Så här använder du grupprincip för att distribuera en återställning av kända problem
Den här artikeln beskriver hur du konfigurerar grupprincip att använda en KIR-principdefinition (Known Issue Rollback) som aktiverar en KIR på hanterade enheter.
Gäller för: Windows Server (alla versioner som stöds), Windows-klient (alla versioner som stöds)
Sammanfattning
Microsoft har utvecklat en ny Windows-serviceteknik som heter KIR för Windows Server 2019 och Windows 10, version 1809 och senare versioner. För de versioner av Windows som stöds återställer kir en specifik ändring som tillämpades som en del av en icke-säkerhets- Windows Update version. Alla andra ändringar som gjordes som en del av den versionen förblir intakta. Om en Windows-uppdatering orsakar en regression eller något annat problem med den här tekniken behöver du inte avinstallera hela uppdateringen och återställa systemet till den senaste fungerande konfigurationen. Du återställer bara den ändring som orsakade problemet. Den här återställningen är tillfällig. När Microsoft har släppt en ny uppdatering som åtgärdar problemet är återställningen inte längre nödvändig.
Viktigt
KIR gäller endast för icke-säkerhetsuppdateringar. Det beror på att återställning av en korrigering för en icke-säkerhetsuppdatering inte skapar någon potentiell säkerhetsrisk.
Microsoft hanterar KIR-distributionsprocessen för icke-företagsenheter. För företagsenheter tillhandahåller Microsoft MSI-filer för KIR-principdefinition. Företag kan sedan använda grupprincip för att distribuera KIR i hybrid-Microsoft Entra ID- eller Active Directory Domain Services-domäner (AD DS).
Obs!
Du måste starta om de berörda datorerna för att kunna tillämpa den här grupprincip ändringen.
KIR-processen
Om Microsoft fastställer att en icke-säkerhetsuppdatering har en kritisk regression eller liknande problem genererar Microsoft en KIR. Microsoft meddelar KIR på windows hälsoinstrumentpanel och lägger till informationen på följande platser:
- Avsnittet Kända problem i den tillämpliga Windows Update KB-artikeln
- Listan Kända problem på instrumentpanelen för Windows Health Release på https://aka.ms/windowsreleasehealth för de berörda versionerna av Windows (till exempel Windows 10, version 20H2 och Windows Server, version 20H2)
För icke-företagskunder tillämpar Windows Update processen KIR automatiskt. Ingen användaråtgärd krävs.
För företagskunder tillhandahåller Microsoft en MSI-fil för principdefinition. Företagskunder kan sprida KIR till hanterade system med hjälp av företagets grupprincip infrastruktur.
Om du vill se ett exempel på en KIR MSI-fil laddar du ned Windows 10 (2004 & 20H2) known issue rollback 031321 01.msi.
En KIR-principdefinition har en begränsad livslängd (högst några månader). När Microsoft har publicerat en ändrad uppdatering för att åtgärda det ursprungliga problemet är KIR inte längre nödvändigt. Principdefinitionen kan sedan tas bort från grupprincip infrastruktur.
Tillämpa KIR på en enda enhet med hjälp av grupprincip
Följ dessa steg om du vill använda grupprincip för att tillämpa en KIR på en enda enhet:
- Ladda ned MSI-filen för KIR-principdefinitionen till enheten.
Viktigt
Kontrollera att operativsystemet som anges i .msi filnamn matchar operativsystemet för den enhet som du vill uppdatera.
- Kör .msi-filen på enheten. Den här åtgärden installerar KIR-principdefinitionen i den administrativa mallen.
- Öppna den lokala grupprincip Editor. Det gör du genom att välja Start och sedan ange gpedit.msc.
- Välj Lokal datorprincip>Datorkonfiguration>Administrativa mallar>KB ####### Problem XXX Återställning>Windows 10 version YYMM.
Obs!
I det här steget ####### är KB-artikelnumret för uppdateringen som orsakade problemet. XXX är ärendenumret och YYMM är Windows 10 versionsnummer.
- Högerklicka på principen och välj sedan Redigera>inaktiverad>OK.
- Starta om enheten.
Mer information om hur du använder den lokala grupprincip Editor finns i Arbeta med principinställningarna för administrativa mallar med hjälp av den lokala grupprincip Editor.
Tillämpa en KIR på enheter i en hybrid-Microsoft Entra ID- eller AD DS-domän med hjälp av grupprincip
Följ dessa steg om du vill tillämpa en KIR-principdefinition på enheter som tillhör en hybrid-Microsoft Entra ID- eller AD DS-domän:
- Ladda ned och installera KIR MSI-filerna
- Skapa ett grupprincip-objekt (GPO).
- Skapa och konfigurera ett WMI-filter som tillämpar grupprincipobjektet.
- Länka grupprincipobjektet och WMI-filtret.
- Konfigurera grupprincipobjektet.
- Övervaka GPO-resultaten.
1. Ladda ned och installera KIR MSI-filerna
- Kontrollera KIR-versionsinformationen eller de kända problemlistorna för att identifiera vilka operativsystemversioner som du måste uppdatera.
- Ladda ned KIR-principdefinitionen .msi filer som du behöver uppdatera till den dator som du använder för att hantera grupprincip för din domän.
- Kör .msi-filerna. Den här åtgärden installerar KIR-principdefinitionen i den administrativa mallen.
Obs!
Principdefinitioner installeras i mappen C:\Windows\PolicyDefinitions . Om du har implementerat grupprincip Central Store måste du kopiera .admx- och .adml-filerna till Central Store.
2. Skapa ett grupprincipobjekt
- Öppna grupprincip-hanteringskonsolen och välj sedan Skog: Domännamndomäner>.
- Högerklicka på ditt domännamn och välj sedan Skapa ett grupprincipobjekt i den här domänen och länka det här.
- Ange namnet på det nya grupprincipobjektet (till exempel KIR Issue XXX) och välj sedan OK.
Mer information om hur du skapar grupprincipobjekt finns i Skapa ett grupprincip-objekt.
3. Skapa och konfigurera ett WMI-filter som tillämpar grupprincipobjektet
Högerklicka på WMI-filter och välj sedan Nytt.
Ange ett namn för det nya WMI-filtret.
Ange en beskrivning av WMI-filtret, till exempel Filtrera på alla Windows 10 version 2004-enheter.
Välj Lägg till.
I Fråga anger du följande frågesträng:
SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>
Viktigt
I den här strängen <representerar VersionNumber> den Windows-version som du vill att grupprincipobjektet ska gälla för. Versionsnumret måste ha följande format (undanta hakparenteserna när du använder talet i strängen):
10.0.xxxxx
där xxxxx är ett femsiffrigt tal. Kirs stöder för närvarande följande versioner:
Version Versionsnummer Windows 10, version 20H2 10.0.19042 Windows 10, version 2004 10.0.19041 Windows 10, version 1909 10.0.18363 Windows 10, version 1903 10.0.18362 Windows 10 version 1809 10.0.17763 En uppdaterad lista över Windows-versioner och versionsnummer finns i Windows 10 – versionsinformation.
Viktigt
Versionsnumren som visas på Windows 10 versionsinformationssidan innehåller inte prefixet 10.0. Om du vill använda ett versionsnummer i frågan måste du lägga till prefixet 10.0 .
Mer information om hur du skapar WMI-filter finns i Skapa WMI-filter för grupprincipobjektet.
4. Länka grupprincipobjektet och WMI-filtret
- Välj det grupprincipobjekt som du skapade tidigare, öppna menyn WMI-filtrering och välj sedan det WMI-filter som du nyss skapade.
- Välj Ja för att acceptera filtret.
5. Konfigurera grupprincipobjektet
Redigera grupprincipobjektet för att använda KIR-aktiveringsprincipen:
- Högerklicka på grupprincipobjektet som du skapade tidigare och välj sedan Redigera.
- I grupprincip Editor väljer du GPOName>Datorkonfiguration>Administrativa mallar>KB ####### Utfärda XXX Återställning>Windows 10 version YYMM.
- Högerklicka på principen och välj sedan Redigera>inaktiverad>OK.
Mer information om hur du redigerar grupprincipobjekt finns i Redigera ett grupprincip objekt från GPMC.
6. Övervaka GPO-resultaten
I standardkonfigurationen för grupprincip ska hanterade enheter tillämpa den nya principen inom 90 till 120 minuter. För att påskynda den här processen kan du köra gpupdate
på berörda enheter för att manuellt söka efter uppdaterade principer.
Kontrollera att varje berörd enhet startas om när principen har tillämpas.
Viktigt
Korrigeringen som introducerade problemet inaktiveras när enheten tillämpar principen och startas sedan om.
Distribuera en KIR-aktivering med Microsoft Intune ADMX-principinmatning till de hanterade enheterna
Obs!
Om du vill använda lösningarna i det här avsnittet måste du installera den kumulativa uppdateringen som släpps den 26 juli 2022 eller senare på datorn.
Grupprinciper och grupprincipobjekt är inte kompatibla med MDM-baserade lösningar (hantering av mobila enheter), till exempel Microsoft Intune. De här anvisningarna vägleder dig genom hur du använder Intune anpassade inställningar för ADMX-inmatning och konfigurerar ADMX-säkerhetskopierade MDM-principer för att utföra en KIR-aktivering utan att ett grupprincipobjekt krävs.
Följ dessa steg för att utföra en KIR-aktivering på Intune hanterade enheter:
- Ladda ned och installera KIR MSI-filen för att hämta ADMX-filer.
- Skapa en anpassad konfigurationsprofil i Microsoft Intune.
- Övervaka KIR-aktivering.
1. Ladda ned och installera KIR MSI-filen för att hämta ADMX-filer
Kontrollera KIR-versionsinformationen eller de kända problemlistorna för att identifiera vilka operativsystemversioner som du måste uppdatera.
Ladda ned den nödvändiga KIR-principdefinitionen .msi filer på den dator som du använder för att logga in på Microsoft Intune.
Obs!
Du behöver åtkomst till innehållet i en ADMX-fil för KIR-aktivering.
.msi
Kör filerna. Den här åtgärden installerar KIR-principdefinitionen i den administrativa mallen.Obs!
Principdefinitioner installeras i mappen C:\Windows\PolicyDefinitions .
Om du vill extrahera ADMX-filerna till en annan plats använder du
msiexec
kommandot med egenskapen TARGETDIR . Till exempel:msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx
2. Skapa en anpassad konfigurationsprofil i Microsoft Intune
Om du vill konfigurera enheter för att utföra en KIR-aktivering måste du skapa en anpassad konfigurationsprofil för varje operativsystem för dina hanterade enheter. Följ dessa steg för att skapa en anpassad profil:
- Välj egenskaper och lägg till grundläggande information om profilen.
- Lägg till anpassad konfigurationsinställning för att mata in ADMX-filer för KIR-aktivering.
- Lägg till anpassad konfigurationsinställning för att ange en ny AKTIVERINGsprincip för KIR.
- Tilldela enheter till den anpassade konfigurationsprofilen för KIR-aktivering.
- Använd tillämplighetsregler för att rikta enheter för att ta emot ANPASSADE KIR-konfigurationsinställningar per operativsystem.
- Granska och skapa anpassad konfigurationsprofil för KIR-aktivering.
A. Välj egenskaper och lägg till grundläggande information om profilen
Logga in på Microsoft Intune administrationscenter.
Välj Enheter>Konfigurationsprofiler>Skapa profil.
Välj följande egenskaper:
- Plattform: Windows 10 och senare
- Profil: Anpassade mallar>
Välj Skapa.
Ange följande egenskaper i Grundinställningar:
- Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel "04/30 KIR Activation – Windows 10 21H2".
- Beskrivning: Ange en beskrivning för principen. Den här inställningen är valfri men rekommenderas.
Obs!
Plattforms- och profiltyp bör redan ha värden valda.
Välj Nästa.
Obs!
Mer information om hur du skapar anpassade konfigurationsprofiler och konfigurationsinställningar finns i Använda anpassade enhetsinställningar i Microsoft Intune.
Innan du fortsätter till nästa två steg öppnar du ADMX-filen i en textredigerare (till exempel Anteckningar) där filen extraherades. ADMX-filen ska finnas i sökvägen C:\Windows\PolicyDefinitions om du har installerat den som en MSI-fil.
Här är ett exempel på ADMX-filen:
<policies>
<policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >
<parentCategory ref="KnownIssueRollback_Win_11" />
<supportedOn ref="SUPPORTED_Windows_11_0_Only" />
<enabledList…> … </enabledList>
<disabledList…>…</disabledList>
</policy>
</policies>
Registrera värdena för policy name
och parentCategory
. Den här informationen finns i noden "policyer" i slutet av filen.
B. Lägga till anpassad konfigurationsinställning för att mata in ADMX-filer för KIR-aktivering
Den här konfigurationsinställningen används för att installera KIR-aktiveringsprincipen på målenheter. Följ dessa steg för att lägga till ADMX-inmatningsinställningarna:
Gå till Konfigurationsinställningar och välj Lägg till.
Ange följande egenskaper:
Namn: Ange ett beskrivande namn för konfigurationsinställningen. Namnge inställningarna så att du enkelt kan identifiera dem senare. Ett bra inställningsnamn är till exempel "ADMX Ingestion: 04/30 KIR Activation – Windows 10 21H2".
Beskrivning: Ange en beskrivning av inställningen. Den här inställningen är valfri men rekommenderas.
OMA-URI: Ange strängen ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.
Obs!
Ersätt <ADMX-principnamnet> med värdet för det registrerade principnamnet från ADMX-filen. Till exempel "KB5011563_220428_2000_1_KnownIssueRollback".
Datatyp: Välj Sträng.
Värde: Öppna ADMX-filen med en textredigerare (till exempel Anteckningar). Kopiera och klistra in hela innehållet i DEN ADMX-fil som du tänker mata in i det här fältet.
Välj Spara.
C. Lägg till anpassad konfigurationsinställning för att ange en ny KIR-aktiveringsprincip
Den här konfigurationsinställningen används för att konfigurera KIR-aktiveringsprincipen, som definieras i föregående steg.
Följ dessa steg för att lägga till konfigurationsinställningarna för KIR-aktivering:
Gå till Konfigurationsinställningar och välj Lägg till.
Ange följande egenskaper:
Namn: Ange ett beskrivande namn för konfigurationsinställningen. Namnge inställningarna så att du enkelt kan identifiera dem senare. Ett bra inställningsnamn är till exempel "KIR Activation: 04/30 KIR Activation – Windows 10 21H2".
Beskrivning: Ange en beskrivning av inställningen. Den här inställningen är valfri men rekommenderas.
OMA-URI: Ange strängen ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.
Obs!
Ersätt <Överordnad kategori> med den överordnade kategoristrängen som registrerades i föregående steg. Till exempel "KnownIssueRollback_Win_11". Ersätt <ADMX-principnamnet> med samma principnamn som användes i föregående steg.
Datatyp: Välj Sträng.
Värde: Ange <disabled/>.
Välj Spara.
Välj Nästa.
D. Tilldela enheter till den anpassade konfigurationsprofilen för KIR-aktivering
När du har definierat vad den anpassade konfigurationsprofilen gör följer du dessa steg för att identifiera vilka enheter du ska konfigurera:
- I Tilldelningar väljer du Lägg till alla enheter.
- Välj Nästa.
E. Använd tillämplighetsregler för att rikta enheter för att ta emot ANPASSADE KIR-konfigurationsinställningar per operativsystem
Om du vill rikta enheterna efter operativsystem som är tillämpliga för gp lägger du till en tillämplighetsregel för att kontrollera enhetens OS-version (Build) innan du tillämpar den här konfigurationen. Du kan leta upp byggnumren för operativsystemet som stöds på följande sidor:
Versionsnumren som visas på sidorna är formaterade som MMMMM.mmmm (M= högre version och m= delversion). Egenskaperna för OS-version använder huvudversionssiffrorna. Os-versionsvärdena som anges i tillämplighetsreglerna ska formateras som "10.0.MMMMM". Till exempel "10.0.22000".
Följ de här anvisningarna för att ange rätt tillämplighetsregler för kir-aktiveringen:
I Tillämplighetsregler skapar du en tillämplighetsregel genom att ange följande egenskaper för den tomma regeln som redan finns på sidan:
- Regel: Välj Tilldela profil i listrutan.
- Egenskap: Välj OS-version i listrutan.
- Värde: Ange versionsnumren Min och Max os som är formaterade som "10.0.MMMMM".
Välj Nästa.
Obs!
Operativsystemets version av en enhet kan hittas genom att köra winver
kommandot från Start-menyn. Det visar ett versionsnummer i två delar avgränsat med ett ".". Till exempel "22000.613". Du kan lägga till det vänstra numret i "10.0" för den lägsta operativsystemversionen. Hämta maxversionsnumret för operativsystemet genom att lägga till 1 i den sista siffran i versionsnumret för lägsta operativsystem. I det här exemplet kan du använda följande värden:
Lägsta operativsystemversion: "10.0.22000"
Högsta operativsystemversion: "10.0.22001"
F. Granska och skapa anpassad konfigurationsprofil för KIR-aktivering
Granska inställningarna för den anpassade konfigurationsprofilen och välj Skapa.
3. Övervaka KIR-aktivering
Aktiveringen av KIR bör vara igång nu. Följ dessa steg för att övervaka förloppet för konfigurationsprofilen:
Gå till Enhetskonfigurationsprofiler> och välj en befintlig profil. Välj till exempel en macOS-profil.
Välj fliken Översikt . I den här vyn innehåller profiltilldelningsstatusen följande statusar:
- Lyckades: Principen tillämpas.
- Fel: Det gick inte att tillämpa principen. Meddelandet visar vanligtvis en felkod som länkar till en förklaring.
- Konflikt: Två inställningar tillämpas på samma enhet och Intune kan inte lösa konflikten. En administratör bör granska konflikten.
- Väntar: Enheten har inte checkat in med Intune för att ta emot principen ännu.
- Ej tillämpligt: Enheten kan inte ta emot principen. Principen uppdaterar till exempel en inställning som är specifik för iOS 11.1, men enheten använder iOS 10.
Mer information finns i Övervaka enhetskonfigurationsprofiler i Microsoft Intune.
Mer information
- Lokala grupprincip Editor
- Arbeta med principinställningarna för administrativa mallar med hjälp av den lokala grupprincip Editor
- översikt över grupprincip
- GPMC Gör så här
- Skapa WMI-filter för grupprincipobjektet (Windows 10) – Windows-säkerhet
- Redigera ett grupprincip objekt från GPMC
- Skapa och hantera grupprinciper i Microsoft Entra Domain Services
- Använd Windows 10/11-mallar för att konfigurera grupprincipinställningar i Microsoft Intune