グループ ポリシーを使用して自動更新を構成する
WSUS のグループ ポリシー設定を構成するときは、環境に適した Active Directory コンテナにリンクされているグループ ポリシー オブジェクト (GPO) を使用します。[既定のドメイン] または [既定のドメイン コントローラ] の GPO を編集して WSUS 設定を追加することはお勧めしません。
単純な環境では、WSUS 設定が含まれる GPO をドメインにリンクさせます。より複雑な環境では、複数の GPO を複数の組織単位 (OU) にリンクさせることができます。これにより、異なる WSUS ポリシー設定を異なる種類のコンピュータに適用できます。
クライアント コンピュータをセットアップしてから、WSUS コンソールの [コンピュータ] ページにクライアント コンピュータが表示されるまでには数分かかります。クライアント コンピュータが Active Directory ベースの GPO で構成されている場合は、グループ ポリシーが最新の情報に更新されてから、つまり新しい設定がクライアント コンピュータに適用されてから約 20 分かかります。既定では、グループ ポリシーは、0 ~ 30 分のランダムな時間のずれはありますが、バックグラウンドで 90 分ごとに更新されます。グループ ポリシーをもっと短い時間で更新する場合は、クライアント コンピュータのコマンド プロンプトで、「gpupdate /force」と入力します。
注意
Windows 2000 を実行しているクライアント コンピュータでは、コマンド プロンプトで「secedit /refreshpolicy machine_policy enforce」と入力します。
以下に、環境内の WSUS 関連の項目の構成に使用できるグループ ポリシーのオプションを一覧します。
注意
Windows 2000 では、グループ ポリシー オブジェクト エディタはグループ ポリシー エディタと呼ばれています。名前は異なりますが、グループ ポリシー オブジェクトを編集するための同じツールです。一般には、"gpedit" とも呼ばれます。
WSUS 管理用テンプレートを読み込む
WSUS のグループ ポリシーのオプションを設定するには、その前に、グループ ポリシーの管理に使用するコンピュータに最新の管理用テンプレートが読み込まれていることを確認する必要があります。WSUS 設定が含まれる管理用テンプレートには Wuau.adm という名前が付いています。Windows Update の Web サイトに関連するグループ ポリシー設定はほかにもありますが、WSUS 用の新しいグループ ポリシー設定はすべて Wuau.adm ファイルに含まれています。
グループ ポリシーの構成に使用するコンピュータに最新バージョンの Wuau.adm が存在する場合は、設定を構成するためにこのファイルを読み込む必要はありません。最新バージョンの Wuau.adm は、WSUSに含まれています。テンプレート ファイルは、既定では %windir%\Inf ディレクトリに格納されます。
重要
Wuau.adm の適切なバージョンは、WSUS 互換の自動更新がインストールされているコンピュータであれば存在しています。古いバージョンの Wuau.adm を使用して、自己更新を行えるよう、最初に自動更新を WSUS サーバーに関連付けることもできます。自動更新が自己更新を行うと、新しい Wuau.adm ファイルが %windir%\Inf フォルダに作成されます。
グループ ポリシーの構成に使用するコンピュータに最新バージョンの Wuau.adm が存在しない場合は、まず、次の手順を使用してこのファイルを読み込む必要があります。
WSUS 管理用テンプレートを追加するには
グループ ポリシー オブジェクト エディタで、いずれかの [管理用テンプレート] ノードをクリックします。
[操作] メニューの [テンプレートの追加と削除] をクリックします。
[追加] をクリックします。
[ポリシー テンプレート] ダイアログ ボックスで、[Wuau.adm] を選択し、[開く] をクリックします。
[テンプレートの追加と削除] ダイアログ ボックスで、[閉じる] をクリックします。
自動更新を構成する
このポリシーの設定を使用すると、自動更新の動作を構成できます。自動更新は、Windows Update からではなく、WSUS サーバーから更新プログラムをダウンロードするように指定する必要があります。
自動更新の動作を構成するには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
詳細ペインで、[自動更新を構成する] をクリックします。
[有効] をクリックし、次のいずれかのオプションを選択します。
[ダウンロードとインストールを通知]。 このオプションでは、更新プログラムのダウンロード前とインストール前にログオンしている管理者ユーザーに通知します。
[自動ダウンロードしインストールを通知]。 このオプションでは自動的に更新プログラムのダウンロードを開始し、更新プログラムのインストール前にログオンしている管理者ユーザーに通知します。
[自動ダウンロードしインストール日時を指定]。 自動更新がスケジュールされたインストールを実行するよう構成されている場合は、そのスケジュールされたインストールの日時も設定する必要があります。
[ローカルの管理者の設定選択を許可]。 このオプションでは、クライアントコンピュータの管理者が、コントロール パネルの自動更新を使用して、構成オプションを選択することができます。たとえば、定期的にインストールを行う時刻を独自に選択できます。ローカルの管理者は、自動更新を無効にすることはできません。
[OK] をクリックします。
イントラネットの Microsoft の更新サービスの場所を指定する
このポリシーの設定を使用すると、自動更新が更新プログラム用に接続する WSUS サーバーを構成できます。自動更新が WSUS サーバーから更新プログラムをダウンロードするには、このポリシーを有効にする必要があります。
WSUS サーバーの HTTP URL を 2 度入力して、更新プログラム用に指定したサーバーがクライアントのイベントのレポートにも使用されるようにします。たとえば、両方のボックスに「https://<サーバー名>」と入力します。どちらの URL も必須です。
自動更新を WSUS サーバーにリダイレクトするには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
詳細ペインで、[イントラネットの Microsoft の更新サービスの場所を指定する] をクリックします。
[有効] をクリックし、[更新を検出するためのイントラネットの更新サービスを設定する] ボックスと [イントラネット統計サーバーの設定] ボックスに、同じ WSUS サーバーの HTTP URL を入力します。たとえば、両方のボックスに「https://<サーバー名>」と入力します。
[OK] をクリックします。
クライアント側のターゲットを有効にする
このポリシーを使用すると、クライアント コンピュータが WSUS サーバー上に存在するコンピュータ グループを自己生成できるようになります。
状態を [有効] に設定すると、指定したコンピュータ グループの情報が WSUS に送信されます。WSUS はその情報を使用して、このコンピュータに展開する必要がある更新プログラムを特定します。この設定は、クライアント コンピュータが使用する必要があるグループを WSUS サーバーに指定する場合のみ効果があります。WSUS サーバーには実際にグループを作成する必要があります。
状態を [無効] または [未構成] に設定した場合は、コンピュータ グループの情報は WSUS に送信されません。
クライアント側のターゲットを有効にするには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
詳細ペインで、[クライアント側のターゲットを有効にする] をクリックします。
[有効] をクリックして、コンピュータ グループの名前をボックスに入力します。
[OK] をクリックします。
自動更新のインストールを再度スケジュールする
このポリシーは、システムが起動した後、前回実行されなかったスケジュール済みのインストールを実行するまでの自動更新の待機時間を指定します。
状態を [有効] に設定すると、前回実行されなかったスケジュール済みのインストールは、コンピュータが再起動した後、指定した時間 (分) が経過すると実行されます。
状態を [無効] に設定すると、実行されなかったスケジュール済みのインストールは、次にスケジュールされているインストールと共に実行されます。
状態を [未構成] に設定すると、実行されなかったスケジュール済みのインストールは、コンピュータが再起動した後、1 分後に実行されます。
このポリシーは、自動更新が更新プログラムのスケジュールされたインストールを実行するように構成されている場合のみ適用されます。自動更新を構成するポリシーが無効の場合、このポリシーは何も影響しません。
自動更新のスケジュールされたインストールを再度スケジュールするには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
詳細ペインで、[自動更新のインストールを再度スケジュールする]、[有効] の順にクリックし、分単位の値を入力します。
[OK] をクリックします。
スケジュールされた自動更新インストールに対しては自動再起動しない
このポリシーは、スケジュールされたインストールを完了するために、コンピュータを自動的に再起動するのではなく、ログオンしているユーザーがコンピュータを再起動することを自動更新が待つように指定します。
状態を [有効] に設定した場合、コンピュータにログオンしているユーザーがいれば、スケジュールされたインストールの実行中にコンピュータは自動再起動しません。代わりに、インストールを完了するためにコンピュータを再起動するようユーザーに通知が表示されます。
自動更新は、コンピュータが再起動するまで新しい更新プログラムを検出できないことに注意してください。
状態を [無効] または [未構成] に設定した場合は、インストールを完了するためにコンピュータが 5 分以内に自動的に再起動することがユーザーに通知されます。
このポリシーは、自動更新が更新プログラムのスケジュールされたインストールを実行するように構成されている場合のみ適用されます。自動更新を構成するポリシーが無効の場合、このポリシーは何も影響しません。
スケジュールされた自動更新インストール オプションで自動再起動を禁止するには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
詳細ペインで、[スケジュールされた自動更新インストールに対しては自動再起動しない] をクリックし、オプションを設定します。
[OK] をクリックします。
自動更新の検出頻度
このポリシーは、Windows が利用可能な更新プログラムをチェックするまでの待機時間を決定する際の、基準となる時間を指定します。正確な待機時間は、ここで指定した時間から、その時間の 0 ~ 20 % を差し引いた時間に基づいて決定されます。たとえば、このポリシーを使用して検出頻度を 20 時間に指定した場合、このポリシーが適用される WSUS クライアントはすべて、16 ~ 20 時間の間に更新プログラムをチェックします。
状態を [有効] に設定すると、自動更新は指定された間隔で利用可能な更新プログラムをチェックします。
状態を [無効] または [未構成] に設定した場合は、自動更新は既定の 22 時間間隔で利用可能な更新プログラムをチェックします。
自動更新の検出頻度を設定するには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
詳細ペインで [自動更新の検出頻度] をクリックし、オプションを設定します。
[OK] をクリックします。
自動更新を直ちにインストールすることを許可する
このポリシーは、Windows サービスの中断や Windows の再起動が不要な特定の更新プログラムを、自動更新が自動的にインストールする必要があるかどうかを指定します。
状態を [有効] に設定すると、これらの更新プログラムは、ダウンロード後インストールの準備が整うと直ちにインストールされます。
状態を [無効] に設定した場合は、これらの更新プログラムは直ちにインストールされません。
自動更新を直ちにインストールすることを許可するには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
詳細ペインで [自動更新を直ちにインストールすることを許可する] をクリックし、オプションを設定します。
[OK] をクリックします。
スケジュールされたインストールの再起動を遅らせる
このポリシーは、スケジュールされた再起動を行うまでの自動更新の待機時間を指定します。
状態を [有効] に設定すると、スケジュールされた再起動は、インストールが終了した後、指定した時間 (分) が経過すると行われます。
状態を [無効] または [未構成] に設定した場合、既定の待機時間は 5 分になります。
スケジュールされたインストールの再起動を遅らせるには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
詳細ペインで [スケジュールされたインストールの再起動を遅らせる] をクリックし、オプションを設定します。
[OK] をクリックします。
スケジュールされたインストール時の再起動を再確認する
このポリシーは、ユーザーにスケジュールされた再起動の再確認を行うまでの、自動更新の待機時間を指定します。
状態を [有効] に設定すると、スケジュールされた再起動は、前回延期された再起動の確認の後、指定した時間 (分) が経過すると行われます。 状態を [無効] または [未構成] に設定した場合、既定の間隔は 10 分になります。
スケジュールされたインストール時の再起動を再確認するには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
詳細ペインで [スケジュールされたインストール時の再起動を再確認する] をクリックし、オプションを設定します。
[OK] をクリックします。
非管理者による更新の通知の受信を許可する
このポリシーは、ログオンしている管理者以外のユーザーが、自動更新の構成設定に基づいて更新通知を受け取るかどうかを指定します。ポリシーを使用して、あるいはローカルに、ダウンロード前またはインストール前のみユーザーに通知するよう自動更新を構成している場合は、これらの通知がコンピュータにログオンしている管理者以外のすべてのユーザーに送信されます。
状態を [有効] に設定すると、自動更新は、ログオンしているどのユーザーが通知を受信するかを特定する際に、管理者以外のユーザーも考慮します。
状態を [無効] または [未構成] に設定した場合は、ログオンしている管理者のみに通知が送信されます。
管理者以外のユーザーが更新通知を受け取るようにするには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
詳細ペインで [非管理者による更新の通知の受信を許可する] をクリックし、オプションを設定します。
[OK] をクリックします。
注意
このポリシーの設定では、管理者以外のターミナル サービス ユーザーは、ログインしているリモート コンピュータを再起動できません。管理者以外のターミナル サービス ユーザーには、既定ではコンピュータを再起動する特権が付与されていないためです。
Windows Update へのリンクとアクセスを削除する
この設定を有効にすると、自動更新は WSUS サーバーから更新プログラムを取得します。このポリシーが設定されたユーザーは、管理者が承認していない Windows Update Web サイトから更新プログラムを取得することはできません。このポリシーを無効にした場合は、ローカルの管理者が Windows Update Web サイトにアクセスできるよう、[スタート] メニューに Windows Update アイコンが維持されます。ローカルの管理ユーザーは、このアイコンを使用して、Windows Update Web サイトから未承認のソフトウェアをインストールできます。これは、承認された更新プログラムを WSUS サーバーから取得するように自動更新が指定されている場合も同様です。
Windows Update へのリンクとアクセスを削除するには
グループ ポリシー オブジェクト エディタで、[ユーザーの構成]、[管理用テンプレート] の順に展開し、[タスク バーと [スタート] メニュー] をクリックします。
詳細ペインで [Windows Update へのリンクとアクセスを削除する] をクリックし、オプションを設定します。
[OK] をクリックします。