Verwenden von Gruppenrichtlinien zum Bereitstellen eines Rollbacks für bekannte Probleme

In diesem Artikel wird erläutert, wie Sie Gruppenrichtlinien für die Verwendung einer KIR-Richtliniendefinition (Known Issue Rollback) konfigurieren, die eine KIR auf verwalteten Geräten aktiviert.

Übersicht

Microsoft hat eine neue Windows-Wartungstechnologie entwickelt, die KIR für Windows Server 2019 und Windows 10, Versionen 1809 und höher, genannt wird. Für die unterstützten Versionen von Windows setzt eine KIR eine bestimmte Änderung zurück, die als Teil einer nicht sicherheitsrelevanten Windows Update-Version angewendet wurde. Alle anderen Änderungen, die als Teil dieser Version vorgenommen wurden, bleiben intakt. Wenn ein Windows-Update eine Regression oder ein anderes Problem verursacht, müssen Sie das gesamte Update nicht deinstallieren und das System an die letzte bekannte gute Konfiguration zurückgeben. Sie kehren nur die Änderung zurück, die das Problem verursacht hat. Dieses Rollback ist temporär. Nachdem Microsoft ein neues Update veröffentlicht hat, das das Problem behebt, ist das Rollback nicht mehr erforderlich.

Wichtig

KIRs gelten nur für nicht sicherheitsrelevante Updates, da ein Rollback eines Fixs für ein nicht sicherheitsrelevantes Update keine potenzielle Sicherheitslücke schafft.

Microsoft verwaltet den KIR-Bereitstellungsprozess für Nicht-Unternehmensgeräte. Für Unternehmensgeräte stellt Microsoft .msi-Dateien zur KIR-Richtliniendefinition bereit. Unternehmen können dann Gruppenrichtlinien verwenden, um KIRs in hybriden Umgebungen von Microsoft Entra ID oder Active Directory-Domänendiensten bereitzustellen.

Notiz

Sie müssen die betroffenen Computer neu starten, um diese Gruppenrichtlinienänderung anzuwenden.

Der KIR-Prozess

Wenn Microsoft feststellt, dass ein nicht sicherheitsrelevantes Update eine kritische Regression oder ein ähnliches Problem aufweist, generiert Microsoft eine KIR. Microsoft kündigt KIR im Windows Health Dashboard an und fügt die Informationen an den folgenden Speicherorten hinzu:

Bei Nicht-Interprise-Kunden wendet der Windows Update-Prozess die KIR automatisch an. Es ist keine Benutzeraktion erforderlich.

Für Unternehmenskunden stellt Microsoft eine Richtliniendefinition-.msi-Datei bereit. Unternehmenskunden können die KIR mithilfe der Gruppenrichtlinieninfrastruktur des Unternehmens an verwaltete Systeme weitergeben.

Um ein Beispiel für eine KIR .msi-Datei anzuzeigen, laden Sie Windows 10 (2004 & 20H2) Known Issue Rollback 031321 01.msi herunter.

Eine KIR-Richtliniendefinition hat eine begrenzte Lebensdauer (höchstens einige Monate). Nachdem Microsoft ein geändertes Update veröffentlicht hat, um das ursprüngliche Problem zu beheben, ist die KIR nicht mehr erforderlich. Die Richtliniendefinition kann dann aus der Gruppenrichtlinieninfrastruktur entfernt werden.

Anwenden von KIR auf ein einzelnes Gerät mithilfe von Gruppenrichtlinien

Führen Sie die folgenden Schritte aus, um Gruppenrichtlinien zu verwenden, um eine KIR auf ein einzelnes Gerät anzuwenden:

  1. Laden Sie die KIR-Richtliniendefinition .msi Datei auf das Gerät herunter.

    Wichtig

    Stellen Sie sicher, dass das betriebssystem, das im .msi Dateinamen aufgeführt ist, mit dem Betriebssystem des Geräts übereinstimmt, das Sie aktualisieren möchten.

  2. Führen Sie die .msi Datei auf dem Gerät aus. Mit dieser Aktion wird die KIR-Richtliniendefinition in der administrativen Vorlage installiert.
  3. Öffnen Sie den Editor für lokale Gruppenrichtlinien. Um den Editor zu öffnen, wählen Sie "Start" aus, und geben Sie dann "gpedit.msc" ein.
  4. Wählen Sie "Richtlinie für den lokalen Computer>", Computerkonfiguration>, Administrative Vorlagen>, KB ####### Ausgabe XXX Rollback> und Windows 10, Version YYMM aus.

    Notiz

    In diesem Schritt ist ####### die KB-Artikelnummer des Updates, das das Problem verursacht hat. XXX ist die Problemnummer, und YYMM ist die Versionsnummer von Windows 10.

  5. Klicken Sie mit der rechten Maustaste auf die Richtlinie, und wählen Sie Bearbeiten>Deaktiviert>OK aus.
  6. Starten Sie das Gerät neu.

Weitere Informationen zur Verwendung des Editors für lokale Gruppenrichtlinien finden Sie unter Arbeiten mit den Richtlinieneinstellungen für administrative Vorlagen mithilfe des Editors für lokale Gruppenrichtlinien.

Anwenden einer KIR auf Geräte in einer hybriden Microsoft Entra-ID oder AD DS-Domäne mithilfe von Gruppenrichtlinien

Führen Sie die folgenden Schritte aus, um eine KIR-Richtliniendefinition auf Geräte anzuwenden, die zu einer hybriden Microsoft Entra-ID oder AD DS-Domäne gehören:

  1. Herunterladen und Installieren der KIR-.msi-Dateien
  2. Erstellen Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO).
  3. Konfigurieren Sie das Gruppenrichtlinienobjekt.
  4. Überwachen sie die GPO-Ergebnisse.

1. Herunterladen und Installieren der KIR-.msi-Dateien

  1. Überprüfen Sie die KIR-Versionsinformationen oder die Liste der bekannten Probleme, um zu ermitteln, welche Betriebssystemversionen Sie aktualisieren müssen.
  2. Laden Sie die KIR-Richtliniendefinitions-.msi-Dateien herunter, die Sie auf den Computer herunterladen müssen, den Sie zum Verwalten von Gruppenrichtlinien für Ihre Domäne verwenden.
  3. Führen Sie die .msi Dateien aus. Mit dieser Aktion wird die KIR-Richtliniendefinition in der administrativen Vorlage installiert.

    Notiz

    Richtliniendefinitionen werden im Ordner "C:\Windows\PolicyDefinitions" installiert. Wenn Sie den zentralen Gruppenrichtlinienspeicher implementiert haben, müssen Sie die ADMX- und ADML-Dateien in den zentralen Speicher kopieren.

2. Erstellen eines Gruppenrichtlinienobjekts

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, und wählen Sie Gesamtstruktur: Domänenname>Domänen aus.
  2. Klicken Sie mit der rechten Maustaste auf Ihren Domänennamen, und wählen Sie dann "Gruppenrichtlinienobjekt erstellen" in dieser Domäne aus, und verknüpfen Sie es hier.
  3. Geben Sie den Namen des neuen Gruppenrichtlinienobjekts ein (z. B. KIR Issue XXX), und wählen Sie dann "OK" aus.

Weitere Informationen zum Erstellen von Gruppenrichtlinienobjekten finden Sie unter Erstellen eines Gruppenrichtlinienobjekts.

3. Konfigurieren des Gruppenrichtlinienobjekts

Bearbeiten Sie Ihr Gruppenrichtlinienobjekt, um die KIR-Aktivierungsrichtlinie zu verwenden:

  1. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie zuvor erstellt haben, und wählen Sie dann "Bearbeiten" aus.
  2. Wählen Sie im Gruppenrichtlinien-Editor GPOName Computerkonfiguration Administrative Vorlagen KB Ausgabe XXX Rollback Windows 10, Version YYMM aus.
  3. Klicken Sie mit der rechten Maustaste auf die Richtlinie, und wählen Sie Bearbeiten, Deaktiviert und OK aus.

Weitere Informationen zum Bearbeiten von Gruppenrichtlinienobjekten finden Sie unter Bearbeiten eines Gruppenrichtlinienobjekts aus der Gruppenrichtlinien-Verwaltungskonsole.

4. Überwachen der GPO-Ergebnisse

In der Standardkonfiguration der Gruppenrichtlinie sollten verwaltete Geräte die neue Richtlinie innerhalb von 90 bis 120 Minuten anwenden. Um diesen Prozess zu beschleunigen, führen Sie gpupdate auf den betroffenen Geräten aus, um manuell nach aktualisierten Richtlinien zu suchen.

Stellen Sie sicher, dass jedes betroffene Gerät neu gestartet wird, nachdem die Richtlinie angewendet wurde.

Wichtig

Die Korrektur, die das Problem eingeführt hat, ist deaktiviert, nachdem das Gerät die Richtlinie angewendet und dann neu gestartet wird.

Bereitstellen einer KIR-Aktivierung mithilfe der Microsoft Intune ADMX-Richtlinieneinnahme auf den verwalteten Geräten

Notiz

Um die Lösungen in diesem Abschnitt zu verwenden, müssen Sie das kumulative Update installieren, das am 26. Juli 2022 oder höher auf dem Computer veröffentlicht wird.

Gruppenrichtlinien und GPOs sind nicht mit mdm-basierten Lösungen (Mobile Device Management, Mdm) kompatibel, z. B. Microsoft Intune. Diese Anweisungen führen Sie durch die Verwendung benutzerdefinierter Intune-Einstellungen für die ADMX-Aufnahme und das Konfigurieren von ADMX-unterstützten MDM-Richtlinien, um eine KIR-Aktivierung durchzuführen, ohne dass ein Gruppenrichtlinienobjekt erforderlich ist.

Führen Sie die folgenden Schritte aus, um eine KIR-Aktivierung auf in Intune verwalteten Geräten auszuführen:

  1. Laden Sie die KIR-.msi-Datei herunter, und installieren Sie sie, um ADMX-Dateien abzurufen.
  2. Erstellen Sie ein benutzerdefiniertes Konfigurationsprofil in Microsoft Intune.
  3. Überwachen sie die KIR-Aktivierung.

1. Herunterladen und Installieren der KIR-.msi Datei zum Abrufen von ADMX-Dateien

  1. Überprüfen Sie die KIR-Versionsinformationen oder die Liste der bekannten Probleme, um zu ermitteln, welche Betriebssystemversionen Sie aktualisieren müssen.

  2. Laden Sie die erforderliche KIR-Richtliniendefinition .msi Dateien auf dem Gerät herunter, das Sie zum Anmelden bei Microsoft Intune verwenden.

    Notiz

    Sie benötigen Zugriff auf den Inhalt einer KIR-Aktivierungs-ADMX-Datei.

  3. Führen Sie die .msi Dateien aus. Mit dieser Aktion wird die KIR-Richtliniendefinition in der administrativen Vorlage installiert.

    Notiz

    Richtliniendefinitionen werden im Ordner "C:\Windows\PolicyDefinitions" installiert.

    Wenn Sie die ADMX-Dateien an einen anderen Speicherort extrahieren möchten, verwenden Sie den msiexec Befehl zusammen mit der TARGETDIR-Eigenschaft . Zum Beispiel:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Erstellen eines benutzerdefinierten Konfigurationsprofils in Microsoft Intune

Um Geräte für die Durchführung einer KIR-Aktivierung zu konfigurieren, müssen Sie ein benutzerdefiniertes Konfigurationsprofil für jedes Betriebssystem Ihrer verwalteten Geräte erstellen. Führen Sie die folgenden Schritte aus, um ein benutzerdefiniertes Profil zu erstellen:

  1. Wählen Sie Eigenschaften aus, und fügen Sie grundlegende Informationen des Profils hinzu.
  2. Fügen Sie benutzerdefinierte Konfigurationseinstellungen hinzu, um ADMX-Dateien zur KIR-Aktivierung einzubinden.
  3. Fügen Sie eine benutzerdefinierte Konfigurationseinstellung hinzu, um eine neue KIR-Aktivierungsrichtlinie festzulegen.
  4. Weisen Sie Geräte dem benutzerdefinierten Konfigurationsprofil für die KIR-Aktivierung zu.
  5. Verwenden Sie Anwendbarkeitsregeln für Zielgeräte, um benutzerdefinierte KIR-Konfigurationseinstellungen vom Betriebssystem zu empfangen.
  6. Überprüfen und Erstellen eines benutzerdefinierten Konfigurationsprofils für die KIR-Aktivierung.

A. Eigenschaften auswählen und grundlegende Informationen zum Profil hinzufügen

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>Konfigurationsprofile>Profil erstellen aus.

  3. Wählen Sie die folgenden Eigenschaften aus:

    • Plattform: Windows 10 und höher
    • Profil: Vorlagen>Benutzerdefiniert

  4. Wählen Sie Erstellen aus.

  5. Geben Sie unter Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen beschreibenden Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien, damit Sie sie später leicht identifizieren können. Beispielsweise lautet ein guter Richtlinienname "04/30 KIR-Aktivierung – Windows 10 21H2".
    • Beschreibung: Geben Sie eine Beschreibung für die Richtlinie ein. Diese Einstellung ist optional, wird jedoch empfohlen.

    Notiz

    Plattform- und Profiltyp sollten bereits Werte ausgewählt haben.

  6. Wählen Sie Weiter aus.

Notiz

Weitere Informationen zum Erstellen von benutzerdefinierten Konfigurationsprofilen und Konfigurationseinstellungen finden Sie unter Verwenden von benutzerdefinierten Geräteeinstellungen in Microsoft Intune.

Bevor Sie mit den nächsten beiden Schritten fortfahren, öffnen Sie die ADMX-Datei in einem Text-Editor (z. B. Editor) innerhalb des Ordners, in dem die Datei extrahiert wurde. Die ADMX-Datei sollte sich im Pfad "C:\Windows\PolicyDefinitions" befinden, wenn Sie sie als .msi Datei installiert haben.

Hier ist ein Beispiel für die ADMX-Datei:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Notieren Sie die Werte für policy name und parentCategory. Diese Informationen befinden sich im Knoten "Policies" am Ende der Datei.

B. Hinzufügen einer benutzerdefinierten Konfigurationseinstellung zum Einlesen von ADMX-Dateien für die KIR-Aktivierung

Diese Konfigurationseinstellung wird verwendet, um die KIR-Aktivierungsrichtlinie auf Zielgeräten zu installieren. Führen Sie die folgenden Schritte aus, um die ADMX-Aufnahmeeinstellungen hinzuzufügen:

  1. Wählen Sie in den Konfigurationseinstellungen "Hinzufügen" aus.

  2. Geben Sie die folgenden Eigenschaften ein:

    • Name: Geben Sie einen beschreibenden Namen für die Konfigurationseinstellung ein. Benennen Sie Ihre Einstellungen, damit Sie sie später leicht identifizieren können. Ein guter Einstellungsname lautet beispielsweise "ADMX-Import: 30.04 KIR-Aktivierung – Windows 10 21H2".

    • Beschreibung: Geben Sie eine Beschreibung für die Einstellung ein. Diese Einstellung ist optional, wird jedoch empfohlen.

    • OMA-URI: Geben Sie die Zeichenfolge ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name> ein.

      Notiz

      Ersetzen Sie <den ADMX-Richtliniennamen> durch den Wert des aufgezeichneten Richtliniennamens aus der ADMX-Datei. Beispiel: "KB5011563_220428_2000_1_KnownIssueRollback".

    • Datentyp: Wählen Sie "Zeichenfolge" aus.

    • Wert: Öffnen Sie die ADMX-Datei mit einem Texteditor (zum Beispiel Notepad). Kopieren Sie den gesamten Inhalt der ADMX-Datei, die Sie in dieses Feld aufnehmen möchten, und fügen Sie ihn ein.

  3. Klicken Sie auf Speichern.

C. Hinzufügen einer benutzerdefinierten Konfigurationseinstellung zum Festlegen einer neuen KIR-Aktivierungsrichtlinie

Diese Konfigurationseinstellung wird verwendet, um die KIR-Aktivierungsrichtlinie zu konfigurieren, die im vorherigen Schritt definiert ist.

Führen Sie die folgenden Schritte aus, um die Konfigurationseinstellungen für die KIR-Aktivierung hinzuzufügen:

  1. Wählen Sie in den Konfigurationseinstellungen "Hinzufügen" aus.

  2. Geben Sie die folgenden Eigenschaften ein:

    • Name: Geben Sie einen beschreibenden Namen für die Konfigurationseinstellung ein. Benennen Sie Ihre Einstellungen, damit Sie sie später leicht identifizieren können. Beispielsweise lautet ein guter Einstellungsname "KIR-Aktivierung: 04/30 KIR-Aktivierung – Windows 10 21H2".

    • Beschreibung: Geben Sie eine Beschreibung für die Einstellung ein. Diese Einstellung ist optional, wird jedoch empfohlen.

    • OMA-URI: Geben Sie die Zeichenfolge ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name> ein.

      Notiz

      Ersetzen Sie <Überkategorie> durch den in dem vorherigen Schritt aufgezeichneten Text der übergeordneten Kategorie. Beispiel: "KnownIssueRollback_Win_11". Ersetzen Sie <den ADMX-Richtliniennamen> durch denselben Richtliniennamen, den Sie im vorherigen Schritt verwendet haben.

    • Datentyp: Wählen Sie "Zeichenfolge" aus.

    • Wert: <deaktiviert/>.

  3. Klicken Sie auf Speichern.

  4. Wählen Sie Weiter aus.

D: Geräte dem benutzerdefinierten Konfigurationsprofil für KIR-Aktivierung zuweisen

Nachdem Sie definiert haben, was das benutzerdefinierte Konfigurationsprofil bewirkt, führen Sie die folgenden Schritte aus, um zu identifizieren, welche Geräte Sie konfigurieren:

  1. Wählen Sie in "Aufgaben" die Option "Alle Geräte hinzufügen" aus.
  2. Wählen Sie Weiter aus.

E. Verwenden von Anwendbarkeitsregeln für Zielgeräte zum Empfangen von benutzerdefinierten KIR-Konfigurationseinstellungen durch das Betriebssystem

Fügen Sie eine Anwendbarkeitsregel hinzu, um die Geräte nach Betriebssystem zu identifizieren, die für die GP relevant sind, und um die Betriebssystemversion (Build) des Geräts zu überprüfen, bevor Sie diese Konfiguration anwenden. Sie können die Buildnummern für das unterstützte Betriebssystem auf den folgenden Seiten nachschlagen:

Die Buildnummern, die auf den Seiten angezeigt werden, sind als MMMMM.mmmm (M= Hauptversion und m= Nebenversion) formatiert. Die Betriebssystemversionseigenschaften verwenden die Hauptversionsziffern. Die Werte der Betriebssystemversion, die in die Anwendbarkeitsregeln eingegeben werden, sollten als "10.0.MMMMM" formatiert werden (z. B. "10.0.22000").

Führen Sie die folgenden Schritte aus, um die richtigen Anwendbarkeitsregeln für ihre KIR-Aktivierung festzulegen:

  1. Erstellen Sie in "Anwendbarkeitsregeln" eine Anwendbarkeitsregel, indem Sie die folgenden Eigenschaften für die leere Regel eingeben, die sich bereits auf der Seite befindet:

    • Regel: Wählen Sie "Profil zuweisen" aus, wenn sie in der Dropdownliste enthalten ist.
    • Eigenschaft: Wählen Sie die Betriebssystemversion aus der Dropdownliste aus.
    • Wert: Geben Sie die Min- und die Max OS-Versionsnummern ein, die als "10.0.MMMMM" formatiert sind.

  2. Wählen Sie Weiter aus.

Notiz

Sie finden die Betriebssystemversion eines Geräts, indem Sie den winver Befehl im Startmenü ausführen. Die Befehlsausgabe zeigt eine zweiteilige Versionsnummer, die durch einen Punkt (.) getrennt ist. (z. B. "22000.613"). Sie können die linke Zahl an "10.0" für die Min OS-Version anfügen. Rufen Sie die Max OS-Versionsnummer ab, indem Sie der letzten Ziffer der Min OS-Versionsnummer 1 hinzufügen. In diesem Beispiel können Sie die folgenden Werte verwenden:
Mindestversion des Betriebssystems: "10.0.22000"
Max. Betriebssystemversion: "10.0.22001"

F. Überprüfen und Erstellen eines benutzerdefinierten Konfigurationsprofils für die KIR-Aktivierung

Überprüfen Sie Ihre Einstellungen des benutzerdefinierten Konfigurationsprofils, und wählen Sie "Erstellen" aus.

3. Überwachen der KIR-Aktivierung

Ihre KIR-Aktivierung sollte jetzt ausgeführt werden. Führen Sie die folgenden Schritte aus, um den Status des Konfigurationsprofils zu überwachen:

  1. Wechseln Sie zu Gerätekonfigurationsprofilen>, und wählen Sie ein vorhandenes Profil aus. Wählen Sie beispielsweise ein macOS-Profil aus.

  2. Wählen Sie die Registerkarte "Übersicht " aus. In dieser Ansicht enthält der Profilzuweisungsstatus die folgenden Status:

    • Erfolgreich: Die Richtlinie wird erfolgreich angewendet.
    • Fehler: Die Richtlinie wurde nicht angewendet. Die Meldung zeigt in der Regel einen Fehlercode an, der mit einer Erklärung verknüpft ist.
    • Konflikt: Zwei Einstellungen werden auf dasselbe Gerät angewendet, und Intune kann den Konflikt nicht aussortieren. Ein Administrator sollte den Konflikt überprüfen.
    • Ausstehend: Das Gerät hat sich noch nicht mit Intune verbunden, um die Richtlinie zu erhalten.
    • Nicht zutreffend: Das Gerät kann die Richtlinie nicht empfangen. Die Richtlinie aktualisiert z. B. eine für iOS 11.1 spezifische Einstellung, das Gerät verwendet jedoch iOS 10.

Weitere Informationen finden Sie unter Überwachen von Gerätekonfigurationsprofilen in Microsoft Intune.

Weitere Informationen

  • Last updated on