Udostępnij za pośrednictwem

Jak za pomocą zasad grupy wdrożyć znany problem wycofywania

  • Artykuł

W tym artykule opisano sposób konfigurowania zasad grupy w celu używania definicji zasad znanego wycofania problemu (KIR), która aktywuje kir na zarządzanych urządzeniach.

Dotyczy: Windows Server (wszystkie obsługiwane wersje), klient systemu Windows (wszystkie obsługiwane wersje)

Podsumowanie

Firma Microsoft opracowała nową technologię obsługi systemu Windows o nazwie KIR dla systemów Windows Server 2019 i Windows 10 w wersji 1809 i nowszych. W przypadku obsługiwanych wersji systemu Windows kir wycofa określoną zmianę, która została zastosowana w ramach niezabezpieczonego wydania usługi Windows Update. Wszystkie inne zmiany wprowadzone w ramach tej wersji pozostają nienaruszone. Korzystając z tej technologii, jeśli aktualizacja systemu Windows powoduje regresję lub inny problem, nie musisz odinstalować całej aktualizacji i zwrócić system do ostatniej znanej dobrej konfiguracji. Wycofasz tylko zmianę, która spowodowała problem. To wycofanie jest tymczasowe. Gdy firma Microsoft wyda nową aktualizację, która rozwiąże ten problem, wycofanie nie jest już konieczne.

Ważne

Zasady KIR mają zastosowanie tylko do aktualizacji niezwiązanych z zabezpieczeniami. Jest to spowodowane tym, że wycofywanie poprawki dla aktualizacji niezwiązanej z zabezpieczeniami nie powoduje powstania potencjalnej luki w zabezpieczeniach.

Firma Microsoft zarządza procesem wdrażania KIR dla urządzeń innych niż przedsiębiorstwa. W przypadku urządzeń w przedsiębiorstwie firma Microsoft udostępnia pliki MSI definicji zasad KIR. Przedsiębiorstwa mogą następnie używać zasad grupy do wdrażania numerów KIR w hybrydowych domenach microsoft Entra ID lub domena usługi Active Directory Services (AD DS).

Uwaga 16.

Aby zastosować tę zmianę zasad grupy, należy ponownie uruchomić komputery, których dotyczy problem.

Proces KIR

Jeśli firma Microsoft ustali, że aktualizacja niezwiązana z zabezpieczeniami ma krytyczną regresję lub podobny problem, firma Microsoft generuje kir. Firma Microsoft ogłasza kir na pulpicie nawigacyjnym kondycji systemu Windows i dodaje informacje do następujących lokalizacji:

W przypadku klientów niebędących przedsiębiorstwami proces usługi Windows Update automatycznie stosuje kir. Nie jest wymagana żadna akcja ze strony użytkownika.

W przypadku klientów korporacyjnych firma Microsoft udostępnia plik MSI definicji zasad. Klienci korporacyjni mogą propagować kir do systemów zarządzanych przy użyciu infrastruktury zasad grupy przedsiębiorstwa.

Aby wyświetlić przykład pliku MSI KIR, pobierz 031321 01.msi systemu Windows 10 (2004 i 20H2).

Definicja zasad KIR ma ograniczoną żywotność (co najwyżej kilka miesięcy). Po opublikowaniu przez firmę Microsoft zmienionej aktualizacji w celu rozwiązania oryginalnego problemu kir nie jest już konieczna. Definicję zasad można następnie usunąć z infrastruktury zasad grupy.

Stosowanie kiru na jednym urządzeniu przy użyciu zasad grupy

Aby zastosować kir do jednego urządzenia przy użyciu zasad grupy, wykonaj następujące kroki:

  1. Pobierz plik MSI definicji zasad KIR na urządzenie.

    Ważne

    Upewnij się, że system operacyjny wymieniony w nazwie pliku .msi jest zgodny z systemem operacyjnym urządzenia, które chcesz zaktualizować.

  2. Uruchom plik .msi na urządzeniu. Ta akcja powoduje zainstalowanie definicji zasad KIR w szablonie administracyjnym.
  3. Otwórz Edytora lokalnych zasad grupy. W tym celu wybierz pozycję Start, a następnie wprowadź ciąg gpedit.msc.
  4. Wybierz pozycję Konfiguracja komputera lokalnego Konfiguracja>komputera>Szablony>administracyjne KB ####### Problem XXX wycofywania>systemu Windows 10 w wersji YYMM.

    Uwaga 16.

    W tym kroku ####### jest numer artykułu bazy wiedzy aktualizacji, który spowodował problem. XXX to numer problemu, a YYMM jest numerem wersji systemu Windows 10.

  5. Kliknij prawym przyciskiem myszy zasady, a następnie wybierz polecenie Edytuj>wyłączone>OK.
  6. Uruchom urządzenie ponownie.

Aby uzyskać więcej informacji na temat korzystania z edytora lokalnych zasad grupy, zobacz Praca z ustawieniami zasad szablonu administracyjnego przy użyciu Edytora lokalnych zasad grupy.

Stosowanie kiru do urządzeń w hybrydowej domenie microsoft Entra ID lub AD DS przy użyciu zasad grupy

Aby zastosować definicję zasad KIR do urządzeń należących do hybrydowego identyfikatora Microsoft Entra ID lub domeny usług AD DS, wykonaj następujące kroki:

  1. Pobieranie i instalowanie plików MSI KIR
  2. Utwórz obiekt zasad grupy (GPO).
  3. Utwórz i skonfiguruj filtr usługi WMI, który stosuje obiekt zasad grupy.
  4. Połącz obiekt zasad grupy i filtr WMI.
  5. Skonfiguruj obiekt zasad grupy.
  6. Monitoruj wyniki obiektu zasad grupy.

1. Pobieranie i instalowanie plików MSI KIR

  1. Sprawdź informacje o wersji kir lub listę znanych problemów, aby określić, które wersje systemu operacyjnego należy zaktualizować.
  2. Pobierz definicję zasad KIR .msi plików, które są wymagane do aktualizacji komputera używanego do zarządzania zasadami grupy dla domeny.
  3. Uruchom pliki .msi. Ta akcja powoduje zainstalowanie definicji zasad KIR w szablonie administracyjnym.

    Uwaga 16.

    Definicje zasad są instalowane w folderze C:\Windows\PolicyDefinitions . Jeśli zaimplementowano magazyn centralny zasad grupy, należy skopiować pliki admx i adml do magazynu centralnego.

2. Tworzenie obiektu zasad grupy

  1. Otwórz konsolę zarządzania zasadami grupy, a następnie wybierz pozycję Las: Domeny DomainName>.
  2. Kliknij prawym przyciskiem myszy nazwę domeny, a następnie wybierz pozycję Utwórz obiekt zasad grupy w tej domenie i połącz go tutaj.
  3. Wprowadź nazwę nowego obiektu zasad grupy (na przykład KIR Problem XXX), a następnie wybierz przycisk OK.

Aby uzyskać więcej informacji na temat tworzenia obiektów zasad grupy, zobacz Tworzenie obiektu zasad grupy.

3. Utwórz i skonfiguruj filtr usługi WMI, który stosuje obiekt zasad grupy

  1. Kliknij prawym przyciskiem myszy pozycję Filtry WMI, a następnie wybierz pozycję Nowy.

  2. Wprowadź nazwę nowego filtru WMI.

  3. Wprowadź opis filtru WMI, na przykład Filtruj do wszystkich urządzeń z systemem Windows 10 w wersji 2004.

  4. Wybierz Dodaj.

  5. W polu Zapytanie wprowadź następujący ciąg zapytania:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Ważne

    W tym ciągu <VersionNumber> reprezentuje wersję systemu Windows, do której ma być stosowany obiekt zasad grupy. Numer wersji musi używać następującego formatu (wyklucz nawiasy w przypadku użycia numeru w ciągu):

    10.0.xxxxx

    gdzie xxxxx jest liczbą pięciocyfrową. Obecnie usługi KIR obsługują następujące wersje:

    Wersja Numer kompilacji
    Windows 10, wersja 20H2 10.0.19042
    Windows 10 w wersji 2004 10.0.19041
    Windows 10, wersja 1909 10.0.18363
    Windows 10, wersja 1903 10.0.18362
    Windows 10, wersja 1809 10.0.17763

    Aby uzyskać aktualną listę wersji systemu Windows i numerów kompilacji, zobacz Windows 10 — informacje o wersji.

    Ważne

    Numery kompilacji wymienione na stronie informacji o wersji systemu Windows 10 nie zawierają prefiksu 10.0 . Aby użyć numeru kompilacji w zapytaniu, należy dodać prefiks 10.0 .

Aby uzyskać więcej informacji na temat tworzenia filtrów usługi WMI, zobacz Create WMI Filters for the GPO (Tworzenie filtrów WMI dla obiektu zasad grupy).

  1. Wybierz utworzony wcześniej obiekt zasad grupy, otwórz menu Filtrowanie WMI, a następnie wybierz właśnie utworzony filtr WMI.
  2. Wybierz pozycję Tak , aby zaakceptować filtr.

5. Konfigurowanie obiektu zasad grupy

Edytuj obiekt zasad grupy, aby użyć zasad aktywacji kir:

  1. Kliknij prawym przyciskiem myszy utworzony wcześniej obiekt zasad grupy, a następnie wybierz polecenie Edytuj.
  2. W Edytorze zasad grupy wybierz pozycję GPOName>Konfiguracja>komputera Szablony>administracyjne KB ####### Problem XXX Wycofywanie>systemu Windows 10 w wersji YYMM.
  3. Kliknij prawym przyciskiem myszy zasady, a następnie wybierz polecenie Edytuj>wyłączone>OK.

Aby uzyskać więcej informacji na temat edytowania obiektów zasad grupy, zobacz Edytowanie obiektu zasad grupy z konsoli zarządzania zasadami grupy.

6. Monitorowanie wyników obiektu zasad grupy

W domyślnej konfiguracji zasad grupy zarządzane urządzenia powinny stosować nowe zasady w ciągu 90 do 120 minut. Aby przyspieszyć ten proces, można uruchomić gpupdate na urządzeniach, których dotyczy problem, aby ręcznie sprawdzić zaktualizowane zasady.

Upewnij się, że każde urządzenie, którego dotyczy problem, zostanie uruchomione ponownie po jego użyciu.

Ważne

Poprawka, która wprowadziła problem, jest wyłączona po zainstalowaniu zasad przez urządzenie, a następnie ponownym uruchomieniu.

Wdrażanie aktywacji KIR przy użyciu pozyskiwania zasad ADMX w usłudze Microsoft Intune na urządzeniach zarządzanych

Uwaga 16.

Aby użyć rozwiązań w tej sekcji, należy zainstalować aktualizację zbiorczą wydaną 26 lipca 2022 r. lub nowszą na komputerze.

Zasady grupy i obiekty zasad grupy nie są zgodne z rozwiązaniami opartymi na zarządzaniu urządzeniami przenośnymi (MDM), takimi jak Microsoft Intune. Te instrukcje przeprowadzą Cię przez proces korzystania z ustawień niestandardowych usługi Intune na potrzeby pozyskiwania i konfigurowania zasad MDM opartych na usłudze ADMX w celu przeprowadzenia aktywacji kir bez wymagania obiektu zasad grupy.

Aby przeprowadzić aktywację KIR na urządzeniach zarządzanych przez usługę Intune, wykonaj następujące kroki:

  1. Pobierz i zainstaluj plik MSI KIR, aby pobrać pliki ADMX.
  2. Utwórz niestandardowy profil konfiguracji w usłudze Microsoft Intune.
  3. Monitorowanie aktywacji kir.

1. Pobierz i zainstaluj plik MSI KIR, aby pobrać pliki ADMX

  1. Sprawdź informacje o wersji kir lub listę znanych problemów, aby zidentyfikować wersje systemu operacyjnego, które należy zaktualizować.

  2. Pobierz wymaganą definicję zasad KIR .msi plików na maszynie używanej do logowania się do usługi Microsoft Intune.

    Uwaga 16.

    Będziesz potrzebować dostępu do zawartości pliku ADMX aktywacji KIR.

  3. .msi Uruchom pliki. Ta akcja powoduje zainstalowanie definicji zasad KIR w szablonie administracyjnym.

    Uwaga 16.

    Definicje zasad są instalowane w folderze C:\Windows\PolicyDefinitions .

    Jeśli chcesz wyodrębnić pliki ADMX do innej lokalizacji, użyj msiexec polecenia z właściwością TARGETDIR . Na przykład:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Tworzenie niestandardowego profilu konfiguracji w usłudze Microsoft Intune

Aby skonfigurować urządzenia do przeprowadzania aktywacji kir, należy utworzyć niestandardowy profil konfiguracji dla każdego systemu operacyjnego zarządzanych urządzeń. Aby utworzyć profil niestandardowy, wykonaj następujące kroki:

  1. Wybierz właściwości i dodaj podstawowe informacje o profilu.
  2. Dodaj niestandardowe ustawienie konfiguracji do pozyskiwania plików ADMX na potrzeby aktywacji KIR.
  3. Dodaj niestandardowe ustawienie konfiguracji, aby ustawić nowe zasady aktywacji KIR.
  4. Przypisz urządzenia do niestandardowego profilu konfiguracji aktywacji KIR.
  5. Użyj reguł stosowania do urządzeń docelowych w celu odbierania niestandardowych ustawień konfiguracji KIR według systemu operacyjnego.
  6. Przejrzyj i utwórz niestandardowy profil konfiguracji aktywacji KIR.

Odp. Wybieranie właściwości i dodawanie podstawowych informacji o profilu

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Profile>konfiguracji urządzeń>Utwórz profil.

  3. Wybierz następujące właściwości:

    • Platforma: Windows 10 lub nowszy
    • Profil: szablony>niestandardowe

  4. Wybierz pozycję Utwórz.

  5. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę zasad. Nazwij zasady, aby można było je łatwo zidentyfikować później. Na przykład dobrą nazwą zasad jest "Aktywacja KIR 04/30 — Windows 10 21H2".
    • Opis: wprowadź opis zasad. To ustawienie jest opcjonalne, ale zalecane.

    Uwaga 16.

    Typ platformy i profilu powinien mieć już wybrane wartości.

  6. Wybierz Dalej.

Uwaga 16.

Aby uzyskać więcej informacji na temat tworzenia niestandardowych profilów konfiguracji i ustawień konfiguracji, zobacz Używanie niestandardowych ustawień urządzeń w usłudze Microsoft Intune.

Przed przejściem do następnych dwóch kroków otwórz plik ADMX w edytorze tekstów (na przykład Notatnik), w którym wyodrębniono plik. Plik ADMX powinien znajdować się w ścieżce C:\Windows\PolicyDefinitions , jeśli został zainstalowany jako plik MSI.

Oto przykład pliku ADMX:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Rejestruj wartości dla policy name i parentCategory. Te informacje są w węźle "zasady" na końcu pliku.

B. Dodawanie niestandardowego ustawienia konfiguracji w celu pozyskiwania plików ADMX na potrzeby aktywacji KIR

To ustawienie konfiguracji służy do instalowania zasad aktywacji KIR na urządzeniach docelowych. Wykonaj następujące kroki, aby dodać ustawienia pozyskiwania adMX:

  1. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj.

  2. Wpisz następujące właściwości:

    • Nazwa: wprowadź opisową nazwę ustawienia konfiguracji. Nazwij ustawienia, aby można je było łatwo zidentyfikować później. Na przykład dobrą nazwą ustawienia jest "Pozyskiwanie ADMX: aktywacja KIR 04/30 — Windows 10 21H2".

    • Opis: wprowadź opis ustawienia. To ustawienie jest opcjonalne, ale zalecane.

    • OMA-URI: wprowadź ciąg ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/ADMX Policy/<ADMX Policy>.

      Uwaga 16.

      Zastąp ciąg <ADMX Nazwa> zasad wartością zarejestrowanej nazwy zasad z pliku ADMX. Na przykład "KB5011563_220428_2000_1_KnownIssueRollback".

    • Typ danych: wybierz pozycję Ciąg.

    • Wartość: Otwórz plik ADMX za pomocą edytora tekstów (na przykład Notatnika). Skopiuj i wklej całą zawartość pliku ADMX, który zamierzasz pozyskać w tym polu.

  3. Wybierz pozycję Zapisz.

C. Dodawanie niestandardowego ustawienia konfiguracji w celu ustawienia nowych zasad aktywacji KIR

To ustawienie konfiguracji służy do konfigurowania zasad aktywacji KIR zdefiniowanych w poprzednim kroku.

Wykonaj następujące kroki, aby dodać ustawienia konfiguracji aktywacji KIR:

  1. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj.

  2. Wpisz następujące właściwości:

    • Nazwa: wprowadź opisową nazwę ustawienia konfiguracji. Nazwij ustawienia, aby można je było łatwo zidentyfikować później. Na przykład dobrą nazwą ustawienia jest "Aktywacja KIR: aktywacja KIR 04/30 KIR — Windows 10 21H2".

    • Opis: wprowadź opis ustawienia. To ustawienie jest opcjonalne, ale zalecane.

    • OMA-URI: wprowadź ciąg ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/ADMX Policy Name(Nazwa> zasad ADMX).<

      Uwaga 16.

      Zastąp <element Kategoria> nadrzędna ciągiem kategorii nadrzędnej zapisanym w poprzednim kroku. Na przykład "KnownIssueRollback_Win_11". Zastąp wartość <ADMX Nazwa> zasad tą samą nazwą zasad używaną w poprzednim kroku.

    • Typ danych: wybierz pozycję Ciąg.

    • Wartość: Wprowadź <wartość disabled/>.

  3. Wybierz pozycję Zapisz.

  4. Wybierz Dalej.

D. Przypisywanie urządzeń do niestandardowego profilu konfiguracji aktywacji KIR

Po zdefiniowaniu niestandardowego profilu konfiguracji wykonaj następujące kroki, aby określić, które urządzenia zostaną skonfigurowane:

  1. W obszarze Przypisania wybierz pozycję Dodaj wszystkie urządzenia.
  2. Wybierz Dalej.

E. Używanie reguł stosowania do urządzeń docelowych w celu odbierania niestandardowych ustawień konfiguracji KIR przez system operacyjny

Aby kierować urządzenia według systemu operacyjnego, które mają zastosowanie do gp, dodaj regułę stosowania, aby sprawdzić wersję systemu operacyjnego urządzenia (kompilacja) przed zastosowaniem tej konfiguracji. Numery kompilacji dla obsługiwanego systemu operacyjnego można wyszukać na następujących stronach:

Numery kompilacji wyświetlane na stronach są formatowane jako MMMMM.mmmm (M= wersja główna i m= wersja pomocnicza). Właściwości Wersja systemu operacyjnego używają cyfr wersji głównej. Wartości wersji systemu operacyjnego wprowadzone w regułach stosowania powinny być sformatowane jako "10.0.MMMMM". Na przykład "10.0.22000".

Postępuj zgodnie z tymi instrukcjami, aby ustawić prawidłowe reguły stosowania dla aktywacji KIR:

  1. W obszarze Reguły stosowania utwórz regułę stosowania, wprowadzając następujące właściwości na pustej regule już na stronie:

    • Reguła: wybierz pozycję Przypisz profil, jeśli z listy rozwijanej.
    • Właściwość: Wybierz wersję systemu operacyjnego z listy rozwijanej.
    • Wartość: wprowadź minimalną i maksymalną liczbę wersji systemu operacyjnego sformatowaną jako "10.0.MMMMM".

  2. Wybierz Dalej.

Uwaga 16.

Wersję systemu operacyjnego urządzenia można znaleźć, uruchamiając winver polecenie z menu Start. Zostanie wyświetlony dwuczęściowy numer wersji oddzielony znakami ".". Na przykład "22000.613". Możesz dołączyć lewą liczbę do "10.0". dla minimalnej wersji systemu operacyjnego. Uzyskaj numer maksymalnej wersji systemu operacyjnego, dodając wartość 1 do ostatniej cyfry numeru wersji systemu operacyjnego Min. W tym przykładzie można użyć następujących wartości:
Minimalna wersja systemu operacyjnego: "10.0.22000"
Maksymalna wersja systemu operacyjnego: "10.0.22001"

F. Przeglądanie i tworzenie niestandardowego profilu konfiguracji aktywacji KIR

Przejrzyj ustawienia niestandardowego profilu konfiguracji i wybierz pozycję Utwórz.

3. Monitorowanie aktywacji kir

Aktywacja KIR powinna być teraz w toku. Wykonaj następujące kroki, aby monitorować postęp profilu konfiguracji:

  1. Przejdź do pozycji Profile konfiguracji urządzeń>i wybierz istniejący profil. Na przykład wybierz profil systemu macOS.

  2. Wybierz kartę Przegląd . W tym widoku stan przypisania profilu obejmuje następujące stany:

    • Powodzenie: zasady zostały pomyślnie zastosowane.
    • Błąd: Nie można zastosować zasad. Komunikat zazwyczaj wyświetla kod błędu, który łączy się z wyjaśnieniem.
    • Konflikt: dwa ustawienia są stosowane do tego samego urządzenia, a usługa Intune nie może rozwiązać konfliktu. Administrator powinien przejrzeć konflikt.
    • Oczekujące: urządzenie nie zostało jeszcze zaewidencjonowane w usłudze Intune w celu odebrania zasad.
    • Nie dotyczy: urządzenie nie może odebrać zasad. Na przykład zasady aktualizują ustawienie specyficzne dla systemu iOS 11.1, ale urządzenie korzysta z systemu iOS 10.

Aby uzyskać więcej informacji, zobacz Monitorowanie profilów konfiguracji urządzeń w usłudze Microsoft Intune.

Więcej informacji