通过

如何使用组策略部署已知问题回滚

  • 项目

本文介绍如何将组策略配置为使用在托管设备上激活 KIR 的已知问题回滚(KIR)策略定义。

适用于: Windows Server(所有支持的版本)、Windows 客户端(所有支持的版本)

总结

Microsoft开发了一种新的 Windows 服务技术,该技术名为 KIR for Windows Server 2019 和 Windows 10 版本 1809 及更高版本。 对于受支持的 Windows 版本,KIR 将回滚作为非安全Windows 更新版本的一部分应用的特定更改。 作为该版本的一部分所做的所有其他更改保持不变。 通过使用此技术,如果 Windows 更新导致回归或其他问题,则无需卸载整个更新并将系统返回到最后一个已知的良好配置。 仅回滚导致问题的更改。 此回滚是暂时的。 Microsoft发布修复问题的新更新后,不再需要回滚。

重要

KIR 仅适用于非安全更新。 这是因为回滚对非安全更新的修复不会造成潜在的安全漏洞。

Microsoft管理非企业设备的 KIR 部署过程。 对于企业设备,Microsoft提供 KIR 策略定义 MSI 文件。 然后,企业可以使用组策略在混合Microsoft Entra ID 或 Active Directory 域服务 (AD DS) 域中部署 KIR。

注意

必须重启受影响的计算机才能应用此组策略更改。

KIR 过程

如果Microsoft确定非安全更新存在严重回归或类似问题,Microsoft会生成 KIR。 Microsoft在 Windows 运行状况仪表板中宣布 KIR,并将信息添加到以下位置:

对于非企业客户,Windows 更新过程会自动应用 KIR。 不需要任何用户操作。

对于企业客户,Microsoft提供策略定义 MSI 文件。 企业客户可以使用企业组策略基础结构将 KIR 传播到托管系统。

若要查看 KIR MSI 文件的示例,请下载 Windows 10(2004 和 20H2)已知问题回滚031321 01.msi

KIR 策略定义具有有限的寿命(几个月,最多)。 Microsoft发布修订后的更新以解决原始问题后,不再需要 KIR。 然后,可以从组策略基础结构中删除策略定义。

使用组策略将 KIR 应用到单个设备

若要使用组策略将 KIR 应用到单个设备,请执行以下步骤:

  1. 将 KIR 策略定义 MSI 文件下载到设备。

    重要

    确保.msi文件名中列出的操作系统与要更新的设备操作系统匹配。

  2. 在设备上运行.msi文件。 此操作会在管理模板中安装 KIR 策略定义。
  3. 打开“本地组策略编辑器”。 为此,请选择“开始,然后输入 gpedit.msc
  4. 选择本地计算机策略>计算机配置>管理模板>KB ####### 问题 XXX 回滚>Windows 10 版本 YYMM。

    注意

    在此步骤中, ####### 是导致问题的更新的知识库文章号。 XXX 是问题编号, YYMM 是 Windows 10 版本号。

  5. 右键单击策略,然后选择“编辑>禁用的>确定”。
  6. 重启设备。

有关如何使用本地组策略编辑器的详细信息,请参阅 使用本地组策略编辑器处理管理模板策略设置。

使用组策略将 KIR 应用于混合Microsoft Entra ID 或 AD DS 域中的设备

若要将 KIR 策略定义应用于属于混合Microsoft Entra ID 或 AD DS 域的设备,请执行以下步骤:

  1. 下载并安装 KIR MSI 文件
  2. 创建组策略对象(GPO)。
  3. 创建并配置应用 GPO 的 WMI 筛选器。
  4. 链接 GPO 和 WMI 筛选器
  5. 配置 GPO
  6. 监视 GPO 结果

1.下载并安装 KIR MSI 文件

  1. 检查 KIR 版本信息或已知问题列表,以确定必须更新的操作系统版本。
  2. 下载 KIR 策略定义.msi需要更新到用于管理域组策略的计算机的文件。
  3. 运行.msi文件。 此操作会在管理模板中安装 KIR 策略定义。

    注意

    策略定义安装在 C:\Windows\PolicyDefinitions 文件夹中。 如果已实现组策略 中央存储,必须将 .admx 和 .adml 文件复制到 Central Store。

2.创建 GPO

  1. 打开组策略管理控制台,然后选择“林:DomainName>域”。
  2. 右键单击域名,然后选择 “在此域中创建 GPO”,然后将其链接到此处
  3. 输入新 GPO 的名称(例如 KIR 问题 XXX),然后选择“ 确定”。

有关如何创建 GPO 的详细信息,请参阅 “创建组策略对象”。

3.创建和配置应用 GPO 的 WMI 筛选器

  1. 右键单击 WMI 筛选器,然后选择“ 新建”。

  2. 输入新 WMI 筛选器的名称。

  3. 输入 WMI 筛选器的说明,例如 “筛选到所有 Windows 10 版本 2004 设备”。

  4. 选择 添加

  5. 查询中,输入以下查询字符串:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    重要

    在此字符串中, <VersionNumber> 表示希望 GPO 应用到的 Windows 版本。 版本号必须使用以下格式(在字符串中使用数字时排除括号):

    10.0.xxxxx

    其中 xxxxx 是 5 位数字。 目前,KIR 支持以下版本:

    版本 内部版本号
    Windows 10 Version 20H2 10.0.19042
    Windows 10 版本 2004 10.0.19041
    Windows 10 版本 1909 10.0.18363
    Windows 10 版本 1903 10.0.18362
    Windows 10 版本 1809 10.0.17763

    有关 Windows 版本和内部版本号的最新列表,请参阅 Windows 10 - 发布信息

    重要

    Windows 10 版本信息页上列出的内部版本号不包括 10.0 前缀。 若要在查询中使用内部版本号,必须添加 10.0 前缀。

有关如何创建 WMI 筛选器的详细信息,请参阅 为 GPO 创建 WMI 筛选器。

  1. 选择之前创建的 GPO,打开 WMI 筛选菜单,然后选择刚刚创建的 WMI 筛选器。
  2. 选择“是以接受筛选器。

5.配置 GPO

编辑 GPO 以使用 KIR 激活策略:

  1. 右键单击之前创建的 GPO,然后选择“编辑”。
  2. 在组策略编辑器中,选择 GPOName>计算机配置>管理模板>KB ####### 问题 XXX 回滚>Windows 10 版本 YYMM。
  3. 右键单击策略,然后选择“编辑>禁用的>确定”。

有关如何编辑 GPO 的详细信息,请参阅 从 GPMC 编辑组策略对象。

6.监视 GPO 结果

在组策略的默认配置中,托管设备应在 90 到 120 分钟内应用新策略。 若要加快此过程,可以在受影响的设备上运行 gpupdate ,以手动检查更新的策略。

确保每个受影响的设备在应用策略后重启。

重要

在设备应用策略,然后重启后,将禁用引入问题的修补程序。

使用 Microsoft Intune ADMX 策略引入到托管设备部署 KIR 激活

注意

若要使用本部分中的解决方案,必须在 2022 年 7 月 26 日或更高版本的计算机上安装累积更新。

组策略和 GPO 与基于移动设备管理(MDM)的解决方案不兼容,例如Microsoft Intune。 这些说明将指导你如何使用 Intune 自定义设置 进行 ADMX 引入 ,并配置 ADMX 支持的 MDM 策略 来执行 KIR 激活,而无需 GPO。

若要在 Intune 托管设备上执行 KIR 激活,请执行以下步骤:

  1. 下载并安装 KIR MSI 文件以获取 ADMX 文件
  2. 在 Microsoft Intune 中创建自定义配置文件。
  3. 监视 KIR 激活

1.下载并安装 KIR MSI 文件以获取 ADMX 文件

  1. 检查 KIR 版本信息或已知问题列表,以确定必须更新的操作系统(OS)版本。

  2. 下载用于登录 Microsoft Intune 的计算机上的所需 KIR 策略定义.msi文件。

    注意

    需要访问 KIR 激活 ADMX 文件的内容。

  3. .msi运行文件。 此操作会在管理模板中安装 KIR 策略定义。

    注意

    策略定义安装在 C:\Windows\PolicyDefinitions 文件夹中。

    如果要将 ADMX 文件提取到另一个位置,请使用msiexec具有 TARGETDIR 属性的命令。 例如:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. 在 Microsoft Intune 中创建自定义配置文件

若要将设备配置为执行 KIR 激活,需要为托管设备的每个 OS 创建自定义配置文件。 若要创建自定义配置文件,请执行以下步骤:

  1. 选择属性并添加配置文件的基本信息。
  2. 添加自定义配置设置以引入用于 KIR 激活的 ADMX 文件。
  3. 添加自定义配置设置以设置新的 KIR 激活策略
  4. 将设备分配到 KIR 激活自定义配置文件
  5. 使用适用性规则将设备定向到 OS 接收 KIR 自定义配置设置。
  6. 查看并创建 KIR 激活自定义配置文件

A. 选择属性并添加有关配置文件的基本信息

  1. 登录 Microsoft Intune 管理中心

  2. 选择“设备>配置文件>创建配置文件”。

  3. 选择以下属性:

    • 平台Windows 10 及更高版本
    • 配置文件模板>自定义

  4. 选择创建

  5. 在“基础”中,输入以下属性:

    • 名称:输入策略的描述性名称。 命名策略,以便以后可以轻松识别它们。 例如,良好的策略名称为“04/30 KIR 激活 – Windows 10 21H2”。
    • 描述:输入策略的描述。 此设置是可选的,但建议使用。

    注意

    平台配置文件类型 应已选择值。

  6. 选择下一步

注意

有关创建自定义配置文件和配置设置的详细信息,请参阅 Microsoft Intune 中使用自定义设备设置。

在继续执行后续两个步骤之前,请在提取文件的文本编辑器(例如记事本)中打开 ADMX 文件。 如果将其作为 MSI 文件安装,ADMX 文件应位于路径 C:\Windows\PolicyDefinitions 中。

下面是 ADMX 文件的示例:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

记录其值 policy nameparentCategory。 此信息位于文件末尾的“policies”节点中。

B. 添加自定义配置设置以引入用于 KIR 激活的 ADMX 文件

此配置设置用于在目标设备上安装 KIR 激活策略。 按照以下步骤添加 ADMX 引入设置:

  1. 配置设置中,选择“ 添加”。

  2. 输入以下属性:

    • 名称:输入配置设置的描述性名称。 为设置命名,以便稍后可以轻松识别这些设置。 例如,良好的设置名称是“ADMX 引入:04/30 KIR 激活 – Windows 10 21H2”。

    • 说明:输入设置的说明。 此设置是可选的,但建议使用。

    • OMA-URI:输入字符串 ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX 策略名称>

      注意

      将 ADMX 策略名称>替换为 <ADMX 文件中记录的策略名称的值。 例如,“KB5011563_220428_2000_1_KnownIssueRollback”。

    • 数据类型:选择 字符串

    • :使用文本编辑器打开 ADMX 文件(例如记事本)。 复制并粘贴要引入到此字段中的 ADMX 文件的全部内容。

  3. 选择“保存”。

°C 添加自定义配置设置以设置新的 KIR 激活策略

此配置设置用于配置上一步中定义的 KIR 激活策略。

按照以下步骤添加 KIR 激活配置设置:

  1. 配置设置中,选择“ 添加”。

  2. 输入以下属性:

    • 名称:输入配置设置的描述性名称。 为设置命名,以便稍后可以轻松识别这些设置。 例如,良好的设置名称是“KIR 激活:04/30 KIR 激活 – Windows 10 21H2”。

    • 说明:输入设置的说明。 此设置是可选的,但建议使用。

    • OMA-URI:输入字符串 ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX 策略名称>

      注意

      将父类别>替换为<上一步中记录的父类别字符串。 例如,“KnownIssueRollback_Win_11”。 将 ADMX 策略名称>替换为<上一步中使用的相同策略名称。

    • 数据类型:选择 字符串

    • :输入 <已禁用/>

  3. 选择“保存”。

  4. 选择下一步

D. 将设备分配到 KIR 激活自定义配置文件

定义自定义配置文件执行的操作后,请按照以下步骤确定要配置的设备:

  1. “分配”中,选择“ 添加所有设备”。
  2. 选择下一步

E. 使用适用性规则将设备定向到 OS 接收 KIR 自定义配置设置

若要根据适用于 GP 的 OS 确定设备的目标,请在应用此配置之前添加适用性规则来检查设备 OS 版本(内部版本)。 可以在以下页面上查找支持的 OS 的内部版本号:

页面中显示的内部版本号的格式为 MMMMM.mmmm (M= 主版本和 m= 次要版本)。 OS 版本属性使用主要版本位数。 输入适用性规则的 OS 版本值应格式化为“10.0.MMMMM”。 例如,“10.0.22000”。

按照以下说明为 KIR 激活设置正确的适用性规则:

  1. 适用性规则中,通过在页面上的空白规则上输入以下属性来创建适用性规则:

    • 规则:从下拉列表中选择“ 分配配置文件 ”。
    • 属性:从下拉列表中选择 OS 版本
    • :输入格式为“10.0.MMMMM”的最小值和最大 OS 版本号。

  2. 选择下一步

注意

可以通过从开始菜单运行winver命令来找到设备的 OS 版本。 它将显示由“.”分隔的两部分版本号。 例如,“22000.613”。 对于最小 OS 版本,可以将左侧数字追加到“10.0”。 通过将 1 添加到最小 OS 版本号的最后一位数字来获取最大 OS 版本号。 对于此示例,可以使用以下值:
最小 OS 版本:“10.0.22000”
最大 OS 版本:“10.0.22001”

F. 查看并创建 KIR 激活自定义配置文件

查看自定义配置文件的设置,然后选择“ 创建”。

3. 监视 KIR 激活

你的 KIR 激活现在应该正在进行中。 按照以下步骤监视配置文件进度:

  1. 转到“设备配置文件>,然后选择现有配置文件。 例如,选择 macOS 配置文件。

  2. 选择“概述”选项卡。在此视图中,配置文件分配状态包括以下状态:

    • 成功:已成功应用策略。
    • 错误:策略无法应用。 该消息通常显示链接到说明的错误代码。
    • 冲突:两个设置应用于同一设备,Intune 无法解决冲突。 管理员应查看冲突。
    • 挂起:设备尚未使用 Intune 签入以接收策略。
    • 不适用:设备无法接收策略。 例如,策略会更新特定于 iOS 11.1 的设置,但设备使用的是 iOS 10。

有关详细信息,请参阅 Microsoft Intune 中的“监视设备配置文件”。

详细信息