Hvis du vil læse anden del af denne artikelserie, kan du gå til Registreringsnøgler til justering af Windows Update (del 2).
Selv om Windows Update og WSUS generelt er ret enkle at konfigurere, kan du nogle gange få mere kontrol over dem ved at foretage et par mindre ændringer i Windows-registret. I denne artikel vil jeg vise dig nogle registreringsdatabasenøgler, der er forbundet med Windows Update. Efterhånden som jeg gør det, vil jeg vise dig de forskellige indstillinger, som du kan tildele disse registreringsdatabasenøgler.
Hvor jeg begynder
Hvor jeg går i gang, er jeg nødt til at holde advokaterne tilfredse ved at fortælle dig, at det kan være farligt at ændre Windows-registreringsdatabasen. En forkert ændring af registreringsdatabasen kan ødelægge Windows og/eller dine programmer. Jeg anbefaler derfor på det kraftigste, at du udfører en fuld systembackup, før du forsøger dig med nogen af de teknikker, som jeg nu vil vise dig.
Nu hvor jeg har fået den almindelige ansvarsfraskrivelse ud af verden, er der en ting mere, som jeg skal fortælle dig, før jeg går i gang. De registerjusteringer, som jeg er ved at vise dig, er beregnet til maskiner, der kører Windows XP. Du kan anvende tweaksene direkte på de enkelte maskiner, eller du kan anvende ændringer som en del af et login-script. Det er også muligt, at nogle af de nøgler, som jeg vil tale om, ikke findes som standard. Hvis du ønsker at bruge en nøgle, der ikke findes, skal du oprette den. Du skal også huske på, at Windows Update’s adfærd kan styres af en gruppepolitik, og at hvis en gruppepolitik er i kraft, kan den medføre, at dele af registreringsdatabasen overskrives, efter at du har foretaget ændringer.
Hævelse af rettigheder
Et af problemerne med at modtage opdateringer fra en WSUS-server er, at brugerne ikke har lov til at godkende eller afvise opdateringer, medmindre de er medlem af den lokale administratorgruppe. Du kan dog bruge registreringsdatabasen til at give brugerne en forhøjelse af rettighederne, så de kan godkende eller afvise opdateringer, uanset om de er en lokal administrator eller ej. På den anden side kan du også nægte slutbrugerne muligheden for at godkende opdateringer og reservere denne ret til administratorer.
Registernøglen, der styrer denne adfærd, er: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins
Nøglen ElevateNonAdmins har to mulige værdier. Standardværdien 1 giver ikke-administratorer mulighed for at godkende eller afvise opdateringer. Hvis du ændrer denne værdi til 0, er det kun administratorer, der kan godkende eller afvise opdateringer.
Target Groups
En af de gode ting ved WSUS er, at det giver dig mulighed for at bruge målretning på klientsiden. Ideen bag client side targeting er, at du kan oprette forskellige computergrupper, og du kan udrulle opdateringer på gruppebasis. Client side targeting bruges ikke som standard, men hvis du beslutter dig for at bruge det, så er der to forskellige registreringsdatabasenøgler, som du skal oprette. Den ene af disse nøgler aktiverer client side targeting, mens den anden angiver navnet på den målgruppe, som computeren tilhører. Begge disse registreringsdatabasenøgler skal oprettes på: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
Den første nøgle er en DWORD-nøgle ved navn TargetGroupEnabled. Du kan tildele denne nøgle en værdi på enten 0, hvilket deaktiverer client side targeting, eller på 1, hvilket aktiverer client side targeting.
Den anden nøgle, som du skal oprette, er en strengværdi ved navn TargetGroup. Den værdi, du skal tildele denne nøgle, er navnet på den målgruppe, som computeren skal tildeles.
Tildeling af en WSUS-server
Hvis du har beskæftiget dig med netværk i et stykke tid, så ved du sikkert, at netværksdesigns har en tendens til at ændre sig med tiden. Ting som virksomhedsvækst, nye sikkerhedskrav og virksomhedsomstruktureringer tvinger ofte det underliggende netværk til at ændre sig. Hvad har dette så med Windows Update at gøre? WSUS er skalerbart og kan implementeres på en hierarkisk måde. Det betyder, at en organisation kan have et væld af WSUS-servere implementeret. Hvis en pc flyttes til en anden del af virksomheden, er det muligt, at den WSUS-server, som den oprindeligt var konfigureret til at bruge, ikke længere er egnet til den nye placering. Heldigvis kan et par enkle ændringer i registreringsdatabasen bruges til at ændre den WSUS-server, som pc’en får sine opdateringer fra.
Der er faktisk to registreringsdatabasenøgler, der bruges, når man angiver en WSUS-server. Begge disse nøgler er placeret på: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Den første nøgle hedder WUServer. Denne registreringsdatabasenøgle indeholder en strengværdi, som skal indtastes som WSUS-serverens URL (eksempel: http://servername).
Den anden nøgle, som du skal ændre, er en strengværdi ved navn WUStatusServer. Ideen bag denne nøgle er, at pc’en skal rapportere sin status til en WSUS-server, så WSUS-serveren ved, hvilke opdateringer der er blevet anvendt på pc’en. WUStatusServer-nøglen har normalt nøjagtig samme værdi som WUServer-nøglen (eksempel: http://servername).
Den automatiske opdateringsagent
Så vidt jeg har talt om, hvordan man forbinder pc’en til en bestemt WSUS-server eller til en bestemt målgruppe, er dette kun halvdelen af processen. Windows Update bruger en opdateringsagent, der rent faktisk installerer opdateringerne. Der er en række registreringsdatabasenøgler, der ligger i HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU, der styrer den automatiske opdateringsagent.
Den første af disse nøgler er AUOptions-nøglen. Denne DWORD-værdi kan tildeles en værdi på enten 2, 3, 4 eller 5. En værdi på 2 angiver, at agenten skal underrette brugeren, inden der hentes opdateringer. En værdi på 3 angiver, at opdateringer vil blive downloadet automatisk, og at brugeren vil blive underrettet om installationen. En værdi på 4 angiver, at opdateringer skal downloades og installeres automatisk efter en tidsplan. For at denne indstilling kan fungere, skal nøglerne ScheduledInstallDay og ScheduledInstallTime også være indstillet. Jeg vil tale mere om disse nøgler senere. Endelig angiver en værdi på 5, at automatiske opdateringer er nødvendige, men kan konfigureres af slutbrugerne.
Den næste nøgle, som jeg vil tale om, er nøglen AutoInstallMinorUpdates (AutoInstallMinorUpdates). Denne nøgle kan indstilles til en værdi på enten 0 eller 1. Hvis nøglen er indstillet til 0, behandles mindre opdateringer ligesom alle andre opdateringer. Hvis nøglens værdi er sat til 1, så installeres mindre opdateringer lydløst i baggrunden.
En anden nøgle relateret til den automatiske opdateringsagent er nøglen DetectionFrequency. Denne nøgle giver dig mulighed for at angive, hvor ofte agenten leder efter opdateringer. Nøglens værdi skal være et helt tal mellem 1 og 22 og angiver antallet af timer mellem hvert detektionsforsøg.
En relateret registreringsdatabasenøgle er nøglen DetectionFrequencyEnabled (DetectionFrequencyEnabled). Som navnet antyder, aktiverer eller deaktiverer denne nøgle enten funktionen Detection Frequency (detektionsfrekvens). Indstilling af denne nøgle til en værdi på 0 medfører, at DetectionFrequency-nøglen ignoreres, mens indstilling af den til en værdi på 1 medfører, at agenten bruger DetectionFrequency-værdien.
Den næste nøgle, som jeg vil tale om, er NoAutoUpdate-nøglen. Hvis denne nøgle er indstillet til en værdi på 0, er automatiske opdateringer aktiveret. Hvis nøglens værdi er sat til 1, er automatiske opdateringer deaktiveret.
Den sidste registreringsdatabasenøgle, som jeg vil tale om, er nøglen NoAutoRebootWithLoggedOnUsers. Som du sikkert ved, kan nogle opdateringer simpelthen ikke anvendes uden at genstarte systemet. Hvis en bruger tilfældigvis er logget ind, kan det være meget forstyrrende, hvis systemet skal genstarte. Dette gælder især, hvis brugeren er gået væk fra sit skrivebord uden at gemme sit arbejde. Det er her, at nøglen NoAutoRebootWithLoggedOnUsers kommer ind i billedet. Nøglen kan tildeles enten en værdi på 0 eller 1. Hvis værdien er sat til 0, vil brugerne få en advarsel på fem minutter, hvorefter systemet genstartes automatisk. Hvis værdien er sat til 1, vil brugerne blot modtage en meddelelse, der beder dem om at genstarte deres system, men de kan genstarte, når de vil.
Slutning
Der er en hel masse flere registreringsdatabasenøgler relateret til Windows-opdatering. Jeg vil diskutere resten af dem i del 2 af denne artikelserie.
Hvis du gerne vil læse anden del af denne artikelserie, kan du gå til Registreringsnøgler til tweaking af Windows Update (Del 2).