bookmark_borderHowto: Windows 11 Upgrade in Domäne blockieren

Microsoft scheint mittlerweile das Upgrade auf Windows 11 von Windows 10 so zu verteilen, dass die User für das Upgrade keine Administratorrechte mehr benötigen. Möchte man also verhindern, dass ein User “ausversehen” das Upgrade anstößt, hilft hierbei nur eine Gruppenrichtlinie.

Die Gruppenrichtlinie wird unter folgendem Pfad angelegt: Computerkonfiguration -> Richtlinien -> Administrative-Vorlagen -> Windows-Komponenten -> Windows Update.

Leider ist die zu setzende GPO auf den Serverversionen 2016, 2019 und 2022 veraltet, weshalb man nur die “Zielversion für Funktionsupdates” setzen kann. Da die Funktionsupdates für Windows 10 und Windows 11 die gleichen Bezeichnungen haben, bringt uns diese Einstellung leider nichts. Auf Server 2016 fehlt die Einstellung sogar komplett.

Server 2019: Zielversion des Funktionsupdates auswählen (ohne Admx-Update)

Wir müssen daher die Admx-Templates auf dem Server aktualisieren, um zusätzlich noch die Einstellmöglichkeit “Für welche Windows-Produktversion möchten Sie Windows-Updates erhalten?” zu bekommen.

Das aktuellste Admx-Template (Stand 27.05.2022) kann von hier heruntergeladen werden. Das entpacken erfolgt in einen lokalen Pfad. Von dort müssen die Daten dann auf den Domänencontroller kopiert werden, damit dieser auf die Templates zugreifen kann.

Entpacken der Admx-Templates

Dazu öffnet man den Ordner “C:\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2021 Update (21H2)” im Explorer und kopiert den Ordner “PolicyDefinitions“. Dieser muss an in den folgenden Ordner eingefügt werden: “\\domain.local\sysvol\domain.local\Policies“. Der Wert “domain.local” muss mit der eigenen Domäne ersetzt werden.

Nachdem die Dateien vollständig kopiert wurden, kann man über die Gruppenrichtlinienverwaltung eine neue GPO anlegen. Im Gruppenrichtlinienverwaltungs-Editor öffnen wir den Pfad Computerkonfiguration -> Richtlinien -> Administrative-Vorlagen -> Windows-Komponenten -> Windows Update und öffnen das Template Zielversion des Funktionsupdates auswählen. Dort tragen wir im oberen Feld “Windows 10” und im unteren Feld “21H2” ein.

Server 2019: Zielversion des Funktionsupdates auswählen (mit Admx-Update)

Bitte beachten: Sobald ein neues Funktionsupdate veröffentlicht wurde und dies ausgerollt werden soll, muss der Wert im Feld Zielversion für Funktionsupdates wieder angepasst werden.

Nach einem Neustart eines Clients und dem abgleichen der GPOs sollte dann kein Hinweis mehr auf Windows 11 in der Taskleiste und unter Windows Updates eingeblendet werden.


Windows 11 Upgrade auf einem einzelnen Rechner blocken

Mit Hilfe der Gruppenrichtlinie kann das Windows 11 upgrade auch auf einem einzelnen, lokalen Rechner verhindert werden. Hierzu öffnet man über die Windows-Suche “gpedit.msc” (Editor für lokale Gruppenrichtlinien). Dort öffnen wir den Pfad Computerkonfiguration -> Richtlinien -> Administrative-Vorlagen -> Windows-Komponenten -> Windows Update und öffnen das Template Zielversion des Funktionsupdates auswählen.

Auf aktuellen Windows 10 Clients werden die Admx-Templates automatisch installiert, d.h. ein manuelles aktualisieren der Admx-Templates müsste für diese Einstellung nicht nötig sein. Die beiden Felder befüllen wir wieder mit “Windows 10” (oben) und “21H2” (unten). Nach einem Neustart wird dann ebenso in der Taskleiste und in Windows Updates nicht mehr auf Windows 11 hingewiesen.