如何使用 群組原則 部署已知問題復原

  • 發行項

本文說明如何設定 群組原則 使用已知問題復原 (KIR) 原則定義,以在受管理的裝置上啟用 KIR。

適用於: Windows Server (所有支援的版本) 、Windows 用戶端 (所有支援的版本)

摘要

Microsoft 開發了名為 KIR for Windows Server 2019 和 Windows 10 版本 1809 及更新版本的新 Windows 服務技術。 針對支援的 Windows 版本,KIR 會復原在非安全性 Windows Update 版本中套用的特定變更。 做為該版本一部分的所有其他變更都會保持不變。 藉由使用這項技術,如果 Windows 更新造成回歸或其他問題,您就不需要卸載整個更新,並讓系統回到最後已知的良好設定。 您只會回復造成問題的變更。 此回復是暫時性的。 在 Microsoft 發行可修正問題的新更新之後,就不再需要復原。

重要事項

KIR 僅適用於非安全性更新。 這是因為復原非安全性更新的修正不會造成潛在的安全性弱點。

Microsoft 會管理非企業裝置的 KIR 部署程式。 針對企業裝置,Microsoft 提供 KIR 原則定義 MSI 檔案。 然後,企業可以使用 群組原則 在混合式 Microsoft Entra ID 或 Active Directory 網域服務 (AD DS) 網域中部署 KIR。

注意事項

您必須重新啟動受影響的計算機,才能套用此 群組原則 變更。

KIR 程式

如果 Microsoft 判斷非安全性更新有重大回歸或類似的問題,Microsoft 會產生 KIR。 Microsoft 在 Windows 健全狀況儀錶板中宣告 KIR,並將資訊新增至下列位置:

針對非企業客戶,Windows Update 程式會自動套用 KIR。 不需要使用者動作。

針對企業客戶,Microsoft 提供原則定義 MSI 檔案。 企業客戶可以使用企業 群組原則 基礎結構,將 KIR 傳播至受控系統。

若要查看 KIR MSI 檔案的範例,請下載 Windows 10 (2004 & 20H2) 已知問題復原031321 01.msi

KIR 原則定義的存留期限制 (幾個月,最多) 。 在 Microsoft 發佈修改過的更新來解決原始問題之後,就不再需要 KIR。 然後可以從 群組原則 基礎結構中移除原則定義。

使用 群組原則 將 KIR 套用至單一裝置

若要使用 群組原則 將 KIR 套用至單一裝置,請遵循下列步驟:

  1. 將 KIR 原則定義 MSI 檔案下載到裝置。

    重要事項

    請確定 .msi 檔名中列出的操作系統符合您想要更新之裝置的作業系統。

  2. 在裝置上執行 .msi 檔案。 此動作會在系統管理範本中安裝 KIR 原則定義。
  3. 開啟本機 群組原則 編輯器。 若要這樣做,請選取 [ 開始],然後輸入 gpedit.msc
  4. 選取 [本機計算機原則>計算機設定>] [系統管理>範本KB ####### 問題 XXX>原 Windows 10 版本 YYMM。

    注意事項

    在此步驟中, ####### 是造成問題之更新的 KB 文章編號。 XXX 是問題號碼,而 YYMM 是 Windows 10 版本號碼。

  5. 以滑鼠右鍵按兩下原則,然後選取 [ 編輯>已停用>確定]
  6. 重新開機裝置。

如需如何使用本機 群組原則 編輯器 的詳細資訊,請參閱使用本機 群組原則 編輯器 使用系統管理範本原則設定

使用 群組原則 將 KIR 套用至混合式 Microsoft Entra ID 或 AD DS 網域中的裝置

若要將 KIR 原則定義套用至屬於混合式 Microsoft Entra ID 或 AD DS 網域的裝置,請遵循下列步驟:

  1. 下載並安裝 KIR MSI 檔案
  2. 建立 群組原則 物件 (GPO)
  3. 建立並設定套用 GPO 的 WMI 篩選器。
  4. 連結 GPO 和 WMI 篩選。
  5. 設定 GPO
  6. 監視 GPO 結果

1.下載並安裝 KIR MSI 檔案

  1. 檢查 KIR 版本資訊或已知問題清單,以識別您必須更新的作業系統版本。
  2. 下載 KIR 原則定義 .msi 您需要更新的檔案到您用來管理網域 群組原則 的電腦。
  3. 執行 .msi 檔案。 此動作會在系統管理範本中安裝 KIR 原則定義。

    注意事項

    原則定義會安裝在 C:\Windows\PolicyDefinitions 資料夾中。 如果您已實作 群組原則 Central Store,則必須將 .admx 和 .adml 檔案複製到中央存放區。

2.建立 GPO

  1. 開 群組原則 管理控制台,然後選取 [樹系:DomainName 網>域]
  2. 以滑鼠右鍵按下您的功能變數名稱,然後選取 [ 在此網域中建立 GPO],然後將它連結到這裡
  3. 輸入新 GPO (的名稱,例如 [KIR 問題 XXX) ],然後選取 [ 確定]

如需如何建立 GPO 的詳細資訊,請參閱建立 群組原則 物件

3.建立和設定套用 GPO 的 WMI 篩選

  1. 以滑鼠右鍵按兩下 [WMI 篩選],然後選取 [ 新增]

  2. 輸入新 WMI 篩選器的名稱。

  3. 輸入 WMI 篩選器的描述,例如篩選所有 Windows 10 版本 2004 裝置

  4. 選取 新增

  5. [查詢] 中,輸入下列查詢字串:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    重要事項

    在此字串中, <VersionNumber> 代表您要套用 GPO 的 Windows 版本。 當您使用字串) 中的數位時,版本號碼必須使用下列格式 (排除括號:

    10.0.xxxxx

    其中 xxxxx 是五位數的數位。 目前,KIR 支援下列版本:

    版本 組建編號
    Windows 10 版本 20H2 10.0.19042
    Windows 10 2004 版 10.0.19041
    Windows 10 1909 版 10.0.18363
    Windows 10 1903 版 10.0.18362
    Windows 10 版本 1809 10.0.17763

    如需最新的 Windows 版本和組建編號清單,請參閱 Windows 10 - 版本資訊

    重要事項

    Windows 10 版本資訊頁面上列出的組建編號不包含 10.0 前置詞。 若要在查詢中使用組建編號,您必須新增 10.0 前置詞。

如需如何建立 WMI 篩選的詳細資訊,請參閱 建立 GPO 的 WMI 篩選器。

  1. 選取您 先前建立的 GPO,開啟 [WMI 篩選 ] 功能表,然後選取您剛才建立的 WMI 篩選器。
  2. 選取 [是 ] 以接受篩選條件。

5.設定 GPO

編輯您的 GPO 以使用 KIR 啟用原則:

  1. 以滑鼠右鍵按下您 先前建立的 GPO,然後選取 [ 編輯]
  2. 在 群組原則 編輯器 中,選取 [GPOName>計算機>設定] [系統管理範>本KB ####### 問題 XXX>原 Windows 10 版本 YYMM]
  3. 以滑鼠右鍵按兩下原則,然後選取 [ 編輯>已停用>確定]

如需如何編輯 GPO 的詳細資訊,請參閱從 GPMC 編輯 群組原則 物件

6.監視 GPO 結果

在 群組原則的預設設定中,受控裝置應該在90到120分鐘內套用新的原則。 若要加速此程式,您可以 gpupdate 在受影響的裝置上執行 ,以手動檢查更新的原則。

請確定每個受影響的裝置在套用原則之後都會重新啟動。

重要事項

在裝置套用原則,然後重新啟動之後,就會停用引進問題的修正程式。

使用 #D6298251CA1DE4A1488FE0E4514008656 ADMX 原則擷取將 KIR 啟用部署到受管理的裝置

注意事項

若要使用本節中的解決方案,您必須在計算機上安裝 2022 年 7 月 26 日發行的累積更新或更新版本。

組策略和 GPO 與行動裝置管理 (MDM) 型解決方案不相容,例如 Microsoft Intune。 這些指示將引導您瞭解如何使用 Intune 自定義設定進行 ADMX 擷取,並設定 ADMX 支援的 MDM 原則來執行 KIR 啟用,而不需要 GPO。

若要在 Intune 受管理的裝置上執行 KIR 啟用,請遵循下列步驟:

  1. 下載並安裝 KIR MSI 檔案以取得 ADMX 檔案
  2. 在 Microsoft Intune 中建立自定義組態配置檔
  3. 監視 KIR 啟用

1.下載並安裝 KIR MSI 檔案以取得 ADMX 檔案

  1. 檢查 KIR 版本資訊或已知問題清單,以識別您必須更新的作業系統 (作業系統) 版本。

  2. 在您用來登入 Microsoft Intune 的計算機上,下載必要的 KIR 原則定義 .msi 檔案。

    注意事項

    您需要存取 KIR 啟用 ADMX 檔案的內容。

  3. .msi執行檔案。 此動作會在系統管理範本中安裝 KIR 原則定義。

    注意事項

    原則定義會安裝在 C:\Windows\PolicyDefinitions 資料夾中。

    如果您想要將 ADMX 檔案解壓縮到另一個位置,請使用 msiexec 命令搭配 TARGETDIR 屬性。 例如:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2.在 Microsoft Intune 中建立自定義組態配置檔

若要設定裝置以執行 KIR 啟用,您必須為受管理裝置的每個作業系統建立自定義組態設定檔。 若要建立自訂設定檔,請遵循下列步驟:

  1. 選取屬性並新增配置檔的基本資訊
  2. 新增自定義組態設定以內嵌ADMX檔案以進行 KIR 啟用
  3. 新增自定義組態設定以設定新的 KIR 啟用原則
  4. 將裝置指派給 KIR 啟用自訂組態配置檔
  5. 使用適用性規則將裝置設為目標,以依操作系統接收 KIR 自定義組態設定
  6. 檢閱並建立 KIR 啟用自訂組態配置檔

答: 選取屬性並新增配置檔的基本資訊

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [裝置]>[組態設定檔]>[建立設定檔]

  3. 選取下列屬性:

    • 平臺Windows 10 及更新版本
    • 配置檔:自定義>本

  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱是 “04/30 KIR 啟用 – Windows 10 21H2”。
    • 描述:輸入原則的描述。 此設定是選擇性的,但建議使用。

    注意事項

    平臺配置檔類型 應該已經選取值。

  6. 選取 [下一步]

注意事項

如需建立自定義組態配置檔和組態設定的詳細資訊,請參閱在 Microsoft Intune 中使用自定義裝置設定

繼續進行下兩個步驟之前,請在文本編輯器中開啟 ADMX 檔案 (例如記事本) 解壓縮檔案的位置。 如果您將 ADMX 檔案安裝為 MSI 檔案,則該檔案應該位於 C:\Windows\PolicyDefinitions 路徑中。

以下是 ADMX 檔案的範例:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

記錄和parentCategorypolicy name值。 此資訊位於檔案結尾的 [原則] 節點中。

B. 新增自定義組態設定以內嵌ADMX檔案以進行 KIR 啟用

此組態設定可用來在目標裝置上安裝 KIR 啟用原則。 請遵循下列步驟來新增ADMX擷取設定:

  1. 在 [ 組態設定] 中,選取 [ 新增]

  2. 輸入下列內容:

    • 名稱:輸入組態設定的描述性名稱。 為您的設定命名,以便稍後輕鬆地識別它們。 例如,良好的設定名稱是 “ADMX 擷取:04/30 KIR 啟用 – Windows 10 21H2”。

    • 描述:輸入設定的描述。 此設定是選擇性的,但建議使用。

    • OMA-URI:輸入字串 ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX 原則名稱>

      注意事項

      以 ADMX 檔案中記錄的原則名稱值取代 <ADMX 原則名稱> 。 例如,“KB5011563_220428_2000_1_KnownIssueRollback”。

    • 數據類型:選取 [字串]

    • :使用文本編輯器開啟ADMX檔案 (例如記事本) 。 複製並貼上您想要內嵌到此欄位的 ADMX 檔案的整個內容。

  3. 選取 [儲存]

C. 新增自定義組態設定以設定新的 KIR 啟用原則

此組態設定是用來設定在上一個步驟中定義的 KIR 啟用原則。

請遵循下列步驟來新增 KIR 啟用組態設定:

  1. 在 [ 組態設定] 中,選取 [ 新增]

  2. 輸入下列內容:

    • 名稱:輸入組態設定的描述性名稱。 為您的設定命名,以便稍後輕鬆地識別它們。 例如,良好的設定名稱為 “KIR Activation: 04/30 KIR Activation – Windows 10 21H2”。

    • 描述:輸入設定的描述。 此設定是選擇性的,但建議使用。

    • OMA-URI:輸入字串 ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX 原則名稱>

      注意事項

      以上一個步驟中記錄的父類別字串取代 <父> 類別目錄。 例如,“KnownIssueRollback_Win_11”。 將ADMX原則名稱>取代<為上一個步驟中使用的相同原則名稱。

    • 數據類型:選取 [字串]

    • :輸入 disabled </>

  3. 選取 [儲存]

  4. 選取 [下一步]

D. 將裝置指派給 KIR 啟用自訂組態配置檔

定義自訂組態設定檔的功能之後,請遵循下列步驟來識別您將設定的裝置:

  1. 在 [ 指派] 中,選取 [新增所有裝置]
  2. 選取 [下一步]

E. 使用適用性規則將裝置設為目標,以依操作系統接收 KIR 自定義組態設定

若要依適用於 GP 的 OS 將裝置設為目標,請新增適用性規則,以檢查裝置 OS 版本 (建置) ,然後再套用此設定。 您可以在下列頁面上查閱支援 OS 的組建編號:

頁面中顯示的組建編號會格式化為 MMMMM.mmmm (M= 主要版本和 m= 次要版本) 。 OS 版本屬性會使用主要版本數位。 輸入至適用性規則的 OS 版本值應該格式化為 「10.0.MMMMM」。。 例如,“10.0.22000”。

請遵循下列指示,為您的 KIR 啟用設定正確的適用性規則:

  1. [適用性規則] 中,在頁面上已存在的空白規則上輸入下列屬性,以建立適用性規則:

    • 規則:從下拉式清單中選取 [ 指派配置檔 ]。
    • 屬性:從下拉式清單中選取 [操作系統版本 ]。
    • :輸入格式為 「10.0.MMMMM」 的最小和最大 OS 版本號碼。

  2. 選取 [下一步]

注意事項

您可以從 [開始] 功能表執行 命令, winver 以找到裝置的 OS 版本。 它會顯示以 「.」 分隔的兩部分版本號碼。 例如,“22000.613”。 您可以將最小 OS 版本的左側號碼附加至 “10.0”。 將 1 新增至 Min OS 版本號碼的最後一個數位,以取得最大 OS 版本號碼。 在這裡範例中,您可以使用下列值:
最低OS版本:“10.0.22000”
最大操作系統版本:“10.0.22001”

F。 檢閱並建立 KIR 啟用自訂組態配置檔

檢閱自定義組態配置檔的設定,然後選取 [ 建立]

3.監視 KIR 啟用

您的 KIR 啟用現在應該正在進行中。 請遵循下列步驟來監視組態設定檔進度:

  1. 移至 [ 裝置>組態配置檔],然後選取現有的配置檔。 例如,選取 macOS 設定檔。

  2. 選取 [ 概觀] 索引 標籤。在此檢視中, 配置檔指派狀態 包含下列狀態:

    • 成功:已成功套用原則。
    • 錯誤:此原則無法套用。 訊息通常會顯示連結至說明的錯誤碼。
    • 衝突:兩個設定會套用至相同的裝置,Intune 無法排序衝突。 系統管理員應該檢閱衝突。
    • 擱置中:裝置尚未簽入 Intune 以接收原則。
    • 不適用:裝置無法接收此原則。 例如,原則會更新 iOS 11.1 的特定設定,但裝置使用 iOS 10。

如需詳細資訊,請參閱在 Microsoft Intune 中監視裝置組態配置檔

其他相關資訊