Automatischen Reboot ausserhalb der Nutzungszeit vermeiden in Produktiven Umfeldern mit Gruppenrichtlinie

Windows Updates: Automatischen Reboot für Server/Clients generell unterbinden

Vorab: diese Lösung ist ein Workaround und macht eher auf Produktiven Servern Sinn als auf Clientrechnern. Ich übernehme keine Haftung bei misslingen oder Problemen und auch keinen Support!

Ziel: den automatischen Reboot außerhalb der Nutzungszeit von Maschinen nach einem Patchinstall verhindern. Dazu wie folgt vorgehen

• Gruppenrichtlinie erstellen:
  • Benutzerkonfiguration deaktivieren (wir brauchen nur Computersettings)

Teil 1 –  Datei „Reboot“ umbenennen mit Prüfung ob vorhanden

• Gruppenrichtline editieren: Computerkonfiguration –> Einstellungen –> Windows-Einstellungen –> Dateien (siehe Anlage „teil1_a.JPG“)
  • Hier „Neu“ –> „Datei“ –> Eigenschaften editieren
    • Allgemein (siehe Anlage „teil1_b.JPG“):
      • Aktion: löschen
      • Datei löschen:
        • C:\Windows\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot.bak
      • Gemeinsame Optionen (siehe Anlage „teil1_c.JPG“):
        • Zielgruppenadressierung:
          • Neues Element (siehe Anlage „teil1_d.JPG“):
            • Dateiübereinstimmung
            • Übereinstimmungstyp: Datei vorhanden
            • Pfad: C:\Windows\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot
          • „Neu“ –> „Datei“ –> Eigenschaften editieren
            • Allgemein (siehe Anlage „teil1_e.JPG“):
              • Aktion: aktualisieren
              • Quelldateien (KEINE DATEIENDUNG !!!):
              • C:\Windows\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot
              • Zieldatei:
              • C:\Windows\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot.bak
            • Gemeinsame Optionen (siehe Anlage „teil1_f.JPG“):
              • Zielgruppenadressierung:
                • Neues Element (siehe Anlage „teil1_g.JPG“):
                  • Dateiübereinstimmung
                  • Übereinstimmungstyp: Datei vorhanden
                  • Pfad: C:\Windows\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot

Am Ende kann man mit “F2“ die beiden Namen auch ändern wie in meinem Beispiel (im Standard heissen die gleich. Wichtig: die Reihenfolge: erst löschen (1) dann erstellen (2).

Teil 2 – Ordner „Reboot“ erstellen:

• Gruppenrichtline editieren: Computerkonfiguration –> Einstellungen –> Windows-Einstellungen –>Ordner (siehe Anlage „teil2_a.JPG“)
  • Hier „Neu“ –> „Ordner“ –> Eigenschaften editieren
    • Allgemein (siehe Anlage „teil2_b.JPG“):
      • Aktion: Erstellen
      • Pfad:
        • C:\Windows\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot
      • Gemeinsame Optionen (siehe Anlage „teil2_c.JPG“):
        • Zielgruppenadressierung:
          • Neues Element (siehe Anlage „teil1_d.JPG“):
            • Dateiübereinstimmung
            • Übereinstimmungstyp: Ordner vorhanden
            • Pfad: C:\Windows\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot
          • Das Element auswählen mit rechts anklicken und „Elementoptionen à ist nicht“ auswählen (oder F8 drücken)
            • (siehe Anlage „teil1_e.JPG“)

Teil 3 – Windows Task löschen:

• Gruppenrichtline editieren: Computerkonfiguration –> Einstellungen –> Systemsteuerung –> geplante Aufgaben (siehe Anlage „teil3_a.JPG“)
  • Hier „Neu“ –> „Geplante Aufgabe (mindestens Windows 7)“
    • Allgemein (siehe Anlage „teil3_b.JPG“):
      • Aktion: löschen
      • Name: Microsoft\Windows\UpdateOrchestrator\Reboot
      • Benutzerkonto: System (über Auswahl selektieren)
      • Mit höchsten Berechtigungen ausführen (Adminmode)
    • Trigger (ist Unsinn, muss man machen da sonst speichern nicht möglich)
      • Neu –> Nach Zeitplan –> Einmal –> beliebige Zeit
        • (siehe Anlage „teil3_c.JPG“)
      • Aktionen (ist Unsinn, muss man machen da sonst speichern nicht möglich)
        • Neu à Programm starten –> Programm: gpupdate.exe
          • (siehe Anlage „teil3_d.JPG“)

Teil 4: Richtlinie aktivieren

Jetzt nur noch die GPO den OU‘s zuweisen; fertig!

Tipps:

• Im Teil 1 die erste Regel kopieren; einfügen und nur anpassen spart Zeit
• Kopieren geht auch für die einzelnen regeln easy von Server A nach Server B: zwei RDP’s öffnen und links (A) den Schritt kopieren; rechts (B) einfügen –> spart Zeit