Pokud si chcete přečíst druhou část této série článků, přejděte na Klíče registru pro vyladění služby Windows Update (2. část).
Ačkoli jsou služby Windows Update a WSUS obecně poměrně jednoduše konfigurovatelné, můžete nad nimi někdy získat vyšší úroveň kontroly provedením několika drobných úprav v registru Windows. V tomto článku vám ukážu některé klíče registru, které souvisejí se službou Windows Update. Zároveň vám ukážu různá nastavení, která můžete těmto klíčům registru přiřadit.
Než začnu
Než začnu, musím potěšit právníky tím, že vás upozorním, že úprava registru systému Windows může být nebezpečná. Nesprávná úprava registru může zničit systém Windows a/nebo vaše aplikace. Proto důrazně doporučuji, abyste před pokusem o některou z technik, které vám ukážu, provedli úplnou zálohu systému.
Teď, když jsem se zbavil standardního prohlášení o vyloučení odpovědnosti, je tu ještě jedna věc, kterou vám musím říct, než začnu. Úpravy registru, které se vám chystám ukázat, jsou určeny pro počítače se systémem Windows XP. Tato vylepšení můžete aplikovat přímo na jednotlivé počítače nebo můžete úpravy aplikovat jako součást přihlašovacího skriptu. Také některé klíče, o kterých budu mluvit, nemusí ve výchozím nastavení existovat. Pokud chcete použít klíč, který neexistuje, budete jej muset vytvořit. Měli byste mít také na paměti, že chování služby Windows Update může být řízeno zásadou skupiny a že pokud je v platnosti zásada skupiny, může způsobit přepsání částí registru poté, co jste provedli změny.
Zvýšení oprávnění
Jedním z problémů při přijímání aktualizací ze serveru WSUS je, že uživatelé nemohou schvalovat nebo odmítat aktualizace, pokud nejsou členy místní skupiny administrátorů. Pomocí registru však můžete uživatelům přidělit zvýšení oprávnění, které jim umožní schvalovat nebo neschvalovat aktualizace bez ohledu na to, zda jsou nebo nejsou místními správci. Na druhé straně můžete také koncovým uživatelům odepřít možnost schvalovat aktualizace a vyhradit toto právo správcům.
Klíč registru, který toto chování řídí, je: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins
Klíč ElevateNonAdmins má dvě možné hodnoty. Výchozí hodnota 1 umožňuje neadministrátorům schvalovat nebo zamítat aktualizace. Pokud tuto hodnotu změníte na 0, budou moci aktualizace schvalovat nebo odmítat pouze správci.
Target Groups
Jednou z příjemných věcí na systému WSUS je, že umožňuje používat cílení na straně klienta. Myšlenka cílení na straně klienta spočívá v tom, že můžete nastavit různé skupiny počítačů a aktualizace můžete zavádět na základě skupin. Cílení na straně klienta se ve výchozím nastavení nepoužívá, ale pokud se rozhodnete jej použít, budete muset vytvořit dva různé klíče registru. Jeden z těchto klíčů povoluje cílení na straně klienta, zatímco druhý určuje název cílové skupiny, do které počítač patří. Oba tyto klíče registru je třeba vytvořit na adrese: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
První klíč je klíč DWORD s názvem TargetGroupEnabled. Tomuto klíči můžete přiřadit buď hodnotu 0, která cílení na straně klienta zakáže, nebo hodnotu 1, která cílení na straně klienta povolí.
Druhý klíč, který budete muset vytvořit, je řetězcová hodnota s názvem TargetGroup. Hodnota, kterou tomuto klíči přiřadíte, je název cílové skupiny, do které má být počítač zařazen.
Přiřazení serveru WSUS
Pokud se již nějakou dobu zabýváte síťovými technologiemi, pak pravděpodobně víte, že návrhy sítí se v průběhu času obvykle mění. Věci jako růst společnosti, nové požadavky na zabezpečení a restrukturalizace společnosti si často vynutí změnu základní sítě. Jak to tedy souvisí se službou Windows Update? WSUS je škálovatelný a lze jej nasadit hierarchickým způsobem. To znamená, že organizace může mít nasazeno velké množství serverů WSUS. Pokud je počítač přesunut do jiné části společnosti, pak server WSUS, který byl původně nakonfigurován pro jeho použití, již nemusí být vhodný pro jeho nové umístění. Naštěstí lze pomocí několika jednoduchých úprav registru změnit server WSUS, ze kterého počítač získává aktualizace.
Při zadávání serveru WSUS se ve skutečnosti používají dva klíče registru. Oba tyto klíče se nacházejí na adrese: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. První klíč se jmenuje WUServer. Tento klíč registru obsahuje řetězcovou hodnotu, která by měla být zadána jako adresa URL serveru WSUS (příklad: http://servername).
Druhý klíč, který budete muset změnit, je řetězcová hodnota s názvem WUStatusServer. Podstatou tohoto klíče je, že počítač musí hlásit svůj stav serveru WSUS, aby server WSUS věděl, které aktualizace byly na počítač použity. Klíč WUStatusServer má obvykle přesně stejnou hodnotu jako klíč WUServer (příklad: http://servername).
Agent automatických aktualizací
Dosud jsem hovořil o tom, jak připojit PC ke konkrétnímu serveru WSUS nebo ke konkrétní cílové skupině, ale to je pouze polovina procesu. Služba Windows Update používá aktualizačního agenta, který aktualizace skutečně instaluje. Existuje řada klíčů registru umístěných v HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU, které řídí agenta automatických aktualizací.
Prvním z těchto klíčů je klíč AUOptions. Této hodnotě DWORD lze přiřadit hodnotu 2, 3, 4 nebo 5. Hodnota 2 znamená, že agent by měl před stažením aktualizací upozornit uživatele. Hodnota 3 znamená, že aktualizace budou staženy automaticky a uživatel bude o instalaci informován. Hodnota 4 znamená, že aktualizace by měly být stahovány a instalovány automaticky podle plánu. Aby tato možnost fungovala, musí být nastaveny také klíče ScheduledInstallDay a ScheduledInstallTime. O těchto klíčích se zmíním později. A konečně hodnota 5 znamená, že automatické aktualizace jsou vyžadovány, ale mohou je konfigurovat koncoví uživatelé.
Dalším klíčem, o kterém chci hovořit, je klíč AutoInstallMinorUpdates. Tento klíč lze nastavit na hodnotu 0 nebo 1. Pokud je klíč nastaven na hodnotu 0, pak se s drobnými aktualizacemi zachází stejně jako s jakoukoli jinou aktualizací. Pokud je hodnota klíče nastavena na 1, pak se drobné aktualizace instalují v tichosti na pozadí.
Dalším klíčem souvisejícím s agentem automatických aktualizací je klíč DetectionFrequency. Tento klíč umožňuje určit, jak často bude agent vyhledávat aktualizace. Hodnota klíče musí být celé číslo mezi 1 a 22 a udává počet hodin mezi jednotlivými pokusy o detekci.
Souvisejícím klíčem registru je klíč DetectionFrequencyEnabled. Jak název napovídá, tento klíč buď povoluje, nebo zakazuje funkci Detekční frekvence. Nastavení tohoto klíče na hodnotu 0 způsobí, že klíč DetectionFrequency bude ignorován, zatímco jeho nastavení na hodnotu 1 způsobí, že agent hodnotu DetectionFrequency použije.
Dalším klíčem, o kterém chci hovořit, je klíč NoAutoUpdate. Pokud je tento klíč nastaven na hodnotu 0, jsou automatické aktualizace povoleny. Pokud je hodnota tohoto klíče nastavena na 1, pak jsou automatické aktualizace zakázány.
Posledním klíčem registru, o kterém chci hovořit, je klíč NoAutoRebootWithLoggedOnUsers. Jak asi víte, některé aktualizace jednoduše nelze použít bez restartu systému. Pokud se stane, že je uživatel přihlášen, pak může být vynucené restartování systému velmi rušivé. To platí zejména v případě, že uživatel odešel od svého stolu, aniž by uložil svou práci. Zde přichází ke slovu klíč NoAutoRebootWithLoggedOnUsers. Klíči lze přiřadit buď hodnotu 0, nebo 1. Pokud je nastavena hodnota 0, uživatelé obdrží pětiminutové varování a poté se systém automaticky restartuje. Pokud je hodnota nastavena na 1, pak uživatelé jednoduše obdrží zprávu s výzvou k restartování systému, ale mohou jej restartovat dle libosti.
Závěr
Klíčů registru souvisejících s aktualizací systému Windows je mnohem více. Zbytek z nich proberu ve 2. části této série článků.
Pokud si chcete přečíst druhou část této série článků, přejděte na Klíče registru pro vyladění aktualizace systému Windows (2. část).
.