Beschreibung:

Wie kann die Installation von Windows 11 verhindert werden?


Unsere Smart Updates können auch Funktionsupdates installieren, darunter zählt auch das Upgrade von W10 auf W11.

Oftmals ist dieses Upgrade nicht gewünscht, daher geben wir Dir zwei Möglichkeiten mit, die automatische Installation von W11 zu verhindern.


INHALTSVERZEICHNIS


Lösung via GPO

Man kann mithilfe der Gruppen­richt­linien steuern, auf welche Version das Feature-Update erfolgen soll. Dafür vorgesehen ist die mit Windows 10 2004 eingeführte Option "Zielversion des Funktionsupdates auswählen" (unter Windows Update für Unternehmen).

Bislang war es dort aber nur möglich, das Release von Windows 10 einzutragen, also beispielsweise 21H1, um gezielt diese Version anzufordern. Dies reicht aber jetzt nicht mehr aus, weil die erste Ausführung von Windows 11 die gleiche Version aufweist wie das letzte Windows 10, nämlich 21H2.

Das Update für die ADMX-Vorlage sieht ein Feld für das Betriebs­system vor.


In der neuen Vorlage trägt man unter Produktversion somit Windows 10 ein und unter Zielversion 21H2, wenn man das Update auf Windows 11 vermeiden möchte. Umgekehrt sorgt ein entsprechender Eintrag für ein Upgrade auf Windows 11.

(Quelle: Update auf Windows 11 mit Gruppenrichtlinien blockieren oder erzwingen)

Lösung via PowerShell-Skript

Hierzu werden drei Schlüssel in der Registry gesetzt. Unter 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

erstelle bitte folgende Schlüssel: 

  • TargetReleaseVersion, Typ DWord, Wert "1"
  • TargetReleaseVersionInfo, Typ String, Wert "22H1"
  • ProductVersion, Typ String, Wert "Windows 10"

Nach dem Setzen der Schlüssel bitte den Computer neu starten, damit die Änderungen angenommen werden. 


Wichtig ist dabei, dass der Wert für den Schlüssel "TargetReleaseVersionInfo" stets die nächste erscheinende Update-Version von Windows 10 ist, um zeitnah dieses Update zu erhalten. Daher ist es notwendig, diesen Schlüssel mit Erscheinen einer neuen Version entsprechend anzupassen. 

Sollte der Schlüssel nicht angepasstwerden,n so kann diese Einstellung "ignoriert" werden, wenn die vorhandene Windows-Version ihr End Of Life erreicht hat. In diesem Fall wird ein Update durchgeführt. Dies erfolgt allerdings bei gesetztem Key nicht zeitnah!


An diesem KB-Artikel hängen zwei Skripte: 

  • SetPreventWindows11.ps1: Zur Verwendung mit dem Server-Sensor "Erweiterte PowerShell Überprüfung" und für das Server-Eye Online Repository, enthält alles, was das Skript zur Ausführung benötigt.
    • Enthält als optionales Argument die Zielversion als Parameter "targetVersion" und kann über die Einstellung "Argument" im Sensor angepasst werden. Standardmäßig ist hier "22H1" hinterlegt (im Sensor nicht erkennbar). 
  • SetPreventWindows11Full.ps1: Stand-Alone-Skript ohne Verwendung mit Server-Eye mit Benutzerabfrage, ob die Schlüssel gesetzt werden sollen. (Full wegen der zusätzlichen Benutzerabfrage)


Beide Skripte setzen die genannten Schlüssel und können auch zur Aktualisierung von "TargetReleaseVersionInfo" verwendet werden. 


Verwendung SetPreventWindows11.ps1

Dieses Skript in den servereye-PowerShell-Skripte-Ordner unter "C:\Program Files (x86)\Server-Eye\service\X\Scripts" (wobei X höchste Nummer oder 1 bei Neuinstallation) kopieren und dann das Skript im "Erweiterte PowerShell"-Sensor auswählen. Unter Argument "$targetVersion="22H1"" bei Bedarf eintragen. 22H1 ist standardmäßig im Skript definiert. Eine positive Rückmeldung des Skripts hat den Rückgabewert 0 - alles andere ist ein Fehler. 


Starte nach dem Durchlauf des Scripts bitte den Rechner neu. 


Verwendung SetPreventWindows11Full.ps1

Starte eine PowerShell mit Admin-Rechten und rufe dieses Skript auf. Anschließend wirst Du gefragt, ob Du die Schlüssel setzen möchtest. Wähle hier "Yes (Y)" und die Registry-Schlüssel werden gesetzt. Wählst Du "No (N)" wird das Skript ohne Änderungen am System beendet. 


Starte nach dem Durchlauf des Scripts bitte den Rechner neu.


Änderungen rückgängig machen

Die drei Schlüssel können wieder gelöscht werden. Alternativ kann auch "TargetReleaseVersion" auf 0 gesetzt werden, da damit diese "Zielversionssteuerung" aktiviert bzw. deaktiviert wird. 


Außerdem kann das Skript "ResetPreventWindows11.ps1" verwendet werden, das ebenfalls hier anhängt. Dieses sichert noch einmal die Schlüssel in die Datei "C:\ProgramData\ServerEye3\win11preventbackup.txt" - bitte vor Neuausführung dieses Skripts diese Datei löschen. 


Weitere Informationen

  • Informationen zu den Windows 10 Update Versionen: https://docs.microsoft.com/en-us/windows/release-health/release-information (Aus den Tabellenspalten "Version" kann die jeweilige Version entnommen werden)