スタンドアロン（ワークグループ）環境のパソコン、いわゆる個人使用のパソコンに続き、会社で使われるようなドメイン環境のパソコンにもWindows 10のアップグレード画面が表示されるようになったことが判明しました。

従来は、ドメインに参加しているパソコンではKB3080351を適用しない限り、アップグレード画面が表示されることはありませんでした*1。

 

ＭＳ、本気出してきたぞ・・・(x_x；)

 

 

 

どんな画面が表示されるのか？

今回は、通知領域にGWXUXのアイコンが表示されていたため判明しました。

クリックすると、先の画面が表示されます。
スタンドアロン環境の画面に比べると、まだ良心的な画面とも言えます。

 

スタンドアロン環境の画面は↓
予約日時がセットされた画面（滝汗）
アップグレードの予約時間がセットされている場合の対応方法は↓

 

グループポリシーでアップグレードを抑止する方法

ドメインの管理者ならまず考え付くグループポリシーでの抑止。
KB3065987やKB3065988を適用し、「Windows Update を使用して、Windows の最新バージョンへのアップグレードをオフにする」ポリシーを有効化する方法があります。

https://support.microsoft.com/ja-jp/kb/3080351

ただし、同業のドメインの管理者に教えてもらいましたが、今現在配布されているKBを適用してもポリシー設定項目が表示されないようです。
実際、新規にWindows Server 2008 R2 DCを立て、検証してみましたが、ポリシー項目が見つかりませんでしたので、内部の変更を加えられている可能性があります。

設定方法
　コンピューターの構成
　　∟ポリシー
　　　∟管理用テンプレート
　　　　∟Windows コンポーネント
　　　　　∟Windows Update
　と開いていき、
「Windows Update を使用して、Windows の最新バージョンへのアップグレードをオフにする」ポリシーを有効化する。

このあたり、もう少し検証が必要な感じです。

 

レジストリでアップグレードを抑止する方法（実績あり）

上述のポリシー設定をレジストリで行うことが可能です。
こちらは、検証環境でも正常に動作しました。

設定方法は、グループポリシーのレジストリで以下の値を設定します。

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
名前 : DisableOSUpgrade
種類 : REG_DWORD
値 : 1

スタートアップスクリプトやログオンスクリプトで対応する場合は、以下のコマンドを実行させます。

reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate /v "DisableOSUpgrade" /t REG_DWORD /d 00000001 /f

レジストリ値がドメインのクライアントパソコンに設定されると、GWXUXの画面は以下のように変わります。

これで、クライアントパソコンの利用者が誤ってアップグレードすることを防止できると思います。

 

レジストリで抑止した後、アップグレードを許可する方法

DisableOSUpgradeの値を1から0に変更するだけです。
レジストリの更新ポリシーで

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
名前 : DisableOSUpgrade
種類 : REG_DWORD
値 : 0

を設定するか、スクリプトの記述を

reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate /v "DisableOSUpgrade" /t REG_DWORD /d 00000000 /f

に変更します。

変更が伝播されると、クライアント側の操作でアップグレードすることが可能になります。