Jak wdrożyć wycofywanie znanych problemów przy użyciu zasady grupy

  • Artykuł

W tym artykule opisano sposób konfigurowania zasady grupy do używania definicji zasad wycofywania znanych problemów (KIR), która aktywuje kir na urządzeniach zarządzanych.

Dotyczy: Windows Server (wszystkie obsługiwane wersje), klient systemu Windows (wszystkie obsługiwane wersje)

Podsumowanie

Firma Microsoft opracowała nową technologię obsługi systemu Windows o nazwie KIR dla systemu Windows Server 2019 i Windows 10, wersje 1809 i nowsze. W przypadku obsługiwanych wersji systemu Windows kir wycofuje określoną zmianę, która została zastosowana w ramach braku bezpieczeństwa Windows Update wersji. Wszystkie inne zmiany wprowadzone w ramach tej wersji pozostają nienaruszone. Korzystając z tej technologii, jeśli aktualizacja systemu Windows powoduje regresję lub inny problem, nie musisz odinstalować całej aktualizacji i przywrócić systemu do ostatniej znanej dobrej konfiguracji. Wycofano tylko zmianę, która spowodowała problem. To wycofanie jest tymczasowe. Po wydaniu przez firmę Microsoft nowej aktualizacji, która rozwiązuje problem, wycofanie nie jest już konieczne.

Ważna

Żądania ściągnięcia dotyczą tylko aktualizacji niezwiązanych z zabezpieczeniami. Dzieje się tak, ponieważ wycofanie poprawki dotyczącej aktualizacji bez zabezpieczeń nie powoduje potencjalnej luki w zabezpieczeniach.

Firma Microsoft zarządza procesem wdrażania KIR dla urządzeń innych niż przedsiębiorstwa. W przypadku urządzeń korporacyjnych firma Microsoft udostępnia pliki MSI definicji zasad KIR. Przedsiębiorstwa mogą następnie używać zasady grupy do wdrażania jednostek KIR w domenach Tożsamość Microsoft Entra hybrydowych lub Active Directory Domain Services (AD DS).

Uwaga

Aby zastosować tę zmianę zasady grupy, należy ponownie uruchomić komputery, których dotyczy problem.

Proces KIR

Jeśli firma Microsoft stwierdzi, że aktualizacja bez bezpieczeństwa ma regresję krytyczną lub podobny problem, firma Microsoft wygeneruje kir. Firma Microsoft ogłasza kir na pulpicie nawigacyjnym kondycji systemu Windows i dodaje informacje do następujących lokalizacji:

W przypadku klientów spoza przedsiębiorstwa proces Windows Update automatycznie stosuje kir. Użytkownik nie musi wykonywać żadnych czynności.

W przypadku klientów korporacyjnych firma Microsoft udostępnia plik MSI definicji zasad. Klienci korporacyjni mogą propagować kir do systemów zarządzanych przy użyciu infrastruktury zasady grupy przedsiębiorstwa.

Aby wyświetlić przykład pliku MSI KIR, pobierz Windows 10 (2004 & 20H2) Znany problem wycofywania 031321 01.msi.

Definicja zasad KIR ma ograniczoną żywotność (co najwyżej kilka miesięcy). Po opublikowaniu przez firmę Microsoft zmienionej aktualizacji w celu rozwiązania pierwotnego problemu kir nie jest już konieczny. Definicję zasad można następnie usunąć z infrastruktury zasady grupy.

Stosowanie kir do jednego urządzenia przy użyciu zasady grupy

Aby użyć zasady grupy, aby zastosować kir do jednego urządzenia, wykonaj następujące kroki:

  1. Pobierz plik MSI definicji zasad KIR na urządzenie.

    Ważna

    Upewnij się, że system operacyjny wymieniony w nazwie pliku .msi jest zgodny z systemem operacyjnym urządzenia, które chcesz zaktualizować.

  2. Uruchom plik .msi na urządzeniu. Ta akcja instaluje definicję zasad KIR w szablonie administracyjnym.
  3. Otwórz zasady grupy Redaktor lokalny. W tym celu wybierz pozycję Start, a następnie wprowadź gpedit.msc.
  4. Wybierz pozycję Zasady >komputera lokalnegoKonfiguracja> komputeraSzablony> administracyjneKB ####### Problem XXX Wycofywanie>Windows 10, wersja YYMM.

    Uwaga

    W tym kroku jest numerem artykułu KB aktualizacji, ####### która spowodowała problem. XXX to numer problemu, a program YYMM jest numerem wersji Windows 10.

  5. Kliknij prawym przyciskiem myszy zasady, a następnie wybierz pozycję Edytuj>wyłączone>OK.
  6. Uruchom urządzenie ponownie.

Aby uzyskać więcej informacji na temat korzystania z zasady grupy Redaktor lokalnego, zobacz Praca z ustawieniami zasad szablonu administracyjnego przy użyciu zasady grupy Redaktor lokalnego.

Stosowanie kir do urządzeń w domenie hybrydowej Tożsamość Microsoft Entra lub AD DS przy użyciu zasady grupy

Aby zastosować definicję zasad KIR do urządzeń należących do Tożsamość Microsoft Entra hybrydowej lub domeny usług AD DS, wykonaj następujące kroki:

  1. Pobieranie i instalowanie plików MSI KIR
  2. Utwórz obiekt zasady grupy (GPO).
  3. Utwórz i skonfiguruj filtr WMI, który stosuje obiekt zasad grupy.
  4. Połącz obiekt zasad grupy i filtr WMI.
  5. Skonfiguruj obiekt zasad grupy.
  6. Monitorowanie wyników obiektu zasad grupy.

1. Pobieranie i instalowanie plików MSI KIR

  1. Sprawdź informacje o wersji KIR lub listy znanych problemów, aby określić, które wersje systemu operacyjnego należy zaktualizować.
  2. Pobierz definicję zasad KIR .msi pliki wymagane do aktualizacji na komputerze używanym do zarządzania zasady grupy dla domeny.
  3. Uruchom pliki .msi. Ta akcja instaluje definicję zasad KIR w szablonie administracyjnym.

    Uwaga

    Definicje zasad są instalowane w folderze C:\Windows\PolicyDefinitions . Jeśli zaimplementowano magazyn zasady grupy Central Store, należy skopiować pliki admx i adml do sklepu centralnego.

2. Tworzenie obiektu zasad grupy

  1. Otwórz zasady grupy konsoli zarządzania, a następnie wybierz pozycję Las: Domeny DomainName>.
  2. Kliknij prawym przyciskiem myszy nazwę domeny, a następnie wybierz pozycję Utwórz obiekt zasad grupy w tej domenie i połącz go tutaj.
  3. Wprowadź nazwę nowego obiektu zasad grupy (na przykład KIR Issue XXX), a następnie wybierz przycisk OK.

Aby uzyskać więcej informacji na temat tworzenia obiektów zasad grupy, zobacz Tworzenie obiektu zasady grupy.

3. Utwórz i skonfiguruj filtr WMI, który stosuje obiekt zasad grupy

  1. Kliknij prawym przyciskiem myszy pozycję Filtry WMI, a następnie wybierz pozycję Nowy.

  2. Wprowadź nazwę nowego filtru WMI.

  3. Wprowadź opis filtru WMI, na przykład Filtruj do wszystkich Windows 10 urządzeń w wersji 2004.

  4. Wybierz opcję Dodaj.

  5. W polu Zapytanie wprowadź następujący ciąg zapytania:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Ważna

    W tym ciągu VersionNumber> reprezentuje wersję systemu Windows, <do którą ma zostać zastosowany obiekt zasad grupy. Numer wersji musi używać następującego formatu (w przypadku używania liczby w ciągu należy wykluczyć nawiasy):

    10.0.xxxxx

    gdzie xxxxx jest liczbą pięciocyfrową. Obecnie jednostki KIRs obsługują następujące wersje:

    Wersja Numer kompilacji
    Windows 10, wersja 20H2 10.0.19042
    Windows 10, wersja 2004 10.0.19041
    Windows 10, wersja 1909 10.0.18363
    Windows 10, wersja 1903 10.0.18362
    Windows 10, wersja 1809 10.0.17763

    Aby uzyskać aktualną listę wersji systemu Windows i numerów kompilacji, zobacz Windows 10 — informacje o wersji.

    Ważna

    Numery kompilacji wymienione na stronie informacji o wersji Windows 10 nie zawierają prefiksu 10.0. Aby użyć numeru kompilacji w zapytaniu, należy dodać prefiks 10.0 .

Aby uzyskać więcej informacji na temat tworzenia filtrów WMI, zobacz Tworzenie filtrów WMI dla obiektu zasad grupy.

  1. Wybierz utworzony wcześniej obiekt zasad grupy, otwórz menu Filtrowanie WMI , a następnie wybierz właśnie utworzony filtr WMI.
  2. Wybierz pozycję Tak , aby zaakceptować filtr.

5. Konfigurowanie obiektu zasad grupy

Edytuj obiekt zasad grupy, aby używać zasad aktywacji KIR:

  1. Kliknij prawym przyciskiem myszy utworzony wcześniej obiekt zasad grupy, a następnie wybierz pozycję Edytuj.
  2. W zasady grupy Redaktor wybierz pozycję GPOName>Konfiguracja> komputeraSzablony> administracyjneKB ####### Problem z wycofywaniem> XXX Windows 10 w wersji YYMM.
  3. Kliknij prawym przyciskiem myszy zasady, a następnie wybierz pozycję Edytuj>wyłączone>OK.

Aby uzyskać więcej informacji na temat edytowania obiektów zasad grupy, zobacz Edytowanie obiektu zasady grupy z kontrolera zasad grupy.

6. Monitorowanie wyników obiektu zasad grupy

W domyślnej konfiguracji zasady grupy urządzenia zarządzane powinny zastosować nowe zasady w ciągu 90–120 minut. Aby przyspieszyć ten proces, można uruchomić gpupdate na urządzeniach, których dotyczy problem, aby ręcznie sprawdzić, czy nie zostały zaktualizowane zasady.

Upewnij się, że każde urządzenie, którego dotyczy problem, zostanie ponownie uruchomione po jego zastosowaniem zasad.

Ważna

Poprawka, która wprowadziła problem, jest wyłączona po tym, jak urządzenie zastosuje zasady, a następnie uruchomi ponownie.

Wdrażanie aktywacji KIR przy użyciu Microsoft Intune pozyskiwania zasad ADMX na urządzeniach zarządzanych

Uwaga

Aby korzystać z rozwiązań w tej sekcji, należy zainstalować aktualizację zbiorczą wydaną 26 lipca 2022 r. lub nowszą na komputerze.

Zasady grupy i obiekty zasad grupy nie są zgodne z rozwiązaniami opartymi na zarządzaniu urządzeniami przenośnymi (MDM), takimi jak Microsoft Intune. Te instrukcje przeprowadzą Cię przez proces używania Intune ustawień niestandardowych na potrzeby pozyskiwania ADMX i konfigurowania zasad mdm wspieranych przez usługę ADMX w celu przeprowadzenia aktywacji KIR bez konieczności używania obiektu zasad grupy.

Aby przeprowadzić aktywację KIR na urządzeniach zarządzanych Intune, wykonaj następujące kroki:

  1. Pobierz i zainstaluj plik MSI KIR, aby pobrać pliki ADMX.
  2. Utwórz niestandardowy profil konfiguracji w Microsoft Intune.
  3. Monitorowanie aktywacji KIR.

1. Pobierz i zainstaluj plik MSI KIR, aby pobrać pliki ADMX

  1. Sprawdź informacje o wersji KIR lub listy znanych problemów, aby określić, które wersje systemu operacyjnego należy zaktualizować.

  2. Pobierz wymaganą definicję zasad KIR .msi pliki na komputerze używanym do logowania się do Microsoft Intune.

    Uwaga

    Będziesz potrzebować dostępu do zawartości pliku ADMX aktywacji KIR.

  3. .msi Uruchom pliki. Ta akcja instaluje definicję zasad KIR w szablonie administracyjnym.

    Uwaga

    Definicje zasad są instalowane w folderze C:\Windows\PolicyDefinitions .

    Jeśli chcesz wyodrębnić pliki ADMX do innej lokalizacji, użyj msiexec polecenia z właściwością TARGETDIR . Przykład:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Tworzenie niestandardowego profilu konfiguracji w Microsoft Intune

Aby skonfigurować urządzenia do przeprowadzania aktywacji KIR, należy utworzyć niestandardowy profil konfiguracji dla każdego systemu operacyjnego zarządzanych urządzeń. Aby utworzyć profil niestandardowy, wykonaj następujące kroki:

  1. Wybierz właściwości i dodaj podstawowe informacje o profilu.
  2. Dodaj niestandardowe ustawienie konfiguracji, aby pozyskiwać pliki ADMX na potrzeby aktywacji KIR.
  3. Dodaj niestandardowe ustawienie konfiguracji, aby ustawić nowe zasady aktywacji KIR.
  4. Przypisz urządzenia do niestandardowego profilu konfiguracji aktywacji KIR.
  5. Reguły stosowania umożliwiają urządzeniom docelowym odbieranie niestandardowych ustawień konfiguracji KIR przez system operacyjny.
  6. Przejrzyj i utwórz niestandardowy profil konfiguracji aktywacji KIR.

Odp. Wybieranie właściwości i dodawanie podstawowych informacji o profilu

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Urządzenia>Profile konfiguracji>Utwórz profil.

  3. Wybierz następujące właściwości:

    • Platforma: Windows 10 i nowsze
    • Profil: szablony niestandardowe>

  4. Wybierz pozycję Utwórz.

  5. W obszarze Podstawowe informacje wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa zasad to "Aktywacja KIR 04/30 — Windows 10 21H2".
    • Opis: wprowadź opis zasad. To ustawienie jest opcjonalne, ale zalecane.

    Uwaga

    Typ platformy i profilu powinien mieć już wybrane wartości.

  6. Wybierz pozycję Dalej.

Uwaga

Aby uzyskać więcej informacji na temat tworzenia niestandardowych profilów konfiguracji i ustawień konfiguracji, zobacz Używanie niestandardowych ustawień urządzenia w Microsoft Intune.

Przed przejściem do kolejnych dwóch kroków otwórz plik ADMX w edytorze tekstów (na przykład w Notatniku), gdzie plik został wyodrębniony. Plik ADMX powinien znajdować się w ścieżce C:\Windows\PolicyDefinitions , jeśli został zainstalowany jako plik MSI.

Oto przykład pliku ADMX:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Rejestrowanie wartości dla policy name wartości i parentCategory. Te informacje znajdują się w węźle "zasady" na końcu pliku.

B. Dodawanie niestandardowego ustawienia konfiguracji w celu pozyskiwania plików ADMX na potrzeby aktywacji KIR

To ustawienie konfiguracji służy do instalowania zasad aktywacji KIR na urządzeniach docelowych. Wykonaj następujące kroki, aby dodać ustawienia pozyskiwania ADMX:

  1. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj.

  2. Wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę ustawienia konfiguracji. Nazwij ustawienia, aby można było je łatwo zidentyfikować później. Na przykład dobra nazwa ustawienia to "ADMX Ingestion: 04/30 KIR Activation – Windows 10 21H2".

    • Opis: wprowadź opis ustawienia. To ustawienie jest opcjonalne, ale zalecane.

    • OMA-URI: wprowadź ciąg ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Uwaga

      Zastąp <nazwę> zasad ADMX wartością zarejestrowanej nazwy zasad z pliku ADMX. Na przykład "KB5011563_220428_2000_1_KnownIssueRollback".

    • Typ danych: wybierz pozycję Ciąg.

    • Wartość: Otwórz plik ADMX za pomocą edytora tekstów (na przykład Notatnika). Skopiuj i wklej całą zawartość pliku ADMX, który zamierzasz pozyskiwać do tego pola.

  3. Wybierz Zapisz.

C. Dodawanie niestandardowego ustawienia konfiguracji w celu ustawienia nowych zasad aktywacji KIR

To ustawienie konfiguracji służy do konfigurowania zasad aktywacji KIR zdefiniowanych w poprzednim kroku.

Wykonaj następujące kroki, aby dodać ustawienia konfiguracji aktywacji KIR:

  1. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj.

  2. Wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę ustawienia konfiguracji. Nazwij ustawienia, aby można było je łatwo zidentyfikować później. Na przykład dobra nazwa ustawienia to "Aktywacja KIR: aktywacja KIR 04/30 — Windows 10 21H2".

    • Opis: wprowadź opis ustawienia. To ustawienie jest opcjonalne, ale zalecane.

    • OMA-URI: wprowadź ciąg ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Uwaga

      Zastąp <wartość Kategoria> nadrzędna ciągiem kategorii nadrzędnej zapisanym w poprzednim kroku. Na przykład "KnownIssueRollback_Win_11". Zastąp <nazwę> zasad ADMX tą samą nazwą zasad, która została użyta w poprzednim kroku.

    • Typ danych: wybierz pozycję Ciąg.

    • Wartość: wprowadź <wartość disabled/>.

  3. Wybierz Zapisz.

  4. Wybierz pozycję Dalej.

D. Przypisywanie urządzeń do niestandardowego profilu konfiguracji aktywacji KIR

Po zdefiniowaniu działania niestandardowego profilu konfiguracji wykonaj następujące kroki, aby określić, które urządzenia skonfigurujesz:

  1. W obszarze Przypisania wybierz pozycję Dodaj wszystkie urządzenia.
  2. Wybierz pozycję Dalej.

E. Używanie reguł stosowania do urządzeń docelowych w celu odbierania niestandardowych ustawień konfiguracji KIR przez system operacyjny

Aby kierować urządzenia według systemu operacyjnego, które mają zastosowanie do grupy zasad grupy, dodaj regułę stosowania, aby sprawdzić wersję systemu operacyjnego urządzenia (kompilację) przed zastosowaniem tej konfiguracji. Numery kompilacji obsługiwanego systemu operacyjnego można wyszukać na następujących stronach:

Numery kompilacji wyświetlane na stronach są sformatowane jako MMMMM.mmmm (M = wersja główna i m = wersja pomocnicza). Właściwości wersji systemu operacyjnego używają głównych cyfr wersji. Wartości wersji systemu operacyjnego wprowadzone w regułach stosowania powinny być sformatowane jako "10.0.MMMMM". Na przykład "10.0.22000".

Postępuj zgodnie z tymi instrukcjami, aby ustawić poprawne reguły stosowania dla aktywacji KIR:

  1. W obszarze Reguły stosowania utwórz regułę stosowania, wprowadzając następujące właściwości w pustej regule już na stronie:

    • Reguła: wybierz pozycję Przypisz profil, jeśli z listy rozwijanej.
    • Właściwość: wybierz pozycję Wersja systemu operacyjnego z listy rozwijanej.
    • Wartość: wprowadź numery minimalnej i maksymalnej wersji systemu operacyjnego sformatowane jako "10.0.MMMMM".

  2. Wybierz pozycję Dalej.

Uwaga

Wersję systemu operacyjnego urządzenia można znaleźć, uruchamiając winver polecenie z menu Start. Zostanie wyświetlony dwuczęściowy numer wersji oddzielony znakiem ".". Na przykład "22000.613". Dla minimalnej wersji systemu operacyjnego można dołączyć lewy numer do "10.0". Uzyskaj maksymalny numer wersji systemu operacyjnego, dodając 1 do ostatniej cyfry numeru minimalnej wersji systemu operacyjnego. W tym przykładzie można użyć następujących wartości:
Minimalna wersja systemu operacyjnego: "10.0.22000"
Maksymalna wersja systemu operacyjnego: "10.0.22001"

F. Przeglądanie i tworzenie niestandardowego profilu konfiguracji aktywacji KIR

Przejrzyj ustawienia niestandardowego profilu konfiguracji i wybierz pozycję Utwórz.

3. Monitorowanie aktywacji KIR

Aktywacja KIR powinna być teraz w toku. Wykonaj następujące kroki, aby monitorować postęp profilu konfiguracji:

  1. Przejdź dopozycji Profile konfiguracjiurządzeń> i wybierz istniejący profil. Na przykład wybierz profil systemu macOS.

  2. Wybierz kartę Przegląd . W tym widoku stan przypisania profilu obejmuje następujące stany:

    • Powodzenie: zasady są stosowane pomyślnie.
    • Błąd: Nie można zastosować zasad. Komunikat zwykle wyświetla kod błędu, który łączy się z wyjaśnieniem.
    • Konflikt: dwa ustawienia są stosowane do tego samego urządzenia, a Intune nie może rozwiązać konfliktu. Administrator powinien przejrzeć konflikt.
    • Oczekujące: urządzenie nie zostało jeszcze zaewidencjonowane za pomocą Intune, aby otrzymać zasady.
    • Nie dotyczy: urządzenie nie może odbierać zasad. Na przykład zasady aktualizują ustawienie specyficzne dla systemu iOS 11.1, ale urządzenie korzysta z systemu iOS 10.

Aby uzyskać więcej informacji, zobacz Monitorowanie profilów konfiguracji urządzeń w Microsoft Intune.

Więcej informacji