A Microsoft deu um novo significado para atualizar o gerenciamento com a combinação do Windows Update for Business e do Windows como um Serviço; aqui vem Digitalização dupla. Isto é um Recurso do Windows Update que não exige que os administradores aprove cada atualização manualmente.
“We believe that this automated management solution is the future, and we want to ensure that everyone who wants to move to modern (i.e., Cloud-first) update management can do so.” – Says Microsoft.
O que é digitalização dupla
Dual Scan é um comportamento de cliente do Windows Update (WU) introduzido no Windows 10 1607 para gerenciar automaticamente o fluxo de trabalho de receber atualizações diretamente do Windows Update (WU) e ainda distribuir conteúdo como drivers ou atualizações publicadas localmente pelo WSUS.
Disparar a verificação dupla significa efetivamente obter atualizações do Windows a partir das atualizações da Internet e não-Windows do WSUS. O Dual Scan é ativado automaticamente quando uma combinação de políticas de grupo do Windows Update é ativada:
- DeferQualityUpdate
- DeferQualityUpdatePeriodInDays
- PauseQualityUpdate
- DeferFeatureUpdate
- DeferFeatureUpdatePeriodInDays
- PauseFeatureUpdate
Esse modelo pode ser usado somente por aquelas empresas que desejam que o WU seja sua principal fonte de atualização, enquanto o WSUS (Windows Server Update Services) fornece todos os outros conteúdos.
Perda de controle indesejada do Dual Scan
O Dual Scan apresenta uma perda indesejada de controle para aqueles que ainda desejam continuar gerenciando as atualizações da maneira antiga. Antes do Windows 10, não era possível atualizar involuntariamente uma máquina gerenciada para uma nova versão simplesmente digitalizando com o Windows Update (WU). Isso ocorreu porque apenas as atualizações de qualidade foram fornecidas por esse canal, geralmente porque os administradores não estavam preocupados com a varredura dos clientes contra o WU, pois isso nunca poderia levar a alterações significativas no estado do cliente.
Mas com as atualizações de recursos sendo oferecidas no WU, os clientes gerenciados por meio do WSUS ou do Configuration Manager podem receber atualizações de recursos que foram reprovadas anteriormente por seu administrador, clicando em "Verifique on-line para atualizações do Microsoft Update" ligação.
Controles de negócios no cenário local
Como os administradores locais estavam corretamente preocupados com o cenário acima, eles selecionaram para habilitar o WU da política de negócios, o que permitia que eles selecionassem quando as atualizações de recursos eram recebidas, o que tinha o efeito planejado: as verificações no Windows Update não pressionavam mais o recurso não aprovado atualizações.
No entanto, essa configuração também atendia aos critérios de habilitação do Dual Scan, o que fazia com que a máquina não fosse controlada pelo WSUS ou pelo Configuration Manager para fins de atualizações do Windows.
Mas como um usuário impede que atualizações de recursos não aprovadas sejam instaladas enquanto mantém o controle do gerenciamento de atualizações com suas ferramentas locais existentes?
Microsoft diz-
“We’ve gotten enough feedback on this scenario that we have committed to release a quality update for 1607 that allows you to leverage WU for Business controls even in the on-premises scenario; i.e., for “Check online for updates” scans. You’ll be able to defer feature updates without automatically shifting into Dual Scan behavior.”
A política não pode ser configurada por padrão, o mesmo precisa ser ativado para garantir que o cliente do WU se comporte como pretendido. Microsoft planeja lançar a atualização de qualidade para 1607 é lançado neste verão.
Para desbloquear este cenário
A Microsoft listou as etapas para desbloquear o cenário imediatamente. Com essas etapas, os clientes gerenciados podem executar varreduras no WSUS / Configuration Manager e acessar a Microsoft Store. Com essa configuração, ele restringirá as atualizações de recursos para serem instaladas automaticamente nas máquinas e também restringirá qualquer conteúdo de atualização para ser instalado pelo Windows Update. Para todos os clientes gerenciados, a Microsoft recomenda as seguintes soluções alternativas:
- Defina todas as políticas do WU for Business como Não configuradas. Isso garante que você não esteja no modo Dual Scan.
- Verifique se você instalou a Atualização Cumulativa de novembro de 2016 para 1607 ou qualquer Atualização Cumulativa mais recente.
- Ativar a política de grupo Gerenciamento de comunicação do sistema / Internet / Configurações de comunicação da Internet / Desativar o acesso a todos os recursos do Windows Update
- Em um prompt de comando elevado, execute "gpupdate / force", seguido de "UsoClient.exe startscan"
- Abra a interface do Windows Update (aguarde a conclusão da verificação) e observe:
A Microsoft disse que ativar o recurso "Remover acesso a todos os recursos do Windows Update" não seria útil para esse cenário. O Dual Scan também é suportado no cenário local. Diretiva de Grupo inclui um cenário - Não permitir que políticas de adiamento de atualizações causem verificações no Windows Update. Para uma leitura completa sobre o assunto, visite a Microsoft.
Posts relacionados:
- Como solucionar problemas do WSUS (Windows Server Update Services)
- Como usar o Windows Server Update Services no ambiente corporativo
- Dicas de Gerenciamento de Diretiva de Grupo para profissionais de TI no Windows
- Comandos do WMI no Windows 10/8/7
- Melhores ferramentas on-line gratuitas para criar cartões de visita profissionais
