen in Windows 10 nicht mehr von GPOs (z. Die WMI -Brücke oder eine kompatible Konfigurationslösung von Windows 10 wie Microsoft SCCM, Landesk und Wärme.
Da es mit jeder neuen Version von Windows 10 neue MDM -Konfigurationseinstellungen gibt, muss auch die von Ihnen verwendete Konfigurationslösung aktualisiert werden, um Schritt zu halten.

Management für mobile Geräte

Bei der Diskussion von MDM müssen wir in die Zeit zurückblicken, um seine Herkunft und einige seiner Grenzen zu verstehen. Bereits im Juni 2002 bildete sich die gemeinnützige Organisation Open Mobile Alliance (OMA). Die OMA -Spezifikation (OMA Device Management) wurde ursprünglich für die Verwaltung von Mobilgeräten wie Mobiltelefonen, Tablets und PDAs entwickelt. Es war beabsichtigt, Geräte bereitzustellen und zu konfigurieren und Software -Updates und Fehlerverwaltung zu aktivieren. Es gibt einen festen Satz von OMA DM -Protokollbefehlen, die alle Anbieter unterstützen. Derzeit unterstützt Windows 10 1607 und höher MDM Protocol Version 6.0. MDM-Konfigurationsobjekte werden in einer sogenannten OMA-IMA-Ressourcenkennung (OMA URI) gespeichert. Sie benötigen diese OMA-URI, um Ihrer MDM-Lösung benutzerdefinierte Richtlinien hinzuzufügen, wenn die Einstellung nicht außerhalb des Boxs verfügbar ist. Sie können die Verwendung eines solchen benutzerdefinierten URI als ähnlich dem Schreiben Ihrer eigenen benutzerdefinierten ADMX -Vorlagen vergleichen. Wie benutzerdefinierte ADMX -Dateien müssen einen unterstützten Registrierungsschlüssel schreiben, der OMA URI muss eine unterstützte Ressourcenkennung mit einem Konfigurationsdienstanbieter (CSP) ändern, der die URI interpretieren und anwenden kann. Benutzerdefinierte URIs können leicht zu Intune hinzugefügt werden. Wählen Sie die benutzerdefinierten Windows-Richtlinie und füllen Sie das Einstellungsfeld für das OMA-URI aus.
Hier ist ein Beispiel für das Dialogfeld:

Das folgende Diagramm zeigt als Beispiel den BitLocker -Konfigurationsdienstanbieter im Baumformat an. Wie Sie von ./device/vendor/msft sehen können, ist es nur ein URI, das nur für Microsoft -Produkte anwendbar ist:

Bei der Konfiguration dieses CSP wird eine Synchronisation Markup Language (SyncML) XML erzeugt und übertragen. Hier ist eine (teilweise) Stichprobe eines solchen SyncML Bitlocker XML:

Da Oma DMS und OMA -URIs aus dem Management der mobilen Geräte stammen, bevorzugt das Design dieser URIs ganzzahlige Werte für ihre Einstellungen, was für das Betriebssystem in Ordnung ist, aber für die menschliche Lesbarkeit etwas unangenehm ist. Daher benötigen Sie sehr oft die entsprechenden CSP -Seiten für die Übersetzung. Hier ist ein Beispiel für die möglichen Werte für Bitlocker -Verschlüsselungstypen:

Eine andere Sache, die Sie bei der Anzeige von MDM -Einstellungen auf Ihrem Client anzeigen sollten, ist, dass derzeit kein vergleichbares Tool wie gpresult.exe in Windows 10 integriert ist. Sie können alle angewandten Einstellungen durch Lesen der Registrierung erhalten, aber Sie werden nur eine lange Liste von Werten und Werten sehen und sehen nicht der Urheber des Wertes. Verwenden Sie die folgende Befehlszeile von PowerShell zum Lesen der Registrierung:
Get-iTem 'HKLM: \ Software \ Microsoft \ RictureManager \ Current \ Device \*'
Ein resultierender Satz von Richtlinien wie eine Protokolldatei kann in die Systemeinstellungen exportiert werden. Gehen Sie zu Einstellungen | Konten | Zugang zu Arbeit oder Schule | Exportieren Sie Ihre Verwaltungsprotokolldateien:

Leider ist diese Datei im klaren XML -Stil, was schwer zu lesen ist. Sie benötigen also einen Konverter, der derzeit nicht in Windows 10 integriert ist.
MDM -Richtlinien werden nach einem festen Zeitplan angewendet. Wenn Sie einen Windows -PC an Ihre MDM -Lösung beitragen/anmelden Windows RT).
Last but not least gibt es aufgrund der verschiedenen Ursprünge der MDM-Einstellungen in Windows 10 eine zusätzliche Komplexität. Neben dem eingebauten MDM-Client, der beispielsweise in Intune, AirWatch oder MobileIron angeschlossen werden kann, können MDM-Einstellungen durch induziert werden durch Exchange ActiveSync-Einstellungen, der integrierte EAS-Client und die integrierte WMI-Brücke, die von SCCM oder Windows PowerShell verwendet wird:

Abhängig davon, ob die MDM-Einstellung eine Sicherheitseinstellung oder Nichtsicherheit ist, gibt es bei der Anwendung auf einen Kunden unterschiedliche Überschreibungsregeln. Für Sicherheitseinstellungen wird die restriktivste Einstellung immer gewinnen. Bei Einstellungen ohne Sicherheit sind die Basiseinstellungen Microsoft-, OEM- oder Enterprised PPKG-Pakete. Sie werden von EAS- und MDM -Clients überschrieben und ist höchstens Priorität von GPO (wenn die Einstellung auch von GPO konfiguriert wird). Ohne die Fehlerbehebung mit XML -Protokollierung sind MDM -Einstellungen sehr hart und zeitaufwändig.

Änderungen an GPOs in Windows 10

Neben den wichtigsten Änderungen des MDM -Managements gibt es auch Änderungen an der GPO -Verarbeitung von Windows 10, die jetzt abgedeckt werden. Diese Änderungen beginnen mit GPOs, die nur für bestimmte SKUs, bekannte Probleme bei der Upgrade Ihres zentralen Richtliniendefinitionsgeschäfts und bekannte Probleme bei der Bearbeitung neuer GPOs, einschließlich der GPMC -Konsole der alten Gruppenrichtlinien (GPMC), anwendbar.

Unternehmen/Bildung - Nur GPOs

Es gab Richtlinien, die nur für Windows 10 gelten. Zum ersten Mal in der Windows -Geschichte gibt es jetzt auch GPOs, die nur für bestimmte Aktien, die Einheiten (SKUs) halten. Mehrere GPOs zum Anpassen von Windows 10 gelten nur an Windows 10 Enterprise und Education SKUS. Zum Zeitpunkt des Schreibens dieses Buches haben die folgenden GPOs eine solche Einschränkung:

• Konfigurieren Sie Spotlight auf dem Sperrbildschirm
• Schalten Sie alle Windows -Spotlight -Funktionen aus
• Schalten Sie Microsoft Consumer -Funktionen aus
• Zeigen Sie den Sperrbildschirm nicht an
• Erfordern Sie keine Strg + Alt + Löschen in Kombination mit den App -Benachrichtigungen auf dem Sperrbildschirm, die App -Benachrichtigungen ausschalten
• Zeigen Sie keine Windows -Tipps an
• Erzwingen Sie ein bestimmtes Standard -Lock -Bildschirmbild
• Layout und Taskleistenlayout starten
• Schalten Sie die Ladenanwendung aus
• Zeigen Sie den Privatstore nur in der Windows Store -App an
• Suchen Sie nicht im Web oder zeigen Sie Webergebnisse an

Eine vollständige und aktualisierte Liste von Gruppenrichtlinien, die nur für Windows 10 Enterprise/Education-Editionen gelten Bildungsausgaben.
Es wird erwartet, dass es in zukünftigen Releases von Windows 10 mehr Unternehmen/Bildung gibt, insbesondere für eine feinkörnige UX-Kontrolle.

Bekannte Themen beim Upgrade des zentralen Richtliniengeschäfts

ADMX -Definitionsdateien werden nicht nur mit jeder neuen Version von Windows aktualisiert, sondern manchmal auch dazwischen mit kumulativen Updates. Sie sollten immer kumulative Update -Versionshinweise im Auge behalten und Ihren PolicyDefinitions -Ordner von Zeit zu Zeit auf neue Einträge überprüfen.
Bei neuen ADMX -Dateien sind nicht nur neue Einstellungen verfügbar, sondern auch alte Einträge können entfernt, umbenannt oder in eine neue Kategorie verschoben werden. Wenn Einträge entfernt werden und Sie sie in Ihren vorhandenen GPOs verwendet haben, werden Anzeigeamen für einige Einstellungen angezeigt, die nicht gefunden werden können. Möglicherweise können Sie dieses Problem beheben, indem Sie die .ADM -Dateien im Abschnitt GPO -Bericht aktualisiert.

Wenn alte und neue ADMX -Dateien mit doppelten Definitionen vorhanden sind, erhalten Sie eine Fehlermeldung namens Namespace 'ABC' bereits als Zielnamenspace für eine andere Datei im Speicher. Datei , Zeile y, Spalte z.

In beiden Fällen müssen Sie alle ADMX -Änderungen sorgfältig überprüfen. Um solche bekannten Probleme zu verhindern, während die Richtliniendefinitionen/Änderungen an ADMX-Dateien in verschiedenen Windows-Versionen aktualisiert werden -10-gruppepolitische Klient-in-Windows-Service und https://blogs.technet.microsoft.com/grouppolicy/2017/03/28/managing-adm x-changes-windows-10/.
Es gibt auch ein umfassendes GPO -XLS, das alle Änderungen zwischen Vista und Windows 10/Server 2016 unter https://go.microsoft.com/fwlink/?Linkid=845418 beschreibt.
Sie sollten auch einen Client mit RSAT -Tools oder einem Server mit neuen ADMX -Definitionen aktualisieren und dann jeden Bericht über jeden vorhandenen GPO auf diese Fehler überprüfen.
Überprüfen Sie auch alle Ihre Einstellungen, um festzustellen, ob sie unter dem neuen Betriebssystem noch unterstützt werden. Ein hilfreicher Einstiegspunkt könnte die Suche nach Gruppenrichtlinien sein. Weitere Informationen finden Sie unter https://gpsearch.azurewebsites.net/.

Bekannte Themen mit Gruppenrichtlinienpräferenzen/GPMC

Normale GPO -Definitionen werden in den ADMX -Dateien und deren Übersetzung in der entsprechenden ADML -Datei gespeichert. Beim Aktualisieren Ihres Ordners für Richtliniendefinitions oder Ihrer zentralen Richtliniendefinitionen speichern Sie in SYSVOL neue GPO -Einstellungen für das neue Betriebssystem. Sie könnten ältere GPMC -Versionen verwenden und Dinge würden im Grunde funktionieren.
GPP steht in totalem Kontrast zu diesem Verhalten. Sie sind im GPMC fest codiert. Um diese neuen Einstellungen und Filteroptionen zu erhalten, müssen Sie die neuesten RSAT -Tools oder die neuesten GPMC auf dem Server -Betriebssystem verwenden.
Leider ist es nicht nur, nicht nur die neuen Optionen bei der Verwendung eines älteren GPMC zu sehen, sondern Sie können Ihren GPO mit GPP -Inhalten ernsthaft beschädigen, wenn Sie ihn in einem älteren GPMC öffnen.
Beim Öffnen eines solchen GPO mit neuen GPP-Einstellungen/Targeting von Element-Ebenen in einem veralteten GPMC erkennt der ältere GPMC die neuen Einstellungen nicht. Bestenfalls können Sie möglicherweise nicht alle Optionen sehen. Beispielsweise finden Sie keine Option zum Filtern unter Windows 10- oder Windows Server 2016 -Familien in älteren GPMCs.

Im schlimmsten Fall kann der ältere GPMC die neuen Einstellungen als Korruption interpretieren. Beschädigte Einstellungen werden automatisch repariert/entfernt. Dieser Reparaturversuch kann auslösen, dass das GPO geändert und daher ausgelöst wurde. Wenn Sie also den GPO mit GPP öffnen, können Sie versehentlich Einstellungen ohne Ankündigung/Warnmeldung entfernen. Sie würden nur eine aktualisierte/höhere Revisionsnummer Ihres GPO bemerken.
Bearbeiten/verwalten Sie neue GPP-Einstellungen immer nur mit dem neuesten GPMC von Windows 10/Server 2016. Um solche Probleme in Umgebungen mit mehreren OS zu vermeiden /GPPs mit zum Beispiel _W10 und öffnen Sie solche _W10 -Dateien nur mit dem neuesten GPMC.

Wartung und Patchen

Wenn wir über Änderungen auf dem Weg zum Service (oder zum Patch) Windows sprechen, ist es wichtig zu verstehen, wie die Dinge mit Windows 7 und Windows 8.1 funktionierten. Jeden Monat hat Microsoft für jeden irgendwo zwischen 1 und 20 Einzelfixes veröffentlicht: einige Sicherheitsupdates, einige Nicht-Sicherheits-Updates. Die meisten dieser Patches waren allgemeine Verteilungsveröffentlichungen (DDR), was bedeutet, dass WU, WSUS und Windows Update -Katalog verfügbar sind. Einige Patches, die unter begrenzter Verteilungsveröffentlichung (LDR) (auch früher als Quick Fix Engineering (QFE) bekannt waren) freigegeben. LDR -Pakete enthalten andere Korrekturen, die nicht als umfangreich getestet wurden, und beheben Probleme, auf die nur ein Bruchteil der Millionen von Windows -Nutzern jemals begegnet ist. Diese LDR -Patches müssen auf separaten KB -Seiten heruntergeladen oder manchmal von Microsoft Services angefordert werden.
Die meisten Organisationen setzen die Sicherheitsbehebungen sofort ein. Aber die Nichtsicherheitsbehörden werden manchmal überhaupt nicht bereitgestellt, insbesondere wenn sie über LDR-Nichtsicherungsbehebungen sprechen. Das Ergebnis ist, dass jede Organisation ihre eigene eindeutige Windows -Konfiguration endet, die durch die von ihnen installierten Patches definiert ist.
Vergleichen Sie dies mit der Konfiguration, die Microsoft in seinem Labor testet: vollständig gepatchte PCs, bei denen alle jemals installierten Updates veröffentlicht wurden. Für jedes neue Update überprüft Microsoft, dass diese vollständig gepatmten PCs keine nachteiligen Auswirkungen haben.
Wir haben jedoch Fälle gesehen, in denen diese neuen Updates Probleme auf teilweise aktualisierten PCs verursachen (häufig mit spezifischen Kombinationen von Updates): Microsoft kann möglicherweise alle diese unterschiedlichen möglichen Kombinationen nicht testen. Und betroffene Kunden fragen sich, warum Microsoft diese einfachen Probleme nicht aufgenommen hat, als sie ihre Tests durchführten.

Wenn Sie beispielsweise über Windows 7 sprechen, gibt es seit der Veröffentlichung von SP1 mehr als 4.000 Korrekturen. Und etwa 600 dieser Patches sind nicht weit verbreitet. Versuchen Sie nun, alle möglichen Kombinationen von Patches zu berechnen, wenn ein oder mehrere dieser 600 Patches fehlen.

Warum kumulative Updates?

Microsoft entschied also, dass zur Verbesserung der Gesamtqualität von Fenstern und zur Verringerung der Gesamtkomplexität des Patching -Prozesses den Patching -Prozess mit Windows 10 überarbeitet werden. Erforschen wir diese Änderungen besser. Patches sind jetzt in Qualitätsaktualisierungen und Feature -Updates unterteilt.

Diese sogenannten Qualitätsaktualisierungen sind ein einzelnes monatliches kumulatives Update, das Sicherheitsbehebungen, Zuverlässigkeitsbehebungen, Fehlerbehebungen usw. enthält. Diese kumulativen Updates ersetzen das Update des Vormonats. Normalerweise enthalten sie keine neuen Funktionen. Beginnend mit Windows 10 1703 wird es im zweiten Patch am Dienstag ein obligatorisches kumulatives Update und möglicherweise mehrere kumulative Updates im Laufe des Monats mit zusätzlichen Inhalt ohne Sicherheit geben. Um auf der sicheren Seite zu bleiben, müssen Sie mindestens den zweiten Patch -Dienstag -Teil einsetzen. Die anderen Patches können optional auf einigen oder allen Systemen bereitgestellt werden.
Feature -Updates werden zweimal pro Jahr, jeden Frühling und Herbst mit neuen Funktionen durchgeführt. Feature-Updates sind technisch einfache Bereitstellungen, die in Place-Upgrades verwendet werden, die von vorhandenen Tools mit integrierten Rollback-Funktionen angesteuert werden. Neue Funktionen können mit Insider -Vorschau getestet werden.
Jedes Qualitäts -Update erhöht die Versionsnummer Ihrer Windows 10 -Version. Sie können die Build -Nummer der Qualitäts -Update -Release als letzte Ziffern von Winver.exe (z. B. 540) sehen. Das Feature -Update erhöht die Version selbst (z. B. 1703) und die erste Ziffernmenge der Build -Nummer (z. B. 15063). Die SKU von Windows 10 befindet sich in der 4. Zeile (z. B. Windows 10 Pro).

Eine umfassende und immer aktualisierte Liste mit Inhalten jedes kumulativen Updates finden Sie unter Windows 10 und Windows Server 2016-Update-Historie unter https://support.microsoft.com/en-us/help/4000825/windows-10- Windows-Server-2016-Update-History.
Da kumulative Updates (CU) jetzt alles oder nichts sind, ist es nicht mehr möglich, einzelne Patches auszuschließen, wenn sie etwas in Ihrer Umgebung brechen. Aufgrund von immer vollständig gepatmten Systemen sollte ein reduziertes Risiko für Inkompatibilitäten bestehen, es ist jedoch immer noch möglich. Daher sollten Sie dem zweiten Patch am Dienstag CU besondere Aufmerksamkeit schenken und ihn so schnell wie möglich wie möglich testen/bereitstellen, wie es neue Sicherheitsbehebungen enthält. Wenn es Probleme gibt,
Melden Sie sie sofort bei Microsoft, damit sie es beheben können. In der Zwischenzeit können Sie diese CU nur deinstallieren/nicht bereitstellen und die Sicherheitsfehler riskieren. Wenn Sie eine CU deinstallieren, fällt Ihr System automatisch auf die letzte installierte CU -Version zurück. Bei Nicht-Sicherheitsteilen können Sie 1-3 zusätzliche Cus pro Monat testen.
Diese hochwertigen Updates können sehr schnell auf Größen von 1 GB und mehr wachsen. Um den WAN-Datenverkehr und/oder die Arbeitsbelastung auf Ihren lokalen Servern zu reduzieren, müssen Sie die Lieferoptimierung (bei Verwendung von WU), BranchCache (bei Verwendung von WSUS), SCCM-Peer-Lieferung (bei Verwendung von SCCM) oder der lösungsspezifischen SCCM-Peer-Lieferung konfigurieren. Peer-Lieferung (bei Verwendung von Drittanbietern).

Lieferlösungen aktualisieren

Updates können mit verschiedenen Lösungen bereitgestellt werden. Wir werden uns Windows Update, Windows Update für Business, Windows Server-Update-Dienste und Verwaltungslösungen wie SCCM und Drittanbieter ansehen.

Windows Update

Das bekannte Windows Update (WU) basiert auf Microsoft Cloud-Servern, um Ihre Systeme zu patchen und zu aktualisieren. Upgrades werden so installiert, dass sie veröffentlicht werden (vorbehaltlich der Drosselung in Wellen). Um die Last auf den Servern zu reduzieren und die Lieferung zu beschleunigen, wird die Optimierung für Peer-to-Peer-Verteilung (P2P) verwendet, da die erste Version von Windows 10 die einzige Option für Windows 10 Home ist. Sowohl Windows 10 Home als auch Windows 10 S Skus unterstützen die Domain -Verbindung nicht. Windows 10 Home verfügt über sehr begrenzte MDM -Funktionen, Windows 10 S kann mit einer MDM -Lösung verwaltet und gepatcht werden. Die Optionen für P2P können in der GUI unter Einstellungen | geändert werden Windows Update | Erweiterte Optionen | Lieferoptimierung:
Windows 10 1709 wurde zwei neue GUI -Einträge erweiterte Optionen und Aktivitätsmonitor eingeführt. Mit erweiterten Optionen können Sie jetzt genaue Grenzen für den Download- und Hochladen der Bandbreite angeben und ein monatliches Upload -Limit mit einer Info -Grafik definieren, die zeigt, wie viel noch übrig ist. Die Bandbreite kann zwischen mindestens 5% und maximal 100% festgelegt werden. Die Upload -Grenze kann zwischen mindestens 5 GB und maximal 500 GB festgelegt werden. Vor 1709 waren diese Einstellungen nur über GPO erhältlich:

Um die Vorteile des Herunterladens von anderen PCs zu sehen, können Sie den neuen Aktivitätsmonitor verwenden. Es werden Download -Statistiken dafür angezeigt, wie viel Inhalt direkt von Microsoft Wu, direkt von PCs im lokalen Netzwerk und von PCs im Internet (falls aktiviert) heruntergeladen wird. Es werden auch Upload -Statistiken für PCs im lokalen Netzwerk und PCs im Internet angezeigt (wenn auch erneut aktiviert). Und nicht zuletzt einige Download -Geschwindigkeitsstatistiken. Die Statistiken werden monatlich zurückgesetzt:

Wenn Sie eine Domain Join -fähige Windows 10 -Version wie Pro für Workstation, Unternehmen oder Bildung verwenden, können Sie all diese und noch mehr fein detaillierter Einstellungen von GPO definieren. Sie finden die relevanten Einstellungen unter Computereinstellungen | Verwaltungsvorlagen | Windows -Komponenten | Lieferoptimierung:

Mit Windows 10 1709 wurden diese Einstellungen erneut erweitert. Jetzt können Sie über GPO die In-Network-Cache-Server (DOINC) für die Lieferoptimierung definieren. Zum Zeitpunkt des Schreibens dieses Buches gab es keine Dokumentation für DOINC. Weitere Informationen zu DOINC und seinen Vorteilen finden Sie in der TechNet -Dokumentation, sobald Informationen veröffentlicht werden.
Neben all diesen Feinabstimmungseinstellungen bleibt die wichtigste Einstellung in diesem Abschnitt weiterhin im Download -Modus. Mit diesem GPO können Sie die neue Lieferoptimierung (Bypass) vollständig deaktivieren und stattdessen den alten Intelligent -Übertragungsdienst (Bits) verwenden, um die Lieferoptimierung nur zu beschränken, um nur HTTP -Download ohne Peering (nur HTTP) zu verwenden, um Internet- und lokale PCs (lokale PCs zu verwenden (PCs) (HTTP) (HTTP) zu verwenden (lokale PCs (lokale PCs) (HTTP). Internet), um lokale PCs nur zu verwenden, wenn es hinter demselben NAT (LAN) hinter der gleichen Anzeigenstelle (falls vorhanden) oder derselben Domäne (Gruppe) lokale PCs verwendet wird.
Durch die Auswahl der einfachen Option, die Sie nur HTTP verwenden, ohne den Cloud -Dienst der Lieferoptimierung zu kontaktieren. Die meisten Unternehmenskunden beschließen, die LAN- oder Gruppenoption zu verwenden, um den Upload zu verbieten:

Windows -Update für Business

Windows Update for Business (WUFB) wird häufig als zusätzliche oder neue Art der Aktualisierung an Ihre Kunden angesehen, verwendet jedoch immer noch Windows Update (WU) für den Inhalt. Es erweitert die klassische WU mit einer Konfigurationsmenge, mit der die Steuerung von Windows 10 -Qualität und Feature -Update -Bereitstellung gesteuert werden kann. Aktualisierungen und Upgrades können aufgeschoben und Vorschau -Builds verwaltet werden. Dies hilft Kleinunternehmen, ohne ihre eigenen lokalen Patching-Infrastrukturen zum Aufbau von Wartungsringen und ein feinkörnigeres Update-Erlebnis zu erhalten. WUFB -Steuereinstellungen sind nur für Windows 10 Pro für Workstation, Enterprise und Education SKUS verfügbar. Die entsprechenden GPOs finden Sie unter Computereinstellungen | Verwaltungsvorlagen | Windows -Komponenten | Windows Update | Windows -Update für Business:

Die WUFB-GPOS helfen dabei, Update-Ringe über GPO für monatliche kumulative Updates (Qualitätsaktualisierungen) und halbjährliche Servicing-Updates (Feature-Updates) zu erstellen. Update -Ringe werden im Wartungsabsatz ausführlicher erläutert. Wenn Sie Windows Server Update Service (WSUS), System Center Configuration Manager (SCCM) oder Update-Lösungen von Drittanbietern verwenden, müssen Sie in diesen Lösungen Zielgruppen/Sammlungen erstellen, da diese Ihre WUFB-GPO-Einstellungen höchstwahrscheinlich ignorieren. Durch Aktivieren und Definieren der Auswahl, wenn Qualitätsaktualisierungen GPO empfangen werden, können Sie eine Verzögerung zwischen 0 und 30 Tagen angeben. Sie können auch ein Datum für die vorübergehende Pause von Qualitätsaktualisierungen im Falle eines bekannten Problems angeben. Wenn Sie die Pause aktivieren, bleibt sie 35 Tage oder bis Sie das Startdatumfeld im GPO löschen. Dieser GPO hat keinen Einfluss, wenn Sie Ihre Zulasselemetrie nur auf 0 = Sicherheit festlegen.

Ein weiteres verfügbares WUFB -GPO ist die Auswahl, wenn Feature -Updates empfangen werden. Es wurde 1709 umbenannt, um auszuwählen, wann Vorschau-Builds und Feature-Updates empfangen werden und jetzt nicht nur den halbjährlichen Kanal (gezielt) (frühere aktuelle Zweigstelle) und den halbjährlichen Kanal (frühere aktuelle Zweigstelle für Unternehmen) auswählen können, sondern auch die Auswahl der Vorschau-Build - Schnell, Vorschau -Build - langsame und Freigabe der Vorschau als Bereitschaftsniveau für die Services -Updates. Für den Bau von Wartungsringen über GPO können Sie die Service -Updates verschieben.
Bei der Auswahl des halbjährlichen Kanals (früherer CB oder CBB) können Sie bis zu 365 Tage verschoben werden (auch wenn kürzere Bereiche empfohlen werden). Wie bei den Qualitätsaktualisierungen GPO können Sie auch ein Datum für die vorübergehende Pause von Services -Updates im Falle eines bekannten Problems angeben. Wenn Sie die Pause aktivieren, bleibt sie 35 Tage oder bis Sie das Startdatumfeld im GPO löschen. Um CB und CBB zu verschieben, müssen Sie Ihre Zulasselemetrie auf minimal 1 = Basic einstellen.
Vorschaukanalbuilds können nur bis zu 14 Tage aufgeschoben oder bis zu 35 Tage innehalten. Um die Vorschau -Erstellung zu verschieben, müssen Sie Ihre Zulasselemetrie auf minimal 2 = erweitert und Ihre Domain auf Insider.windows.com registrieren.

Windows 10 1709 führte eine neue WUFB -GPO -Vorschau -Builds ein. Sie können auswählen, um Vorschau -Builds zu deaktivieren, um zu verhindern, dass die Installation der Vorschau auf diesem Gerät installiert wird und die Benutzer nicht über GUI in das Windows Insider -Programm eintreten. Durch Auswählen der Aktivierung der Vorschau -Builds können Sie in Insider -Builds auf dieser Maschine die Installation oder Auswahl von Insider -Builds ermöglichen.
Um die Vorschau -Builds automatisch zu installieren, müssen Sie zusätzlich die ausgewählten Auswehung konfigurieren, wenn Feature -Updates empfangen werden, die zuvor beschriebene GPO erhalten. Die dritte Option Deaktivieren Sie Vorschau -Builds, sobald die nächste Veröffentlichung öffentlich ist, um Insider -Builds automatisch zu empfangen, sobald die aktuelle Insider -Vorschau in das Fertigungsverfahren (RTM) / Public veröffentlicht wird. Dadurch wird das Gerät anmutig vom Fliegen abgelehnt und verhindert versehentlich in die nächste Vorschau -Build -Phase.

Windows Server -Aktualisierungsdienste

Windows Server Update Services (WSUs) ist die erste Lösung der oben genannten, die sich in Räumlichkeiten befinden. Wenn Sie konfiguriert werden, dass Inhalte auf Ihre WSUS -Infrastruktur heruntergeladen werden, werden die Updates von Ihren WSUS -Servern verteilt, was den WAN -Verkehr erheblich verringert. Updates und Upgrades werden bereitgestellt, wenn Sie sie mit Ihren mit WSUs definierten Zielgruppen genehmigen. Sie müssen Ihre Update- und Wartungsringe über Zielgruppen innerhalb von WSUs erstellen.
Mit der Standardeinstellung von WSUs wird die Update-Pakete in voller Größe heruntergeladen und sie an die Clients bereitgestellt. Dies wird sehr schnell auf 1 GB pro Cu pro Kunden und Monat steigen. Um die Arbeitsbelastung in Ihrer WSUS -Infrastruktur zu verringern, sollten Sie BranchCache konfigurieren, um die Bandbreitenverbrauch auf dem WSUS -Server zu verringern. Eine weitere Option besteht darin, die Option "Express -Installationsdateien Download" in Ihrem WSUs zu aktivieren:

WSUS ist ziemlich gut für die Bereitstellung monatlicher kumulativer Updates / Qualitätsaktualisierungen. Es gibt jedoch mehrere Vorbehalte und Probleme beim Bereitstellen von Wartungs- / Feature -Updates mit WSUs. Einige der Einschränkungen und Vorbehalte sind:

• WSUS Servicing Media können nicht manuell aktualisiert werden. Sie werden die RTM-Version bis zur Wiederveröffentlichung etwa vier Monate später bereitstellen. Außerdem haben Sie später keine Möglichkeit, die Servicemedien danach zu aktualisieren.
• Es gibt keine Option für eine Tasksequenz. Skripte und Installationen, die vor oder nach einem Aufbau-Upgrade ausgeführt werden müssen, sind schwer zu zielen und viel Geigen.
• Sprachpakete und geeignete Konfigurationsdateien zum Anpassen von Setups mit Parametern müssen vor dem Ziel gesetzt werden, um einen Client für die Aktualisierung abzuzielen. Es gibt keine integrierte Überprüfung für die Existenz von Dateien oder ähnlich. Nochmals viel Geige und benutzerdefiniertes Skript benötigt.

Michael Niehaus, Direktor für Produktmarketing bei Windows bei Microsoft, erklärte in seinen öffentlichen Gesprächen über Windows als Service und Windows 10, dass WSUs Verbesserungen für zukünftige Versionen geplant sind, um einige der genannten Probleme zu vermeiden. Dies hilft kleine und mittelgroße Geschäftskunden, die immer noch WSUS Standalone verwenden. Derzeit sind jedoch keine Details verfügbar und die früheste nächste vollständige Serverversion wird in etwa zwei Jahren sein.

SCCM- und Drittanbieter-Lösungen

Die Verwendung von Windows -Update für die Services -Updates ist keine Option für Geschäftskunden, insbesondere in großem Maßstab, da fehlende Aufgabensequenzfunktionen. Kleine und mittelgroße Geschäftskunden, die Pro und höhere SKUs verwenden, können WUFB und WSUs zum Aktualisieren verwenden, aber die fehlende Aufgabensequenz kompliziert das Update.
Sie begegnen eine Situation, in der Sie einen Treiber oder eine Software aktualisieren müssen, bevor Sie in der Lage sind, ein Upgrade zu erzielen. Oder gehen Sie in eine Situation ein, in der Sie zusätzliche Konfigurationsschritte ausführen und nach dem Einstieg auf dem Platz aufräumen müssen.
SCCM- und Drittanbieterlösungen (wie Landesk, Wärme und viele andere) sind die beste Lösung für die Bereitstellung von Updates und Platzierung von Upgrades. Wie bei WSUs wird in den in Räumlichkeiten verteilten Qualität und Feature -Update, wie z. B. DPS des Konfigurationsmanagers, die Verwendung der WAN -Bandbreite erheblich verringert. Upgrades können mithilfe einer Skript -Aufgabensequenz erweitert werden, und Sie erhalten zusätzlich erweiterte Software -Update -Funktionen.
BranchCache und lösungsspezifische Peer-Zustellung wie Peer SCCM-Zustellung (Client-Peer-Cache-Unterstützung für Express-Installationsdateien für Windows 10 und Office 365 mit SCCM 1706 und neueren Versionen) sollten aktiviert werden, um die Bandbreite/Arbeitsbelastung auf Ihren Servern zu reduzieren. Es gibt auch eine neue Option in SCCM 1702 und neuer zum Herunterladen von Express -Paketen für Windows 10:

Bei der Auswahl dieser Option wird nur Expressdateien für Windows 10 heruntergeladen. Daher wird der benötigte Speicherbetrag auf Ihrem WSUs nicht übermäßig wie im WSUS -Standalone -Szenario im Absatz zuvor beschrieben.
Zum Erstellen von Update- und Wartungsringen müssen Sie die SCCM- oder lösungsspezifischen Techniken wie SCCM -Sammlungen verwenden. SCCM ignoriert die GPO -Einstellungen für Qualitätsaktualisierungen und Feature -Updates.
Für die Bereitstellung von Löschen und Laden oder Eingriffen Upgrade-Installationen von Windows 10 Eine aktualisierte / entsprechende Version des Windows 10-Bewertungs- und Bereitstellungskits (ADK) mit dem neuesten Windows PE sollte verwendet werden, wenn keine Ausnahmen von der Produktgruppe durchgeführt werden. Bitte überprüfen Sie die SCCM Supportable Matrix mit jeder neuen Windows 10 -Version und jedem halbjährlichen Kanal -Update für die minimale Version von SCCM benötigt. Eine immer aktualisierte Matrix finden Sie unter https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/support-windows-10.
Zum Zeitpunkt des Schreibens dieses Buches plante das SCCM -Team immer noch drei Veröffentlichungen pro Jahr und die unterstützbare Matrix enthielt noch keine Windows 10 1709, sollte aber zuvor kurz aktualisiert werden, die zuletzt bei RTM/ Allgemeinen Verfügbarkeit (GA) von Windows 10 1709. Bis zur Veröffentlichung von 1709 werden keine schwerwiegenden Probleme oder Blocker festgestellt. Es ist zu erwarten, dass ein für SCCM 1706 kompatibel und für SCCM 1710 voll unterstützt wird:

Andere Lösungen von Drittanbietern wie Landesk, Heat und viele andere kündigten bereits an, ihre Bereitstellungslösungen mindestens ein bis zwei Mal im Jahr zu aktualisieren, um mit Windows 10 auf dem Laufenden zu bleiben und die Bereitstellung vollständig zu unterstützen. Zum Beispiel wird Landesk jährliche wichtige Veröffentlichungen namens Landesk Management Suite 2017.1 veröffentlichen. Die nächste aktualisierte Version im Jahr 2017 wird 2017.2 und so weiter sein. Eine Unterstützungsmatrix für Landesk und Windows 10 finden Sie unter https://community.ivanti.com/docs/doc-23848.
Bitte überprüfen Sie die relevanten Support -Matrizen mit den Lösungen und planen Sie, Ihre Bereitstellungslösung auch in einer höheren Trittfrequenz zu aktualisieren als bei früheren Betriebssystemen.

Windows 10 -Wartung

Die Vor- und Nachteile von Wisch- und Lastversen in Platzierung von Upgrades, Installation und Upgrade. Wenn Sie erfolgreich in den Windows 10 -Zug gesprungen sind, müssen Sie innerhalb von 18 Monaten auf neue Versionen von Windows 10 aufrüsten:

Jede neue Windows 10 -Version befindet sich für etwa sechs Monate in einer Vorschauphase. Diese Phase ist in Skala grau (Vorschau) gekennzeichnet. Während dieser Vorschauphase werden mehrere hundert Builds erstellt, um die Plattform zu stabilisieren und neue Funktionen zu integrieren. Einige Builds sind nur intern oder an Unternehmenskunden in einem speziellen Technologieadoptionsprogramm verteilt. Builds mit schwerwiegenden Fehlern während der internen Validierung werden ebenfalls nicht veröffentlicht.
Verbraucher und Geschäftskunden, die sich nicht bei WIPFBIZ anmelden möchten, können sich dem normalen Insider -Programm unter https://insider.windows.com/ anschließen, verpassen jedoch möglicherweise einige Beschreibungen für Geschäftstestszenario.
Wenn Sie an dem Insider-Vorschau-Programm teilnehmen, erhalten Sie Informationen aus erster Hand zu neuen oder veralteten Funktionen. Sie erhalten frühzeitig neue Builds und können diese mit Ihrer Software auf frühzeitige Phase mit Ihrer Software testen.
Bei der Teilnahme an der Vorschau können Sie auf den schnellen Ring für die Erlebnis von Blutungen zugreifen, wobei die neueste Version mit einem etwas höheren Risiko für nicht funktionierende Funktionen. Wenn Sie an einer stabileren Vorschau arbeiten oder mit weniger Updates Download -Bandbreite speichern möchten, können Sie sich dem langsamen Ring mit Updates etwa alle zwei Wochen anschließen.
Während dieser Vorschau -Phase ist Ihr Feedback sehr wertvoll und viele Entscheidungen und Änderungen in Windows 10 wurden bereits von den teilnehmenden Kunden ausgelöst. Verpassen Sie nicht die Chance, die Zukunft von Windows 10 aktiv zu formen.
Wenn Sie nicht an der Insider -Vorschau -Phase teilnehmen, sollte das offizielle RTM oder GA der neuen Windows 10 -Version das Startsignal für die Validierung der neuen Windows 10 -Version in Ihrer Umgebung sein. Microsoft wird es in den halbjährlichen Kanal (gezielt) (frühere aktuelle Zweigstelle) freigeben.
Sie haben jetzt einen Zeitrahmen von ungefähr vier Monaten, um sie sorgfältig auf Kompatibilität mit Ihren LOB-Anwendungen zu testen und alle möglichen verbleibenden Fehler zu melden, um die Stabilität zu erhöhen, bis die offizielle breite Veröffentlichung von Windows 10. Diese Phase ist als hellblau (Pilot) in markiert die Skala.
Nach ungefähr vier Monaten, wenn Windows 10 in der normalen halbjährlichen Kanalveröffentlichung vorliegt, sollten Sie in der Lage sein, Ihre Bereitstellung für alle Geschäftsanwender zu erweitern. Diese Phase ist in der Skala als dunkelblau (breite Bereitstellung) gekennzeichnet.
Es gibt keine universelle Empfehlung, wie viele Ringe jede Phase enthalten sollten. Dies hängt von der Anzahl der Kunden, von den verschiedenen Anwendungsfällen Ihrer Kunden (Office -PC, Fertigungspc usw. usw.) ab und wie viele Probleme beim Piloten erkannt wurden.
Die meisten Unternehmenskunden besuchten, begannen mit einem Ring für Insider-Vorschau, 2-3 Ringen für die Pilotphase und 4-5 Ringe für den breiten Einsatz, bei dem der höchste Ring zum Blockieren von Problemen dient. Nach der vorhergehenden Skala gibt es hier eine Stichprobe zum Bau von Ringen und ihrem Timing. Sie können es als Grundlage nutzen und für Ihre Umweltbedürfnisse übernehmen. Verwenden Sie die Empfehlung der Wochen nicht als absolute Minimum, schnellere Bereitstellungszeiten sind möglich und wurden beobachtet, insbesondere wenn diese Aufgabe zum zweiten und dritten Mal iteriert wird.

Zusammenfassung

In diesem Artikel haben Sie über die neuen MDM -Funktionen und Änderungen der GPO -Verarbeitung von Windows 10 erfahren. Im Wartungs- und Update -Teil haben wir die verschiedenen Update -Lieferlösungen besprochen und Empfehlungen für den Aufbau von Wartungsringen gegeben, um mit der Fast Windows 10 Release Cadence Schritt zu halten .