チョコ煮

チョコ煮

いろんな素材をチョコで煮ます

【修正】WSUS+GPO「インターネット上の Windows Update に接続しない」の罠

(2018/11/23修正)

下記グループポリシーでDISMがブロックされることはありません。検証不足で申し訳ございません。

 

一応記事自体は残しておきます。

 

社内でWSUSを構築する際、WSUSからのみ更新ファイルを入手しないと意味がないので、ドメインのグループポリシーで「インターネット上の Windows Update に接続しない」と縛っている場合はけっこう多そうな気がする。

 

しかしこの設定で困るのは、最新版の1つ前のバージョンしかアップデートの配信をしてない場合。例えばこの記事を書いている現在でのWindows10の最新は1803だが、1709で止めている場合など。

 

このグループポリシーが有効な場合は、DISMなどでの修復のためのインターネットアクセスがブロックされる。(←追記:ウソでした。そんなことはありません。)

 

また、WSUSの都合で配信しないことになっている製品の更新ファイルが必要になったりする場合はWSUSの設定を変えなくてはいけないが、それが1台のためだけ、とかいう場合などは設定変更がためらわれる。

かといって、ドメインのグループポリシーから外れるために、ワークグループに降格してアップデートをすると、上例では1803までアップデートが走ってしまう危険性がある。

 

こういうときにはMicrosoftカタログを使えばいいじゃない、というのは思いつくのだが、たまにカタログで提供されていない更新ファイルがあったりする。

 

有効な運用としては、WSUS上でコンピュータグループを新規作成し、その中で必要な更新ファイルだけ承認するという手があるが、WSUSで取得していない更新ファイルはどうしようもなかったりする。

 

なんとか1803へのアップデートを回避しつつ、インターネット上のWindows Updateにアクセスできる方法はないだろうか。非常に悩ましいところである。