Delen via

Groepsbeleid gebruiken om een bekend probleem terugdraaien te implementeren

  • Artikel

In dit artikel wordt beschreven hoe u Groepsbeleid configureert om een kir-beleidsdefinitie (Known Issue Rollback) te gebruiken waarmee een KIR op beheerde apparaten wordt geactiveerd.

Van toepassing op: Windows Server (alle ondersteunde versies), Windows-client (alle ondersteunde versies)

Samenvatting

Microsoft heeft een nieuwe Windows-servicetechnologie ontwikkeld met de naam KIR voor Windows Server 2019 en Windows 10, versies 1809 en latere versies. Voor de ondersteunde versies van Windows rolt een KIR een specifieke wijziging terug die is toegepast als onderdeel van een niet-beveiligingsrelease van Windows Update. Alle andere wijzigingen die zijn aangebracht als onderdeel van die release, blijven intact. Als een Windows-update een regressie of ander probleem veroorzaakt door deze technologie, hoeft u de hele update niet te verwijderen en het systeem terug te zetten naar de laatst bekende goede configuratie. U rolt alleen de wijziging terug die het probleem heeft veroorzaakt. Deze terugdraaiactie is tijdelijk. Nadat Microsoft een nieuwe update heeft uitgebracht waarmee het probleem is opgelost, is het terugdraaien niet meer nodig.

Belangrijk

KIR's zijn alleen van toepassing op niet-beveiligingsupdates. Dit komt doordat het terugdraaien van een oplossing voor een niet-beveiligingsupdate geen mogelijk beveiligingsprobleem veroorzaakt.

Microsoft beheert het KIR-implementatieproces voor niet-bedrijfsapparaten. Voor bedrijfsapparaten biedt Microsoft MSI-bestanden met KIR-beleidsdefinities. Ondernemingen kunnen vervolgens Groepsbeleid gebruiken om KIR's te implementeren in hybride Microsoft Entra ID- of Active Directory-domein Services-domeinen (AD DS).

Notitie

U moet de betreffende computers opnieuw opstarten om deze groepsbeleidswijziging toe te passen.

Het KIR-proces

Als Microsoft bepaalt dat een niet-beveiligingsupdate een kritiek regressie- of vergelijkbaar probleem heeft, genereert Microsoft een KIR. Microsoft kondigt de KIR aan in het Windows-statusdashboard en voegt de informatie toe aan de volgende locaties:

Voor niet-zakelijke klanten past het Windows Update-proces de KIR automatisch toe. De gebruiker hoeft verder niets te doen.

Voor zakelijke klanten biedt Microsoft een MSI-bestand met beleidsdefinities. Zakelijke klanten kunnen de KIR doorgeven aan beheerde systemen met behulp van de infrastructuur voor groepsbeleid voor ondernemingen.

Als u een voorbeeld van een KIR MSI-bestand wilt zien, downloadt u Windows 10 (2004 & 20H2) Bekend probleem terugdraaien 031321 01.msi.

Een KIR-beleidsdefinitie heeft een beperkte levensduur (een paar maanden, maximaal). Nadat Microsoft een gewijzigde update heeft gepubliceerd om het oorspronkelijke probleem op te lossen, is de KIR niet meer nodig. De beleidsdefinitie kan vervolgens worden verwijderd uit de groepsbeleidsinfrastructuur.

KIR toepassen op één apparaat met behulp van Groepsbeleid

Als u Groepsbeleid wilt gebruiken om een KIR toe te passen op één apparaat, voert u de volgende stappen uit:

  1. Download het MSI-bestand van de KIR-beleidsdefinitie naar het apparaat.

    Belangrijk

    Zorg ervoor dat het besturingssysteem dat wordt vermeld in de .msi bestandsnaam overeenkomt met het besturingssysteem van het apparaat dat u wilt bijwerken.

  2. Voer het .msi-bestand uit op het apparaat. Met deze actie wordt de KIR-beleidsdefinitie geïnstalleerd in de beheersjabloon.
  3. Open de editor voor lokaal groepsbeleid. Hiervoor selecteert u Start en voert u gpedit.msc in.
  4. Selecteer Beheersjablonen>####### voor computerconfiguratie>lokale computer>kb probleem XXX terugdraaien>Windows 10, versie YYMM.

    Notitie

    In deze stap ####### is het KB-artikelnummer van de update die het probleem heeft veroorzaakt. XXX is het nummer van het probleem en JJMM is het versienummer van Windows 10.

  5. Klik met de rechtermuisknop op het beleid en selecteer Vervolgens Bewerken>uitgeschakeld>OK.
  6. Start het apparaat opnieuw op.

Zie Werken met de beleidsinstellingen voor beheersjablonen met behulp van de editor voor lokaal groepsbeleid voor meer informatie over het gebruik van de editor voor lokaal groepsbeleid.

Een KIR toepassen op apparaten in een hybride Microsoft Entra-id of AD DS-domein met behulp van groepsbeleid

Als u een KIR-beleidsdefinitie wilt toepassen op apparaten die deel uitmaken van een hybride Microsoft Entra-id of AD DS-domein, voert u de volgende stappen uit:

  1. De KIR MSI-bestanden downloaden en installeren
  2. Een groepsbeleidsobject (GPO) maken.
  3. Maak en configureer een WMI-filter waarmee het groepsbeleidsobject wordt toegepast.
  4. Koppel het groepsbeleidsobject en het WMI-filter.
  5. Configureer het groepsbeleidsobject.
  6. Bewaak de resultaten van het groepsbeleidsobject.

1. Download en installeer de KIR MSI-bestanden

  1. Controleer de KIR-releasegegevens of de lijsten met bekende problemen om te bepalen welke versies van het besturingssysteem u moet bijwerken.
  2. Download de KIR-beleidsdefinitie .msi bestanden die u moet bijwerken naar de computer die u gebruikt om Groepsbeleid voor uw domein te beheren.
  3. Voer de .msi-bestanden uit. Met deze actie wordt de KIR-beleidsdefinitie geïnstalleerd in de beheersjabloon.

    Notitie

    Beleidsdefinities worden geïnstalleerd in de map C:\Windows\PolicyDefinitions . Als u het centrale archief voor groepsbeleid hebt geïmplementeerd, moet u de .admx- en ADML-bestanden kopiëren naar de Central Store.

2. Een groepsbeleidsobject maken

  1. Open de console Groepsbeleidsbeheer en selecteer vervolgens Forest: DomainName>Domains.
  2. Klik met de rechtermuisknop op uw domeinnaam en selecteer vervolgens Een groepsbeleidsobject maken in dit domein en koppel deze hier.
  3. Voer de naam in van het nieuwe groepsbeleidsobject (bijvoorbeeld KIR Issue XXX) en selecteer VERVOLGENS OK.

Zie Een groepsbeleidsobject maken voor meer informatie over het maken van groepsbeleidsobjecten.

3. Een WMI-filter maken en configureren dat het groepsbeleidsobject toepast

  1. Klik met de rechtermuisknop op WMI-filters en selecteer Nieuw.

  2. Voer een naam in voor het nieuwe WMI-filter.

  3. Voer een beschrijving in van uw WMI-filter, zoals Filteren op alle Windows 10 versie 2004-apparaten.

  4. Selecteer Toevoegen.

  5. Voer in Query de volgende querytekenreeks in:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Belangrijk

    In deze tekenreeks <vertegenwoordigt VersionNumber> de Windows-versie waarop u het groepsbeleidsobject wilt toepassen. Het versienummer moet de volgende notatie gebruiken (sluit de vierkante haken uit wanneer u het getal in de tekenreeks gebruikt):

    10.0.xxxxx

    waarbij xxxxx een getal van vijf cijfers is. Momenteel bieden KIR's ondersteuning voor de volgende versies:

    Versie Buildnummer
    Windows 10, versie 20H2 10.0.19042
    Windows 10, versie 2004 10.0.19041
    Windows 10 versie 1909 10.0.18363
    Windows 10 versie 1903 10.0.18362
    Windows 10 versie 1809 10.0.17763

    Zie Windows 10 - release-informatie voor een actuele lijst met Windows-releases en buildnummers.

    Belangrijk

    De buildnummers die worden vermeld op de release-informatiepagina van Windows 10 bevatten niet het voorvoegsel 10.0 . Als u een buildnummer in de query wilt gebruiken, moet u het voorvoegsel 10.0 toevoegen.

Zie WMI-filters maken voor het groepsbeleidsobject voor meer informatie over het maken van WMI-filters.

  1. Selecteer het groepsbeleidsobject dat u eerder hebt gemaakt, open het menu WMI-filtering en selecteer vervolgens het WMI-filter dat u zojuist hebt gemaakt.
  2. Selecteer Ja om het filter te accepteren.

5. Het groepsbeleidsobject configureren

Bewerk uw groepsbeleidsobject om het KIR-activeringsbeleid te gebruiken:

  1. Klik met de rechtermuisknop op het groepsbeleidsobject dat u eerder hebt gemaakt en selecteer Bewerken.
  2. Selecteer in de groepsbeleidseditor GPOName>Computerconfiguratie>beheersjablonen>KB ####### probleem XXX Terugdraaien>Windows 10, versie JJMM.
  3. Klik met de rechtermuisknop op het beleid en selecteer Vervolgens Bewerken>uitgeschakeld>OK.

Zie Een groepsbeleidsobject bewerken vanuit gpMC voor meer informatie over het bewerken van groepsbeleidsobjecten.

6. De resultaten van het groepsbeleidsobject controleren

In de standaardconfiguratie van Groepsbeleid moeten beheerde apparaten het nieuwe beleid binnen 90 tot 120 minuten toepassen. Als u dit proces wilt versnellen, kunt gpupdate u uitvoeren op betrokken apparaten om handmatig te controleren op bijgewerkte beleidsregels.

Zorg ervoor dat elk betrokken apparaat opnieuw wordt opgestart nadat het beleid is toegepast.

Belangrijk

De oplossing die het probleem heeft geïntroduceerd, wordt uitgeschakeld nadat het beleid op het apparaat is toegepast en vervolgens opnieuw wordt opgestart.

Een KIR-activering implementeren met microsoft Intune ADMX-beleidsopname op de beheerde apparaten

Notitie

Als u de oplossingen in deze sectie wilt gebruiken, moet u de cumulatieve update installeren die op 26 juli 2022 of hoger op de computer wordt uitgebracht.

Groepsbeleid en GPO's zijn niet compatibel met MDM-oplossingen (Mobile Device Management), zoals Microsoft Intune. Deze instructies helpen u bij het gebruik van aangepaste Intune-instellingen voor ADMX-opname en het configureren van door ADMX ondersteund MDM-beleid om een KIR-activering uit te voeren zonder een GPO te vereisen.

Voer de volgende stappen uit om een KIR-activering uit te voeren op door Intune beheerde apparaten:

  1. Download en installeer het KIR MSI-bestand om ADMX-bestanden op te halen.
  2. Maak een aangepast configuratieprofiel in Microsoft Intune.
  3. Kir-activering bewaken.

1. Download en installeer het KIR MSI-bestand om ADMX-bestanden op te halen

  1. Controleer de KIR-releasegegevens of de lijsten met bekende problemen om te bepalen welke versies van het besturingssysteem (OS) u moet bijwerken.

  2. Download de vereiste KIR-beleidsdefinitie .msi bestanden op de computer die u gebruikt om u aan te melden bij Microsoft Intune.

    Notitie

    U hebt toegang nodig tot de inhoud van een KIR-activeringS-ADMX-bestand.

  3. Voer de .msi bestanden uit. Met deze actie wordt de KIR-beleidsdefinitie geïnstalleerd in de beheersjabloon.

    Notitie

    Beleidsdefinities worden geïnstalleerd in de map C:\Windows\PolicyDefinitions .

    Als u de ADMX-bestanden wilt extraheren naar een andere locatie, gebruikt u de msiexec opdracht met de eigenschap TARGETDIR . Bijvoorbeeld:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Een aangepast configuratieprofiel maken in Microsoft Intune

Als u apparaten wilt configureren om een KIR-activering uit te voeren, moet u een aangepast configuratieprofiel maken voor elk besturingssysteem van uw beheerde apparaten. Voer de volgende stappen uit om een aangepast profiel te maken:

  1. Selecteer eigenschappen en voeg basisinformatie van het profiel toe.
  2. Voeg aangepaste configuratie-instelling toe om ADMX-bestanden op te nemen voor KIR-activering.
  3. Voeg aangepaste configuratie-instelling toe om nieuw KIR-activeringsbeleid in te stellen.
  4. Apparaten toewijzen aan het aangepaste configuratieprofiel voor KIR-activering.
  5. Gebruik toepasselijkheidsregels om apparaten te richten op het ontvangen van aangepaste KIR-configuratie-instellingen per besturingssysteem.
  6. Controleer en maak aangepast configuratieprofiel voor KIR-activering.

A. Eigenschappen selecteren en basisinformatie over het profiel toevoegen

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaatconfiguratieprofielen>>Profiel maken.

  3. Selecteer de volgende eigenschappen:

    • Platform: Windows 10 en hoger
    • Profiel: aangepaste sjablonen>

  4. Selecteer Maken.

  5. Voer in Basisinformatie de volgende eigenschappen in:

    • Naam: Voer een beschrijvende naam in voor het beleid. Geef uw beleid een naam zodat u ze later eenvoudig kunt identificeren. Een goede beleidsnaam is bijvoorbeeld '04/30 KIR-activering – Windows 10 21H2'.
    • Beschrijving: Voer een beschrijving in voor het beleid. Deze instelling is optioneel, maar wordt aanbevolen.

    Notitie

    Voor platform - en profieltype moeten al waarden zijn geselecteerd.

  6. Selecteer Volgende.

Notitie

Zie Aangepaste apparaatinstellingen gebruiken in Microsoft Intune voor meer informatie over het maken van aangepaste configuratieprofielen en configuratie-instellingen.

Voordat u doorgaat met de volgende twee stappen, opent u het ADMX-bestand in een teksteditor (bijvoorbeeld Kladblok) waar het bestand is uitgepakt. Het ADMX-bestand moet zich in het pad C:\Windows\PolicyDefinitions bevinden als u het hebt geïnstalleerd als een MSI-bestand.

Hier volgt een voorbeeld van het ADMX-bestand:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Noteer de waarden voor policy name en parentCategory. Deze informatie bevindt zich in het knooppunt Beleid aan het einde van het bestand.

B. Aangepaste configuratie-instelling toevoegen om ADMX-bestanden op te nemen voor KIR-activering

Deze configuratie-instelling wordt gebruikt om het KIR-activeringsbeleid op doelapparaten te installeren. Volg deze stappen om de ADMX-opname-instellingen toe te voegen:

  1. Selecteer Toevoegen in Configuratie-instellingen.

  2. Voer de volgende eigenschappen in:

    • Naam: Voer een beschrijvende naam in voor de configuratie-instelling. Geef uw instellingen een naam zodat u ze later gemakkelijk kunt herkennen. Een goede instellingsnaam is bijvoorbeeld 'ADMX-opname: 04/30 KIR-activering – Windows 10 21H2'.

    • Beschrijving: Voer een beschrijving in voor de instelling. Deze instelling is optioneel, maar wordt aanbevolen.

    • OMA-URI: voer de tekenreeks in./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Notitie

      Vervang <ADMX-beleidsnaam> door de waarde van de geregistreerde beleidsnaam uit het ADMX-bestand. Bijvoorbeeld 'KB5011563_220428_2000_1_KnownIssueRollback'.

    • Gegevenstype: Selecteer Tekenreeks.

    • Waarde: Open het ADMX-bestand met een teksteditor (bijvoorbeeld Kladblok). Kopieer en plak de volledige inhoud van het ADMX-bestand dat u in dit veld wilt opnemen.

  3. Selecteer Opslaan.

C. Aangepaste configuratie-instelling toevoegen om nieuw KIR-activeringsbeleid in te stellen

Deze configuratie-instelling wordt gebruikt voor het configureren van het KIR-activeringsbeleid, dat in de vorige stap is gedefinieerd.

Volg deze stappen om de configuratie-instellingen voor KIR-activering toe te voegen:

  1. Selecteer Toevoegen in Configuratie-instellingen.

  2. Voer de volgende eigenschappen in:

    • Naam: Voer een beschrijvende naam in voor de configuratie-instelling. Geef uw instellingen een naam zodat u ze later gemakkelijk kunt herkennen. Een goede instellingsnaam is bijvoorbeeld 'KIR-activering: 04/30 KIR-activering - Windows 10 21H2'.

    • Beschrijving: Voer een beschrijving in voor de instelling. Deze instelling is optioneel, maar wordt aanbevolen.

    • OMA-URI: Voer de tekenreeks in./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Notitie

      Vervang <bovenliggende categorie> door de bovenliggende categorietekenreeks die in de vorige stap is vastgelegd. Bijvoorbeeld 'KnownIssueRollback_Win_11'. Vervang <ADMX-beleidsnaam> door dezelfde beleidsnaam die in de vorige stap is gebruikt.

    • Gegevenstype: Selecteer Tekenreeks.

    • Waarde: Voer <uitgeschakeld/>.

  3. Selecteer Opslaan.

  4. Selecteer Volgende.

D. Apparaten toewijzen aan het aangepaste configuratieprofiel voor KIR-activering

Nadat u hebt gedefinieerd wat het aangepaste configuratieprofiel doet, volgt u deze stappen om te bepalen welke apparaten u gaat configureren:

  1. Selecteer Alle apparaten toevoegen in Toewijzingen.
  2. Selecteer Volgende.

E. Toepasselijkheidsregels gebruiken om apparaten te richten op het ontvangen van aangepaste KIR-configuratie-instellingen per besturingssysteem

Als u de apparaten wilt richten op het besturingssysteem dat van toepassing is op de gp, voegt u een toepasbaarheidsregel toe om de versie van het besturingssysteem van het apparaat (build) te controleren voordat u deze configuratie toepast. U kunt de buildnummers voor het ondersteunde besturingssysteem opzoeken op de volgende pagina's:

De buildnummers die op de pagina's worden weergegeven, zijn opgemaakt als MMMMM.mmmm (M= primaire versie en m= secundaire versie). De eigenschappen van de versie van het besturingssysteem gebruiken de cijfers van de primaire versie. De waarden van de versie van het besturingssysteem die zijn ingevoerd in de regels voor toepasselijkheid, moeten worden opgemaakt als '10.0.MMMMM'. Bijvoorbeeld '10.0.22000'.

Volg deze instructies om de juiste toepasselijkheidsregels in te stellen voor uw KIR-activering:

  1. Maak in Toepasselijkheidsregels een toepasbaarheidsregel door de volgende eigenschappen in te voeren op de lege regel die al op de pagina staat:

    • Regel: Selecteer Profiel toewijzen in de vervolgkeuzelijst.
    • Eigenschap: Selecteer de versie van het besturingssysteem in de vervolgkeuzelijst.
    • Waarde: Voer de min- en maximumversienummers van het besturingssysteem in die zijn opgemaakt als '10.0.MMMMM'.

  2. Selecteer Volgende.

Notitie

De versie van het besturingssysteem van een apparaat vindt u door de winver opdracht uit te voeren vanuit de Startmenu. Er wordt een tweedelige versienummer weergegeven, gescheiden door een '.'. Bijvoorbeeld '22000.613'. U kunt het linkernummer toevoegen aan 10.0 voor de minimale versie van het besturingssysteem. Haal het versienummer van het maximale besturingssysteem op door 1 toe te voegen aan het laatste cijfer van het minimale versienummer van het besturingssysteem. In dit voorbeeld kunt u deze waarden gebruiken:
Minimale versie van het besturingssysteem: "10.0.22000"
Maximale versie van het besturingssysteem: "10.0.22001"

F. Aangepast configuratieprofiel voor KIR-activering controleren en maken

Controleer uw instellingen van het aangepaste configuratieprofiel en selecteer Maken.

3. Kir-activering bewaken

Uw KIR-activering moet nu worden uitgevoerd. Volg deze stappen om de voortgang van het configuratieprofiel te controleren:

  1. Ga naar Apparaatconfiguratieprofielen> en selecteer een bestaand profiel. Selecteer bijvoorbeeld een macOS-profiel.

  2. Selecteer het tabblad Overzicht . In deze weergave bevat de profieltoewijzingsstatus de volgende statussen:

    • Geslaagd: beleid wordt toegepast.
    • Fout: het beleid kan niet worden toegepast. In het bericht wordt meestal een foutcode weergegeven die is gekoppeld aan een uitleg.
    • Conflict: er worden twee instellingen toegepast op hetzelfde apparaat en Intune kan het conflict niet oplossen. Een beheerder moet het conflict controleren.
    • In behandeling: Het apparaat is nog niet ingecheckt bij Intune om het beleid te ontvangen.
    • Niet van toepassing: het apparaat kan het beleid niet ontvangen. Het beleid werkt bijvoorbeeld een instelling bij die specifiek is voor iOS 11.1, maar het apparaat gebruikt iOS 10.

Zie Apparaatconfiguratieprofielen bewaken in Microsoft Intune voor meer informatie.

Meer informatie