Использование групповая политика для развертывания отката известных проблем
В этой статье описывается, как настроить групповая политика для использования определения политики отката известных проблем (KIR), которая активирует KIR на управляемых устройствах.
Применимо к: Windows Server (все поддерживаемые версии), клиент Windows (все поддерживаемые версии)
Сводка
Корпорация Майкрософт разработала новую технологию обслуживания Windows, которая называется KIR для Windows Server 2019 и Windows 10 версий 1809 и более поздних версий. Для поддерживаемых версий Windows KIR откатывает определенное изменение, которое было применено в рамках выпуска клиентский компонент Центра обновления Windows небезопасности. Все остальные изменения, внесенные в рамках этого выпуска, остаются нетронутыми. При использовании этой технологии, если обновление Windows вызывает регрессию или другую проблему, вам не нужно удалять все обновление и возвращать систему к последней известной хорошей конфигурации. Откат выполняется только изменение, вызвавшее проблему. Этот откат является временным. После выпуска нового обновления, которое устраняет проблему, откат больше не требуется.
Важно!
KiR применяются только к обновлениям без безопасности. Это связано с тем, что откат исправления для обновления, не относящейся к безопасности, не создает потенциальной уязвимости системы безопасности.
Корпорация Майкрософт управляет процессом развертывания KIR для устройств, не являющихся корпоративными. Для корпоративных устройств корпорация Майкрософт предоставляет MSI-файлы определения политики KIR. Затем предприятия могут использовать групповая политика для развертывания KIR в доменах гибридных Microsoft Entra ID или доменные службы Active Directory (AD DS).
Примечание.
Чтобы применить это групповая политика изменения, необходимо перезагрузить затронутые компьютеры.
Процесс KIR
Если корпорация Майкрософт определяет, что обновление, не относящееся к безопасности, имеет критическую регрессию или аналогичную проблему, корпорация Майкрософт создает KIR. Корпорация Майкрософт объявляет kir на панели мониторинга работоспособности Windows и добавляет сведения в следующие расположения:
- Раздел Известные проблемы применимой статьи базы знаний клиентский компонент Центра обновления Windows
- Список известных проблем на панели мониторинга выпуска работоспособности Windows по адресу https://aka.ms/windowsreleasehealth для затронутых версий Windows (например, Windows 10 версии 20H2 и Windows Server версии 20H2)
Для клиентов, не являющихся корпоративными, процесс клиентский компонент Центра обновления Windows применяет kir автоматически. Никаких действий пользователя не требуется.
Для корпоративных клиентов корпорация Майкрософт предоставляет MSI-файл определения политики. Корпоративные клиенты могут распространять KIR в управляемые системы с помощью корпоративной инфраструктуры групповая политика.
Чтобы просмотреть пример MSI-файла KIR, скачайте Windows 10 (2004 & 20H2) Известный откат проблемы 031321 01.msi.
Определение политики KIR имеет ограниченный срок существования (не более нескольких месяцев). После того как корпорация Майкрософт опубликует исправленное обновление для решения исходной проблемы, KIR больше не требуется. Затем определение политики можно удалить из инфраструктуры групповая политика.
Применение KIR к одному устройству с помощью групповая политика
Чтобы использовать групповая политика для применения KIR к одному устройству, выполните следующие действия.
- Скачайте MSI-файл определения политики KIR на устройство.
Важно!
Убедитесь, что операционная система, указанная в имени файла .msi, соответствует операционной системе устройства, которое требуется обновить.
- Запустите файл .msi на устройстве. Это действие устанавливает определение политики KIR в административном шаблоне.
- Откройте локальный групповая политика Редактор. Для этого нажмите кнопку Пуск и введите gpedit.msc.
- Выберите Политика локального> компьютераКонфигурация> компьютераАдминистративные шаблоны>KB ####### Issue XXX Rollback>Windows 10, version YYMM.
Примечание.
На этом шаге — это номер статьи базы знаний обновления, ####### вызвавшего проблему. XXX — номер проблемы, а ГГММ — номер версии Windows 10.
- Щелкните политику правой кнопкой мыши и выберите Изменить>отключено>ОК.
- Перезапустите устройство.
Дополнительные сведения об использовании локального групповая политика Редактор см. в статье Работа с параметрами политики административного шаблона с помощью локального групповая политика Редактор.
Применение KIR к устройствам в гибридном домене Microsoft Entra ID или домене AD DS с помощью групповая политика
Чтобы применить определение политики KIR к устройствам, принадлежащим к гибридному Microsoft Entra ID или домену AD DS, выполните следующие действия.
- Скачивание и установка MSI-файлов KIR
- Создайте объект групповая политика (GPO).
- Создайте и настройте фильтр WMI, который применяет объект групповой политики.
- Связывание объекта групповой политики и фильтра WMI.
- Настройте объект групповой политики.
- Отслеживайте результаты объекта групповой политики.
1. Скачивание и установка MSI-файлов KIR
- Проверьте сведения о выпуске KIR или список известных проблем, чтобы определить, какие версии операционной системы необходимо обновить.
- Скачайте определение политики KIR .msi файлы, необходимые для обновления на компьютере, который используется для управления групповая политика для вашего домена.
- Запустите файлы .msi. Это действие устанавливает определение политики KIR в административном шаблоне.
Примечание.
Определения политик устанавливаются в папку C:\Windows\PolicyDefinitions . Если вы реализовали групповая политика Центральном хранилище, необходимо скопировать файлы ADMX и ADML в центральное хранилище.
2. Создание объекта групповой политики
- Откройте консоль управления групповая политика, а затем выберите Лес: Домены доменов>.
- Щелкните правой кнопкой мыши доменное имя, а затем выберите Создать объект групповой политики в этом домене и свяжите его здесь.
- Введите имя нового объекта групповой политики (например, KIR Issue XXX) и нажмите кнопку ОК.
Дополнительные сведения о создании объектов групповой политики см. в разделе Создание объекта групповая политика.
3. Создайте и настройте фильтр WMI, который применяет объект групповой политики
Щелкните правой кнопкой мыши фильтр WMI и выберите Создать.
Введите имя для нового фильтра WMI.
Введите описание фильтра WMI, например Фильтр по всем устройствам Windows 10 версии 2004.
Нажмите Добавить.
В поле Запрос введите следующую строку запроса:
SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>
Важно!
В этой строке VersionNumber> представляет версию Windows, <к которой требуется применить объект групповой политики. Номер версии должен иметь следующий формат (исключите квадратные скобки при использовании числа в строке):
10.0.xxxxx
где xxxxxx — это число из пяти цифр. В настоящее время KIR поддерживают следующие версии:
Версия Номер сборки Windows 10, версия 20H2 10.0.19042 Windows 10, версия 2004 10.0.19041 Windows 10 версии 1909 10.0.18363 Windows 10, версия 1903 10.0.18362 Windows 10, версия 1809 10.0.17763 Актуальный список выпусков и номеров сборок Windows см. в разделе Windows 10 — сведения о выпуске.
Важно!
Номера сборки, перечисленные на странице сведений о выпуске Windows 10, не включают префикс 10.0. Чтобы использовать номер сборки в запросе, необходимо добавить префикс 10.0 .
Дополнительные сведения о создании фильтров WMI см. в статье Создание фильтров WMI для объекта групповой политики.
4. Связывание объекта групповой политики и фильтра WMI
- Выберите объект групповой политики, созданный ранее, откройте меню Фильтрация WMI , а затем выберите только что созданный фильтр WMI.
- Выберите Да , чтобы принять фильтр.
5. Настройка объекта групповой политики
Измените объект групповой политики, чтобы использовать политику активации KIR:
- Щелкните правой кнопкой мыши созданный ранее объект групповой политики и выберите изменить.
- В групповая политика Редактор выберите GPOName>Конфигурация> компьютераАдминистративные шаблоны>базы знаний ####### Вопрос XXX Откат>Windows 10, версия ГГММ.
- Щелкните политику правой кнопкой мыши и выберите Изменить>отключено>ОК.
Дополнительные сведения об изменении объектов групповой политики см. в разделе Изменение объекта групповая политика из GPMC.
6. Мониторинг результатов объекта групповой политики
В конфигурации по умолчанию групповая политика управляемые устройства должны применять новую политику в течение 90–120 минут. Чтобы ускорить этот процесс, можно запустить gpupdate
на затронутых устройствах, чтобы вручную проверка для обновленных политик.
Убедитесь, что каждое затронуто устройство перезапускается после применения политики.
Важно!
Исправление, включающее проблему, отключается после того, как устройство применяет политику, а затем перезапускается.
Развертывание активации KIR с помощью Microsoft Intune приема политики ADMX на управляемые устройства
Примечание.
Чтобы использовать решения, приведенные в этом разделе, необходимо установить на компьютер накопительное обновление, выпущенное 26 июля 2022 г. или более поздней версии.
Групповые политики и объекты групповой политики несовместимы с решениями на основе управления мобильными устройствами (MDM), такими как Microsoft Intune. Эти инструкции помогут вам использовать Intune настраиваемые параметры для приема ADMX и настроить политики MDM с поддержкой ADMX для выполнения активации KIR без необходимости использования объекта групповой политики.
Чтобы выполнить активацию KIR на Intune управляемых устройствах, выполните следующие действия.
- Скачайте и установите MSI-файл KIR, чтобы получить ADMX-файлы.
- Создайте настраиваемый профиль конфигурации в Microsoft Intune.
- Мониторинг активации KIR.
1. Скачайте и установите MSI-файл KIR, чтобы получить ADMX-файлы.
Проверьте сведения о выпуске KIR или список известных проблем, чтобы определить, какие версии операционной системы (ОС) необходимо обновить.
Скачайте требуемое определение политики KIR .msi файлы на компьютере, используемом для входа в Microsoft Intune.
Примечание.
Вам потребуется доступ к содержимому ADMX-файла активации KIR.
.msi
Запустите файлы. Это действие устанавливает определение политики KIR в административном шаблоне.Примечание.
Определения политик устанавливаются в папку C:\Windows\PolicyDefinitions .
Если вы хотите извлечь файлы ADMX в другое расположение, используйте
msiexec
команду со свойством TARGETDIR . Например:msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx
2. Создание пользовательского профиля конфигурации в Microsoft Intune
Чтобы настроить устройства для активации KIR, необходимо создать пользовательский профиль конфигурации для каждой ОС управляемых устройств. Чтобы создать пользовательский профиль, выполните следующие действия.
- Выберите свойства и добавьте основные сведения о профиле.
- Добавьте настраиваемый параметр конфигурации для приема ADMX-файлов для активации KIR.
- Добавьте настраиваемый параметр конфигурации, чтобы задать новую политику активации KIR.
- Назначьте устройства пользовательскому профилю конфигурации активации KIR.
- Используйте правила применимости для целевых устройств, чтобы получать пользовательские параметры конфигурации KIR от ОС.
- Просмотрите и создайте настраиваемый профиль конфигурации активации KIR.
О. Выбор свойств и добавление основных сведений о профиле
Войдите в Центр администрирования Microsoft Intune.
Выберите Устройства>Профили конфигурации>Создать профиль.
Выберите следующие свойства:
- Платформа: Windows 10 и более поздних версий
- Профиль: настраиваемые шаблоны>
Нажмите Создать.
В разделе Основные укажите следующие свойства.
- Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики : 04/30 АКТИВАЦИЯ KIR — Windows 10 21H2.
- Описание: введите описание политики. Этот параметр является необязательным, но мы рекомендуем его использовать.
Примечание.
Для типа платформы и профиля уже должны быть выбраны значения.
Нажмите кнопку Далее.
Примечание.
Дополнительные сведения о создании настраиваемых профилей конфигурации и параметров конфигурации см. в статье Использование пользовательских параметров устройства в Microsoft Intune.
Прежде чем перейти к следующим двум шагам, откройте ADMX-файл в текстовом редакторе (например, в Блокноте), где был извлечен файл. ADMX-файл должен находиться в пути C:\Windows\PolicyDefinitions , если он установлен как MSI-файл.
Ниже приведен пример ADMX-файла:
<policies>
<policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >
<parentCategory ref="KnownIssueRollback_Win_11" />
<supportedOn ref="SUPPORTED_Windows_11_0_Only" />
<enabledList…> … </enabledList>
<disabledList…>…</disabledList>
</policy>
</policies>
Запишите значения для policy name
и parentCategory
. Эти сведения содержатся в узле policies в конце файла.
Б. Добавление настраиваемого параметра конфигурации для приема ADMX-файлов для активации KIR
Этот параметр конфигурации используется для установки политики активации KIR на целевых устройствах. Чтобы добавить параметры приема ADMX, выполните следующие действия.
В разделе Параметры конфигурации нажмите Добавить.
Укажите следующие свойства:
Имя. Введите описательное имя для параметра конфигурации. Назовите параметры, чтобы их можно было легко определить позже. Например, хорошее имя параметра — "Прием ADMX: 04/30 АКТИВАЦИЯ KIR — Windows 10 21H2".
Описание. Введите описание параметра. Этот параметр является необязательным, но мы рекомендуем его использовать.
OMA-URI: введите строку ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.
Примечание.
Замените <ADMX Policy Name> значением записанного имени политики из ADMX-файла. Например, "KB5011563_220428_2000_1_KnownIssueRollback".
Тип данных: выберите Строка.
Значение: откройте ADMX-файл с помощью текстового редактора (например, Блокнот). Скопируйте и вставьте все содержимое ADMX-файла, который вы планируете принять в это поле.
Нажмите кнопку Сохранить.
C. Добавление настраиваемого параметра конфигурации для задания новой политики активации KIR
Этот параметр конфигурации используется для настройки политики активации KIR, определенной на предыдущем шаге.
Чтобы добавить параметры конфигурации активации KIR, выполните следующие действия.
В разделе Параметры конфигурации нажмите Добавить.
Укажите следующие свойства:
Имя. Введите описательное имя для параметра конфигурации. Назовите параметры, чтобы их можно было легко определить позже. Например, хорошее имя параметра — "Активация KIR: 04/30 АКТИВАЦИЯ KIR — Windows 10 21H2".
Описание. Введите описание параметра. Этот параметр является необязательным, но мы рекомендуем его использовать.
OMA-URI: введите строку ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.
Примечание.
Замените <родительскую категорию> строкой родительской категории, записанной на предыдущем шаге. Например, "KnownIssueRollback_Win_11". Замените <имя> политики ADMX тем же именем политики, которое использовалось на предыдущем шаге.
Тип данных: выберите Строка.
Значение: введите <disabled/>.
Нажмите кнопку Сохранить.
Нажмите кнопку Далее.
D. Назначение устройств пользовательскому профилю конфигурации активации KIR
Определив, что делает пользовательский профиль конфигурации, выполните следующие действия, чтобы определить, какие устройства необходимо настроить.
- В разделе Назначения выберите Добавить все устройства.
- Нажмите кнопку Далее.
Д. Использование правил применимости для целевых устройств для получения пользовательских параметров конфигурации KIR в ОС
Чтобы нацелить устройства на ос, применимые к групповой политики, добавьте правило применимости, чтобы проверка версию ОС устройства (сборка) перед применением этой конфигурации. Номера сборки для поддерживаемой ОС можно найти на следующих страницах:
Номера сборки, отображаемые на страницах, форматируются как MMMMM.mmmm (M= основная версия и m= дополнительная версия). В свойствах версия ОС используются основные цифры версии. Значения версии ОС, введенные в правила применимости, должны быть отформатированы как "10.0.MMMMM". Например, "10.0.22000".
Следуйте этим инструкциям, чтобы задать правильные правила применимости для активации KIR:
В разделе Правила применимости создайте правило применимости, введя следующие свойства в пустое правило уже на странице:
- Правило. Выберите Назначить профиль, если в раскрывающемся списке.
- Свойство: выберите Версия ОС в раскрывающемся списке.
- Значение: введите номера версий ОС Min и Max, отформатированные как "10.0.MMMMM".
Нажмите кнопку Далее.
Примечание.
Версию ОС устройства можно найти, выполнив winver
команду в меню Пуск. Отобразится номер версии из двух частей, разделенный ".". Например, "22000.613". Вы можете добавить левое число в "10.0". для версии ОС Min. Получите номер максимальной версии ОС, добавив 1 к последней цифре номера версии ОС Min. В этом примере можно использовать следующие значения:
Минимальная версия ОС: "10.0.22000"
Максимальная версия ОС: "10.0.22001"
F. Просмотр и создание пользовательского профиля конфигурации активации KIR
Просмотрите параметры пользовательского профиля конфигурации и нажмите кнопку Создать.
3. Мониторинг активации KIR
Активация KIR должна выполняться сейчас. Чтобы отслеживать ход выполнения профиля конфигурации, выполните следующие действия.
Перейдите враздел Профили конфигурацииустройств> и выберите существующий профиль. Для примера выберите профиль macOS.
Выберите вкладку Обзор. В этом представлении Состояние назначения профиля включает следующие состояния:
- Успешно: политика применена.
- Ошибка: политику не удалось применить. Обычно в сообщении отображается код ошибки, ссылающийся на объяснение.
- Конфликт: два параметра применяются для одного устройства, и Intune не может отсортировать конфликт. Администратор должен проверить конфликт.
- Ожидание: устройство еще не подключено в Intune для получения политики.
- Неприменимо: устройство не может получить политику. Например, политика обновляет параметр для iOS 11.1, а на устройстве используется iOS 10.
Дополнительные сведения см. в разделе Мониторинг профилей конфигурации устройств в Microsoft Intune.
Дополнительная информация
- Локальная групповая политика Редактор
- Работа с параметрами политики административного шаблона с помощью локальной групповая политика Редактор
- Обзор групповая политика
- Практическое руководство по GPMC
- Создание фильтров WMI для объекта групповой политики (Windows 10) — безопасность Windows
- Изменение объекта групповая политика из GPMC
- Создание групповой политики и управление ими в Доменные службы Microsoft Entra
- Настройка параметров групповой политики в Microsoft Intune с помощью шаблонов Windows 10/11