Поделиться через

Как использовать групповую политику для развертывания отката известных проблем

  • Статья

В этой статье описывается, как настроить групповую политику для использования определения политики отката известных проблем (KIR), которая активирует KIR на управляемых устройствах.

Область применения: Windows Server (все поддерживаемые версии), клиент Windows (все поддерживаемые версии)

Итоги

Корпорация Майкрософт разработала новую технологию обслуживания Windows, которая называется KIR для Windows Server 2019 и Windows 10, версий 1809 и более поздних версий. Для поддерживаемых версий Windows kir откатывает определенное изменение, которое было применено в рамках выпуска Обновл. Windows небезопасности. Все остальные изменения, внесенные в этот выпуск, остаются неизменными. При использовании этой технологии, если обновление Windows приводит к регрессии или другой проблеме, вам не нужно удалить все обновление и вернуть систему в последнюю известную хорошую конфигурацию. Откат отката только изменения, вызвавшего проблему. Этот откат является временным. После выпуска нового обновления, которое устраняет проблему, откат больше не требуется.

Внимание

KIR применяются только к обновлениям, не относящихся к безопасности. Это связано с тем, что откат исправления для обновления небезопасности не создает потенциальную уязвимость безопасности.

Корпорация Майкрософт управляет процессом развертывания KIR для устройств, не являющихся корпоративными. Для корпоративных устройств корпорация Майкрософт предоставляет MSI-файлы определения политики KIR. Затем предприятия могут использовать групповую политику для развертывания КИП в гибридных доменах идентификатора Microsoft Entra ID или домен Active Directory Services (AD DS).

Примечание.

Чтобы применить это изменение групповой политики, необходимо перезапустить затронутые компьютеры.

Процесс KIR

Если корпорация Майкрософт определяет, что обновление небезопасности имеет критическое регрессию или аналогичную проблему, корпорация Майкрософт создает KIR. Корпорация Майкрософт объявляет KIR на панели мониторинга работоспособности Windows и добавляет сведения в следующие расположения:

Для клиентов, не являющихся корпоративными, процесс Обновл. Windows применяется автоматически. Вмешательство пользователя не требуется.

Для корпоративных клиентов корпорация Майкрософт предоставляет MSI-файл определения политики. Корпоративные клиенты могут распространять КИР в управляемые системы с помощью инфраструктуры корпоративной групповой политики.

Чтобы просмотреть пример MSI-файла KIR, скачайте windows 10 (2004 и 20H2) известные 031321 01.msi проблемы.

Определение политики KIR имеет ограниченный срок жизни (не более нескольких месяцев). После публикации обновления, измененного корпорацией Майкрософт для решения исходной проблемы, кир больше не требуется. Затем определение политики можно удалить из инфраструктуры групповой политики.

Применение KIR к одному устройству с помощью групповой политики

Чтобы использовать групповую политику для применения KIR к одному устройству, выполните следующие действия.

  1. Скачайте MSI-файл определения политики KIR на устройство.

    Внимание

    Убедитесь, что операционная система, указанная в имени файла .msi, соответствует операционной системе устройства, которое требуется обновить.

  2. Запустите файл .msi на устройстве. Это действие устанавливает определение политики KIR в административном шаблоне.
  3. Откройте редактор локальной групповой политики. Для этого нажмите кнопку "Пуск" и введите gpedit.msc.
  4. Выберите административные шаблоны конфигурации компьютера локальной>политики>компьютеров>KB ####### Issue XXX Rollback>Windows 10 версии YYMM.

    Примечание.

    На этом шаге ####### приведен номер статьи базы знаний об обновлении, вызвавшего проблему. XXX — номер проблемы, а YMM — номер версии Windows 10.

  5. Щелкните правой кнопкой мыши политику и нажмите кнопку "Изменить>отключено".>
  6. Перезапустите устройство.

Дополнительные сведения об использовании редактора локальной групповой политики см. в разделе "Работа с параметрами политики административных шаблонов" с помощью редактора локальной групповой политики.

Применение KIR к устройствам в гибридном домене Microsoft Entra ID или AD DS с помощью групповой политики

Чтобы применить определение политики KIR к устройствам, принадлежащим гибридному домену Microsoft Entra ID или ДОМЕН AD DS, выполните следующие действия.

  1. Скачивание и установка MSI-файлов KIR
  2. Создайте объект групповой политики (GPO).
  3. Создайте и настройте фильтр WMI, который применяет объект групповой политики.
  4. Связывание объекта групповой политики и фильтра WMI.
  5. Настройте объект групповой политики.
  6. Отслеживайте результаты групповой политики.

1. Скачивание и установка MSI-файлов KIR

  1. Проверьте сведения о выпуске KIR или известные списки проблем, чтобы определить, какие версии операционной системы необходимо обновить.
  2. Скачайте определение политики KIR .msi файлы, которые требуется обновить на компьютере, который используется для управления групповой политикой для вашего домена.
  3. Запустите файлы .msi. Это действие устанавливает определение политики KIR в административном шаблоне.

    Примечание.

    Определения политик устанавливаются в папку C:\Windows\PolicyDefinitions . Если вы реализовали центральное хранилище групповой политики, необходимо скопировать файлы ADMX и ADML в Центральное хранилище.

2. Создание объекта групповой политики

  1. Откройте консоль управления групповыми политиками и выберите "Лес: домены доменов".>
  2. Щелкните правой кнопкой мыши имя домена и выберите команду "Создать объект групповой политики" в этом домене и связать его здесь.
  3. Введите имя нового объекта групповой политики (например, KIR Issue XXX), а затем нажмите кнопку "ОК".

Дополнительные сведения о создании объектов групповой политики см. в разделе "Создание объекта групповой политики".

3. Создание и настройка фильтра WMI, применяющего объект групповой политики

  1. Щелкните правой кнопкой мыши фильтры WMI и нажмите кнопку "Создать".

  2. Введите имя нового фильтра WMI.

  3. Введите описание фильтра WMI, например фильтр для всех устройств Windows 10 версии 2004.

  4. Выберите Добавить.

  5. В поле "Запрос" введите следующую строку запроса:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Внимание

    В этой строке <VersionNumber> представляет версию Windows, к которой требуется применить объект групповой политики. Номер версии должен использовать следующий формат (исключить квадратные скобки при использовании номера в строке):

    10.0.xxxxx

    где xxxxx — это пять цифр. В настоящее время KIR поддерживают следующие версии:

    Версия Номер сборки
    Windows 10 версии 20H2 10.0.19042
    Windows 10 версии 2004 10.0.19041
    Windows 10 версии 1909 10.0.18363
    Windows 10 версии 1903 10.0.18362
    Windows 10, версия 1809 10.0.17763

    Актуальные сведения о выпусках Windows и номерах сборки см. в разделе Windows 10 — сведения о выпуске.

    Внимание

    Номера сборки, перечисленные на странице сведений о выпуске Windows 10, не включают префикс 10.0 . Чтобы использовать номер сборки в запросе, необходимо добавить префикс 10.0 .

Дополнительные сведения о создании фильтров WMI см. в разделе "Создание фильтров WMI" для объекта групповой политики.

  1. Выберите созданный ранее объект групповой политики, откройте меню фильтрации WMI и выберите только что созданный фильтр WMI.
  2. Нажмите кнопку "Да" , чтобы принять фильтр.

5. Настройка объекта групповой политики

Измените объект групповой политики, чтобы использовать политику активации KIR:

  1. Щелкните правой кнопкой мыши созданный ранее объект групповой политики и выберите пункт "Изменить".
  2. В редакторе групповой политики выберите административные шаблоны>конфигурации>компьютера GPOName>KB ####### Issue XXX Rollback>Windows 10 версии YYMM.
  3. Щелкните правой кнопкой мыши политику и нажмите кнопку "Изменить>отключено".>

Дополнительные сведения об изменении объектов групповой политики см. в разделе "Изменение объекта групповой политики" из GPMC.

6. Мониторинг результатов групповой политики

В конфигурации групповой политики по умолчанию управляемые устройства должны применять новую политику в течение 90 до 120 минут. Чтобы ускорить этот процесс, можно запустить gpupdate на затронутых устройствах, чтобы вручную проверить наличие обновленных политик.

Убедитесь, что все затронутые устройства перезапускаются после применения политики.

Внимание

Исправление, которое ввело проблему, отключается после применения политики и перезапуска устройства.

Развертывание активации KIR с помощью политики ADMX Microsoft Intune на управляемых устройствах

Примечание.

Чтобы использовать решения в этом разделе, необходимо установить накопительное обновление, выпущенное 26 июля 2022 г. или более поздней версии на компьютере.

Групповые политики и объекты групповой политики несовместимы с решениями на основе управления мобильными устройствами (MDM), такими как Microsoft Intune. Эти инструкции помогут вам использовать пользовательские параметры Intune для приема ADMX и настроить политики многомерных выражений ADMX для активации KIR без необходимости групповой политики.

Чтобы выполнить активацию KIR на управляемых устройствах Intune, выполните следующие действия.

  1. Скачайте и установите MSI-файл KIR, чтобы получить файлы ADMX.
  2. Создайте настраиваемый профиль конфигурации в Microsoft Intune.
  3. Мониторинг активации KIR.

1. Скачайте и установите MSI-файл KIR для получения файлов ADMX

  1. Проверьте сведения о выпуске KIR или известные списки проблем, чтобы определить, какие версии операционной системы (ОС) необходимо обновить.

  2. Скачайте необходимое определение политики KIR .msi файлы на компьютере, который вы используете для входа в Microsoft Intune.

    Примечание.

    Вам потребуется доступ к содержимому файла ADMX активации KIR.

  3. .msi Запустите файлы. Это действие устанавливает определение политики KIR в административном шаблоне.

    Примечание.

    Определения политик устанавливаются в папку C:\Windows\PolicyDefinitions .

    Если вы хотите извлечь файлы ADMX в другое расположение, используйте msiexec команду со свойством TARGETDIR . Например:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Создание пользовательского профиля конфигурации в Microsoft Intune

Чтобы настроить устройства для активации KIR, необходимо создать настраиваемый профиль конфигурации для каждой ОС управляемых устройств. Чтобы создать пользовательский профиль, выполните следующие действия.

  1. Выберите свойства и добавьте основные сведения профиля.
  2. Добавьте настраиваемый параметр конфигурации для приема файлов ADMX для активации KIR.
  3. Добавьте настраиваемый параметр конфигурации, чтобы задать новую политику активации KIR.
  4. Назначьте устройства пользовательскому профилю конфигурации активации KIR.
  5. Используйте правила применимости для целевых устройств для получения пользовательских параметров конфигурации KIR операционной системой.
  6. Просмотрите и создайте настраиваемый профиль конфигурации активации KIR.

А. Выбор свойств и добавление основных сведений о профиле

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите профили конфигурации устройств>>.

  3. Выберите следующие свойства:

    • Платформа: Windows 10 и более поздних версий
    • Профиль: пользовательские шаблоны>

  4. Нажмите кнопку создания.

  5. В разделе "Основы" введите следующие свойства:

    • Имя: введите описательное имя политики. Назовите политики, чтобы их можно было легко идентифицировать позже. Например, хорошее имя политики — "активация 04/30 KIR — Windows 10 21H2".
    • Описание. Введите описание политики. Этот параметр является необязательным, но рекомендуется.

    Примечание.

    Тип платформы и профиля уже должен иметь выбранные значения.

  6. Выберите Далее.

Примечание.

Дополнительные сведения о создании настраиваемых профилей конфигурации и параметров конфигурации см. в разделе "Использование пользовательских параметров устройства" в Microsoft Intune.

Прежде чем перейти к следующим двум шагам, откройте файл ADMX в текстовом редакторе (например, Блокнот), где был извлечен файл. Файл ADMX должен находиться в пути C:\Windows\PolicyDefinitions , если он установлен в качестве MSI-файла.

Ниже приведен пример ADMX-файла:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Запишите значения для policy name и parentCategory. Эта информация находится в узле "Политики" в конце файла.

B. Добавление настраиваемого параметра конфигурации для приема файлов ADMX для активации KIR

Этот параметр конфигурации используется для установки политики активации KIR на целевых устройствах. Чтобы добавить параметры приема ADMX, выполните следующие действия.

  1. В параметрах конфигурации нажмите кнопку "Добавить".

  2. Введите следующие свойства:

    • Имя: введите описательное имя параметра конфигурации. Назовите параметры, чтобы их можно было легко определить позже. Например, хорошее имя параметра — ADMX Ingestion: 04/30 KIR Activation — Windows 10 21H2.

    • Описание. Введите описание параметра. Этот параметр является необязательным, но рекомендуется.

    • OMA-URI: введите строку ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/ADMX Policy/<ADMX Policy.>

      Примечание.

      Замените <имя> политики ADMX значением записанного имени политики из ADMX-файла. Например, "KB5011563_220428_2000_1_KnownIssueRollback".

    • Тип данных: выбор строки.

    • Значение: откройте ADMX-файл с текстовым редактором (например, Блокнот). Скопируйте и вставьте все содержимое файла ADMX, который планируется принять в это поле.

  3. Выберите Сохранить.

C. Добавление настраиваемого параметра конфигурации для установки новой политики активации KIR

Этот параметр конфигурации используется для настройки политики активации KIR, определенной на предыдущем шаге.

Чтобы добавить параметры конфигурации активации KIR, выполните следующие действия.

  1. В параметрах конфигурации нажмите кнопку "Добавить".

  2. Введите следующие свойства:

    • Имя: введите описательное имя параметра конфигурации. Назовите параметры, чтобы их можно было легко определить позже. Например, хорошее имя параметра — "АКТИВАЦИЯ KIR: 04/30 KIR — Windows 10 21H2".

    • Описание. Введите описание параметра. Этот параметр является необязательным, но рекомендуется.

    • OMA-URI: введите строку ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Примечание.

      Замените <родительскую категорию> строкой родительской категории, записанной на предыдущем шаге. Например, "KnownIssueRollback_Win_11". Замените <имя> политики ADMX тем же именем политики, которое используется на предыдущем шаге.

    • Тип данных: выбор строки.

    • Значение: введите <отключено/>.

  3. Выберите Сохранить.

  4. Выберите Далее.

D. Назначение устройств пользовательскому профилю конфигурации активации KIR

После определения пользовательских профилей конфигурации выполните следующие действия, чтобы определить, какие устройства вы настроите:

  1. В заданиях выберите "Добавить все устройства".
  2. Выберите Далее.

Е. Использование правил применимости для целевых устройств для получения пользовательских параметров конфигурации KIR по ОС

Чтобы нацелиться на устройства операционной системы, применимые к групповой политики, добавьте правило применимости, чтобы проверить версию ОС устройства (сборку) перед применением этой конфигурации. Вы можете найти номера сборки для поддерживаемой ОС на следующих страницах:

Номера сборки, отображаемые на страницах, форматируются как MMMMM.mmmm (M= основная версия и m= дополнительная версия). Свойства версии ОС используют основные цифры версий. Значения версии ОС, введенные в правила применимости, должны быть отформатированы как "10.0.MMMMM". Например, "10.0.22000".

Выполните следующие инструкции, чтобы задать правильные правила применимости для активации KIR:

  1. В правилах применимости создайте правило применимости, введя следующие свойства в пустом правиле, уже на странице:

    • Правило. Выберите "Назначить профиль", если в раскрывающемся списке.
    • Свойство: выберите версию ОС из раскрывающегося списка.
    • Значение: введите минимальное и максимальное число версий ОС, отформатированные как "10.0.MMMMM".

  2. Выберите Далее.

Примечание.

Версию ОС устройства можно найти, выполнив winver команду из меню . В нем будет отображаться номер двух частей версии, разделенный ".". Например, "22000.613". Для версии Min OS можно добавить левый номер в "10.0". Получите номер версии max OS, добавив 1 к последней цифре номера версии Min OS. В этом примере можно использовать следующие значения:
Минимальная версия ОС: "10.0.22000"
Максимальная версия ОС: "10.0.22001"

F. Просмотр и создание пользовательского профиля конфигурации активации KIR

Просмотрите параметры настраиваемого профиля конфигурации и нажмите кнопку "Создать".

3. Мониторинг активации KIR

Активация KIR должна выполняться сейчас. Выполните следующие действия, чтобы отслеживать ход выполнения профиля конфигурации:

  1. Перейдите к профилям конфигурации устройств>и выберите существующий профиль. Например, выберите профиль macOS.

  2. Перейдите на вкладку "Обзор ". В этом представлении состояние назначения профиля включает следующие состояния:

    • Успешно выполнено. Политика успешно применяется.
    • Ошибка. Не удалось применить политику. Обычно в сообщении отображается код ошибки, который ссылается на объяснение.
    • Конфликт: два параметра применяются к одному устройству, и Intune не может отсортировать конфликт. Администратор должен проверить конфликт.
    • Ожидание: устройство еще не зарегистрировано в Intune, чтобы получить политику.
    • Неприменимо. Устройство не может получить политику. Например, политика обновляет параметр, характерный для iOS 11.1, но устройство использует iOS 10.

Дополнительные сведения см. в разделе "Мониторинг профилей конфигурации устройств" в Microsoft Intune.

Дополнительная информация