Tutorial: usar la directiva de grupo para configurar Windows Update para empresas

-


  • Tiempo de lectura: 14 minutos
  • Colaboradores
    • Dani Halfin
      •  
    • olprod
      •  
    • elizatobias

Se aplica a:

  • Windows10

¿Buscas información para consumidores? Consulta Windows Update: preguntas más frecuentes

Importante

Debido a cambios en la nomenclatura, las condiciones anteriores como CB, CBB y LTSB pueden seguir apareciendo en algunos de nuestros productos.

En la siguiente configuración, CB hace referencia al canal semianual (dirigido), mientras CBB hace referencia al canal semianual.

El uso de la directiva de grupo para administrar Windows Update para empresas es simple y conocido: usa la misma Consola de administración de directivas de grupo (GPMC) que usas para administrar otras opciones de configuración de la directiva de dispositivo y usuario en tu entorno. Antes de establecer las opciones de configuración de la directiva de grupo de Windows Update para empresas, considera la posibilidad de contar con una estrategia de implementación para las actualizaciones de características, entre otras, en tu entorno.

En Windows 10, versión 1511, solo se podrían retrasar las actualizaciones de la Rama actual para empresas (CBB), lo que restringiría las compilaciones de la Rama actual (CB) en un solo anillo de implementación. Sin embargo, Windows 10, versión 1607, tiene una nueva configuración de directiva de grupo que te permite retrasar las actualizaciones de características para CB y CBB, a la vez que se amplía el uso de la rama de mantenimiento CB.

Nota

Los términos actualizaciones de características y actualizaciones de calidad en Windows 10, versión 1607, corresponden a los términos actualizaciones** y en la versión 1511.

Para usar la directiva de grupo para administrar las actualizaciones de calidad y características en tu entorno, primero debes crear grupos de seguridad de Active Directory que se alineen con los anillos de implementación generados. La mayoría de los clientes ya han puesto en marcha muchos anillos de implementación en su entorno, y estos anillos probablemente se alinean con lanzamientos por fases existentes de actualizaciones del sistema operativo y de revisiones actuales.

Configurar Windows Update para empresas en Windows 10, versión 1511

En este ejemplo, debes usar dos grupos de seguridad para administrar las actualizaciones: Anillo 4: ampliar usuarios empresariales y Anillo 5: ampliar usuarios empresariales n.º2 de la Tabla 1 de Generar anillos de implementación para las actualizaciones de Windows10.

  • El grupo Anillo 4: ampliar usuarios empresariales contiene los equipos de los miembros de TI que prueban las actualizaciones tan pronto como se publican para clientes de Windows en la rama de mantenimiento de la Rama actual para empresas (CBB). Esta fase suele producirse después de realizar pruebas en dispositivos de la Rama actual (CB).
  • El grupo Anillo 5: ampliar usuarios empresariales n.º2 consta de los primeros usuarios de línea de negocio (LOB), que consumen las actualizaciones de calidad después de una semana del lanzamiento en CBB, y las actualizaciones de características después de un mes.

Nota

Aunque los anillos de implementación de ejemplo especifican un aplazamiento de actualización de características de 2 semanas para el Anillo 5, los aplazamientos de Windows10, versión 1511 solo se hacen en incrementos de meses.

Windows 10, versión 1511, no admite el aplazamiento de las compilaciones de CB de Windows 10, por lo que solo puedes establecer un anillo de implementación de CB. En la versión 1607 y posteriores, se pueden retrasar las compilaciones de CB, lo que permite tener varios anillos de implementación de CB.

Realiza los siguientes pasos en un equipo que ejecute Herramientas de administración remota del servidor o en un controlador de dominio.

Configurar el anillo de implementación Anillo 4: ampliar usuarios empresariales para CBB sin aplazamientos

  1. Abre GPMC (gpmc.msc).

  2. Expande Bosque > Dominios > tu dominio.

  3. Haz clic con el botón derecho en tu dominio y selecciona Crear un GPO en este dominio y vincularlo aquí.

    Interfaz de usuario del menú Crear un GPO

  4. En el cuadro de diálogo Nuevo GPO, escribe Windows Update para empresas - CBB1 para el nombre del nuevo GPO.

    Nota

    En este ejemplo, vincularás el GPO al dominio de nivel superior. Esto no es un requisito: puedes vincular GPO de Windows Update para empresas a cualquier unidad organizativa (UO) que sea adecuada para la estructura de Active Directory Domain Services (AD DS).

  5. Haz clic con el botón derecho en el GPO Windows Update para empresas - CBB1 y después haz clic en Editar.

    Interfaz de usuario para Editar un GPO

  6. En el Editor de administración de directivas de grupo, ve a Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Windows Update.

  7. Haz clic con el botón derecho en Defer Upgrades and Updates y, después, haz clic en Editar.

    Interfaz de usuario para editar Aplazar actualizaciones

    En la configuración de directiva de grupo Defer Upgrades and Updates, puedes ver varias opciones:

    • Habilitar/Deshabilitar actualizaciones aplazadas. Al habilitar esta configuración de directiva, se establece el cliente de recepción en la rama de mantenimiento CBB. Específicamente, al deshabilitar esta directiva, se obliga al cliente a acceder a la rama de mantenimiento CB y se impide que los usuarios lo puedan cambiar.
    • Aplazar actualizaciones durante el siguiente intervalo de tiempo. Esta opción te permite retrasar las actualizaciones de características hasta 8 meses, un número que se agrega al retraso predeterminado de CBB (aproximadamente 4 meses desde CB). Con Windows Update para empresas, puedes usar esta opción para escalonar las actualizaciones de características de CBB y crear un desplazamiento total de hasta 12 meses desde CB.
    • Aplazar actualizaciones durante el siguiente intervalo de tiempo. Esta opción te permite retrasar la instalación de las actualizaciones de calidad en un dispositivo Windows 10 hasta 4 semanas, lo que permite realizar lanzamientos por fases de actualizaciones en tu empresa; sin embargo, no se pueden aplazar todas las actualizaciones de calidad con esta opción. En la Tabla 1 se muestran las funcionalidades de aplazamiento por tipo de actualización.

    • Pausar actualizaciones. En el caso de que se produzca algún problema con una actualización de características, esta opción permite omitir una vez la actualización de calidad o de características del mes actual. Las actualizaciones de calidad se reanudarán 35 días después, mientras que las actualizaciones de características se reanudarán 60 días después. Por ejemplo, implementa esta configuración como una directiva independiente en toda la organización en caso de emergencia.

      En la Tabla 1 se resume la categoría de actualización en Windows 10 y cuánto tiempo Windows Update para empresas puede aplazar su instalación.

      Tabla 1

      CategoríaAplazamiento máximoIncrementos del aplazamientoTipo de clasificaciónClasificación GUID
      Actualizaciones del sistema operativo8 meses1 mesActualizar3689BDC8-B205-4AF4-8D4A-A63924C5E9D5
      Actualizaciones del SO4 semanas1 semanaActualizaciones de seguridad0FA1201D-4330-4FA8-8AE9-B877473B6441
      ControladoresEBFC1FC5-71A4-4F7B-9ACA-3B9A503104A0
      ActualizacionesCD5FFD1E-E932-4E3A-BF74-18BF0B1BBD83
      Otras/no aplazablesNo se pude aplazarNo se puede aplazarActualizaciones de definicionesE0789628-CE08-4437-BE74-2495B842F43B

      Simplemente habilita la directiva Defer Upgrades and Updates para establecer el cliente de recepción en la rama de mantenimiento CBB, que es exactamente lo que queremos para el primer canal de implementación, Anillo 4: ampliar usuarios empresariales.

  8. Habilita la configuración Defer Updates and Upgrades y luego haz clic en Aceptar.

  9. Cierra el Editor de administración de directivas de grupo.

Dado que GPO Windows Update para empresas – CBB1 contiene una directiva de equipo y solo quieres aplicarla a equipos del grupo Anillo 4: ampliar usuarios empresariales, usa Filtrado de seguridad para definir el ámbito de efecto de la directiva.

Definir el ámbito de la directiva al grupo Anillo 4: ampliar usuarios empresariales

  1. En GPMC, selecciona la directiva Windows Update para empresas - CBB1.

  2. En Filtrado de seguridad en la pestaña Ámbito, quita el grupo de seguridad predeterminado USUARIOS AUTENTICADOS y agrega el grupo Anillo 4: ampliar usuarios empresariales.

    Definir el ámbito de la directiva al grupo

El anillo de implementación Anillo 4: ampliar usuarios empresariales se ha configurado. A continuación, configura Anillo 5: ampliar usuarios empresariales n.º2 para establecer un retraso de una semana para las actualizaciones de calidad y uno de dos semanas para las actualizaciones de características.

Configurar el anillo de implementación Anillo 5: ampliar usuarios empresariales n.º2 para CBB con aplazamientos

  1. Abre GPMC (gpmc.msc).

  2. Expande Bosque > Dominios > tu dominio.

  3. Haz clic con el botón derecho en tu dominio y selecciona Crear un GPO en este dominio y vincularlo aquí.

    Interfaz de usuario del menú Crear un GPO

  4. En el cuadro de diálogo Nuevo GPO, escribe Windows Update para empresas - CBB2 para el nombre del nuevo GPO.

  5. Haz clic con el botón derecho en el GPO Windows Update para empresas - CBB2 y después haz clic en Editar.

    Interfaz de usuario para Editar un GPO

  6. En el Editor de administración de directivas de grupo, ve a Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Windows Update.

  7. Haz clic con el botón derecho en Defer Upgrades and Updates y, después, haz clic en Editar.

  8. Habilita la configuración Defer Updates and Upgrades, establece la opción Defer upgrades for the following en un mes y, luego, establece la opción Defer updates for the following en una semana.

    Ejemplo de la configuración de directiva

  9. Haz clic en Aceptar y cierra el Editor de administración de directivas de grupo.

Definir el ámbito de la directiva al grupo Anillo 5: ampliar usuarios empresariales n.º2

  1. En GPMC, selecciona la directiva Windows Update para empresas - CBB2.

  2. En Filtrado de seguridad en la pestaña Ámbito, quita el grupo de seguridad predeterminado USUARIOS AUTENTICADOS y agrega el grupo Anillo 5: ampliar usuarios empresariales n.º2.

Configurar Windows Update para empresas en Windows 10, versión 1607

Para usar la directiva de grupo para administrar las actualizaciones de calidad y características en tu entorno, primero debes crear grupos de seguridad de Active Directory que se alineen con los anillos de implementación generados. La mayoría de los clientes ya han puesto en marcha muchos anillos de implementación en su entorno, y estos anillos probablemente se alinean con lanzamientos por fases existentes de actualizaciones del sistema operativo y de revisiones actuales.

En este ejemplo, debes usar tres grupos de seguridad de la Tabla 1 de Generar anillos de implementación para las actualizaciones de Windows10 para administrar las actualizaciones:

  • Anillo 2: usuarios empresariales piloto contiene los equipos de los usuarios empresariales que forman parte del proceso de pruebas piloto y reciben compilaciones de CB solo 4 semanas después de su lanzamiento.
  • Anillo 4: ampliar usuarios empresariales consiste en miembros de TI que reciben actualizaciones después de que Microsoft lance una compilación de Windows10 en la rama de mantenimiento CBB.
  • Anillo 5: ampliar usuarios empresariales n.º2 consiste en usuarios LOB de CBB, que reciben actualizaciones de calidad después de siete días y actualizaciones de características después 14 días.

En este ejemplo, puedes configurar las programaciones de las actualizaciones de los tres grupos y definir su ámbito.

Configurar la directiva Anillo 2: usuarios empresariales piloto

  1. Abre GPMC (gpmc.msc).

  2. Expande Bosque > Dominios > tu dominio.

  3. Haz clic con el botón derecho en tu dominio y selecciona Crear un GPO en este dominio y vincularlo aquí.

    Interfaz de usuario del menú Crear un GPO

  4. En el cuadro de diálogo Nuevo GPO, escribe Windows Update para empresas - CB2 para el nombre del nuevo GPO.

    Nota

    En este ejemplo, vincularás el GPO al dominio de nivel superior. Esto no es un requisito: puedes vincular GPO de Windows Update para empresas a cualquier unidad organizativa (UO) que sea adecuada para la estructura de Active Directory Domain Services (AD DS).

  5. Haz clic con el botón derecho en el GPO Windows Update para empresas - CB2 y después haz clic en Editar.

    Menú Editar de este GPO

  6. En el Editor de administración de directivas de grupo, ve a Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Windows Update > Aplazar actualizaciones de Windows.

  7. Haz clic con el botón derecho en Selecciona cuándo quieres recibir actualizaciones de características y, después, haz clic en Editar.

  8. En la directiva Selecciona cuándo quieres recibir actualizaciones de características, habilítala, selecciona un nivel de preparación de la rama de CB, establece el retraso de actualización de características en 28 días y, a continuación, haz clic en Aceptar.

    Configuración de este GPO

    En la Tabla 3 se resume la categoría de actualizaciones de Windows 10, versión 1607, y cuánto tiempo Windows Update para empresas puede aplazar su instalación.

    Tabla 3

    CategoríaAplazamiento máximoIncrementos del aplazamientoEjemploClasificación GUID
    Actualizaciones de características180 díasDíasDe Windows 10, versión 1511, a la versión 16073689BDC8-B205-4AF4-8D4A-A63924C5E9D5
    Actualizaciones de calidad30 díasDíasActualizaciones de seguridad0FA1201D-4330-4FA8-8AE9-B877473B6441
    Controladores (opcionales)EBFC1FC5-71A4-4F7B-9ACA-3B9A503104A0
    Actualizaciones no relacionadas con la seguridadCD5FFD1E-E932-4E3A-BF74-18BF0B1BBD83
    Actualizaciones de Microsoft (Office, Visual Studio, etc.)varía
    No aplazablesNo se puede aplazarNo se puede aplazarActualizaciones de definicionesE0789628-CE08-4437-BE74-2495B842F43B

  9. Cierra el Editor de administración de directivas de grupo.

Dado que GPO Windows Update para empresas – CB2 contiene una directiva de equipo y solo quieres aplicarla a equipos del grupo Anillo 2: usuarios empresariales piloto, usa Filtrado de seguridad para definir el ámbito de efecto de la directiva.

Definir el ámbito de la directiva al grupo Usuarios de empresa piloto del anillo 2

  1. En GPMC, selecciona la directiva Windows Update para empresas - CB2.

  2. En Filtrado de seguridad en la pestaña Ámbito, quita el grupo de seguridad predeterminado USUARIOS AUTENTICADOS y agrega el grupo Anillo 2: usuarios empresariales piloto.

    Definir el ámbito de la directiva al grupo

El anillo de implementación Anillo 2: usuarios empresariales piloto ya se ha configurado. A continuación, configura Anillo 4: ampliar usuarios empresariales para establecer esos clientes en la rama de mantenimiento CBB para que reciban actualizaciones de características tan pronto como estén disponibles para la rama de mantenimiento CBB.

Configurar la directiva Anillo 4: ampliar usuarios empresariales

  1. Abre GPMC (gpmc.msc).

  2. Expande Bosque > Dominios > tu dominio.

  3. Haz clic con el botón derecho en tu dominio y selecciona Crear un GPO en este dominio y vincularlo aquí.

  4. En el cuadro de diálogo Nuevo GPO, escribe Windows Update para empresas - CBB1 para el nombre del nuevo GPO.

  5. Haz clic con el botón derecho en el GPO Windows Update para empresas - CBB1 y después haz clic en Editar.

  6. En el Editor de administración de directivas de grupo, ve a Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Windows Update > Aplazar actualizaciones de Windows.

  7. Haz clic con el botón derecho en Selecciona cuándo quieres recibir actualizaciones de características y, después, haz clic en Editar.

  8. En la directiva Selecciona cuándo quieres recibir actualizaciones de características, habilítala, selecciona un nivel de preparación de la rama de CBB y luego haz clic en Aceptar.

    Configuración de este GPO

  9. Cierra el Editor de administración de directivas de grupo.

Definir el ámbito de la directiva al grupo Anillo 4: ampliar usuarios empresariales

  1. En GPMC, selecciona la directiva Windows Update para empresas - CBB1.

  2. En Filtrado de seguridad en la pestaña Ámbito, quita el grupo de seguridad predeterminado USUARIOS AUTENTICADOS y agrega el grupo Anillo 4: ampliar usuarios empresariales.

El anillo de implementación Anillo 4: ampliar usuarios empresariales se ha configurado. Por último, configura Anillo 5: ampliar usuarios empresariales n.º2 para que ajuste un retraso de siete días para las actualizaciones de calidad y un retraso de 14 días para las actualizaciones de características.

Configurar la directiva Anillo 5: ampliar usuarios empresariales n.º2

  1. Abre GPMC (gpmc.msc).

  2. Expande Bosque > Dominios > tu dominio.

  3. Haz clic con el botón derecho en tu dominio y selecciona Crear un GPO en este dominio y vincularlo aquí.

  4. En el cuadro de diálogo Nuevo GPO, escribe Windows Update para empresas - CBB2 para el nombre del nuevo GPO.

  5. Haz clic con el botón derecho en el GPO Windows Update para empresas - CBB2 y después haz clic en Editar.

  6. En el Editor de administración de directivas de grupo, ve a Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Windows Update > Aplazar actualizaciones de Windows.

  7. Haz clic con el botón derecho en Selecciona cuándo quieres recibir actualizaciones de características y, después, haz clic en Editar.

  8. En la directiva Selecciona cuándo quieres recibir actualizaciones de características, habilítala, selecciona un nivel de preparación de la rama de CBB, establece el retraso de actualización de características en 14 días y, a continuación, haz clic en Aceptar.

    Configuración de este GPO

  9. Haz clic con el botón derecho en Selecciona cuándo quieres recibir actualizaciones de calidady, después, haz clic en Editar.

  10. En la directiva Selecciona cuándo quieres recibir actualizaciones de calidad, habilítala, establece el retraso de actualización de calidad en 7 días y, a continuación, haz clic en Aceptar.

    Configuración de este GPO

  11. Cierra el Editor de administración de directivas de grupo.

Definir el ámbito de la directiva al grupo Anillo 5: ampliar usuarios empresariales n.º2

  1. En GPMC, selecciona la directiva Windows Update para empresas - CBB2.

  2. En Filtrado de seguridad en la pestaña Ámbito, quita el grupo de seguridad predeterminado USUARIOS AUTENTICADOS y agrega el grupo Anillo 5: ampliar usuarios empresariales n.



--
Msc. Jose Luis Suarez Martinez

Entradas populares de este blog

Fwd: rev

-
---------- Forwarded message --------- De: Jose Luis Suarez Martinez < jsuarez1965@gmail.com > Date: jue, 12 dic 2019 a las 15:02 Subject: rev To: Jose Luis Suarez Martinez < jsuarez1965@gmail.com > ...
Leer más

Cómo instalar OpenSSH en Windows Server 2016 1709

-
Imagen
22 DE DICIEMBRE DE 2017 POR   MVP Cómo instalar OpenSSH en Windows Server 2016 1709 Esta semana, el equipo de Windows Insider anunció que OpenSSH llegó a Windows Server 2016 1709 y Windows 10 1709. En este artículo, le mostraré cómo instalar el nuevo servidor y cliente de OpenSSH y cómo configuro el servidor de OpenSSH en mi   servidor de Windows 2016 1709   . También le mostraré cómo usar WinSCP y cómo copiar archivos de mi servidor de Windows Server 2016 1709 utilizando SSH. Debo decir que antes de hacer este artículo e investigar el tema, vi 10 blogs y ninguno de ellos mostró cómo configurarlo correctamente y todos los artículos estaban equivocados. En este blog, siempre me aseguro de que todo lo que publico funciona al 100% y lo he probado en Servidores reales, por lo que puedes estar seguro de que si sigues este post, funcionará. EMPEZAR Para que esto funcione, estoy usando Windows Server 2016 1709 en Microsoft Azure. En mi caso, instalaré tanto el servidor como el cliente en ...
Leer más

Bloquee remotamente Windows 7, Vista, XP y Server 2008 con pantalla azul de la muerte

-
Imagen
Bloquee remotamente Windows 7, Vista, XP y Server 2008 con pantalla azul de la muerte   Raymond     Actualizado hace 2 años     Seguridad     12 comentarios Un sistema operativo Windows contiene aproximadamente de 40 a 50 millones de líneas de código y definitivamente hay errores de programación que pueden causar problemas en Windows, lo cual depende de expertos en seguridad o hackers para encontrar una   puerta trasera explotable   .   Es por eso que es muy importante que una computadora que ejecuta el sistema operativo Windows, especialmente las que están conectadas a Internet, esté siempre actualizada con los   parches o revisiones actuales   para garantizar que sea estable y confiable. Es reconfortante saber que cada versión más nueva de Windows es menos vulnerable a los ataques remotos que pueden bloquear la computadora con   la pantalla azul de la muerte   .   De vuelta en Windows 95, hubo muchos tipos diferentes de ataques de denegación de servicio que pueden causar el bloqu...
Leer más