Jos haluat lukea tämän artikkelisarjan toisen osan, siirry osoitteeseen Windows-päivityksen virittäminen rekisteriavaimilla (osa 2).
Vaikka Windows-päivityksen ja WSUS:n konfigurointi on yleisesti ottaen melko yksinkertaista, voit toisinaan hallita niitä paremmin tekemällä muutamia pieniä muutoksia Windowsin rekisteriin. Tässä artikkelissa näytän joitakin Windows Updateen liittyviä rekisteriavaimia. Samalla näytän erilaisia asetuksia, joita voit määrittää näille rekisteriavaimille.
Ennen kuin aloitan
Ennen kuin aloitan, minun on pidettävä lakimiehet tyytyväisinä kertomalla, että Windowsin rekisterin muokkaaminen voi olla vaarallista. Rekisterin virheellinen muuttaminen voi tuhota Windowsin ja/tai sovelluksesi. Siksi suosittelen vahvasti, että teet täydellisen varmuuskopion järjestelmästä ennen kuin yrität mitään tekniikoita, joita aion näyttää sinulle.
Nyt kun olen saanut vakiomuotoisen vastuuvapauslausekkeen pois tieltä, on vielä yksi asia, joka minun on kerrottava sinulle, ennen kuin aloitan. Rekisterin viritykset, jotka aion näyttää sinulle, on tarkoitettu koneille, joissa on Windows XP. Voit soveltaa virityksiä yksittäisiin koneisiin suoraan, tai voit soveltaa muutoksia osana kirjautumisskriptiä. Lisäksi joitakin avaimia, joista aion puhua, ei välttämättä ole oletusarvoisesti olemassa. Jos haluat käyttää avainta, jota ei ole olemassa, sinun on luotava se. Kannattaa myös muistaa, että Windows-päivityksen käyttäytymistä voidaan ohjata ryhmäkäytännöllä ja että jos ryhmäkäytäntö on voimassa, se voi aiheuttaa sen, että rekisterin osia ylikirjoitetaan muutosten tekemisen jälkeen.
Oikeudet
Yksi ongelmista WSUS-palvelimelta tulevien päivitysten vastaanottamisessa on se, että käyttäjät eivät saa hyväksyä tai hylätä päivityksiä, elleivät he ole paikallisen järjestelmänvalvojien ryhmän jäseniä. Voit kuitenkin antaa käyttäjille rekisterin avulla käyttöoikeuksien korotuksen, jonka avulla he voivat hyväksyä tai hylätä päivityksiä riippumatta siitä, ovatko he paikallisia järjestelmänvalvojia vai eivät. Toisaalta voit myös kieltää loppukäyttäjiltä mahdollisuuden hyväksyä päivityksiä ja varata tämän oikeuden järjestelmänvalvojille.
Tätä käyttäytymistä ohjaava rekisteriavain on: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins
ElevateNonAdmins -avaimella on kaksi mahdollista arvoa. Oletusarvo 1 sallii muiden kuin ylläpitäjien hyväksyä tai kieltää päivitykset. Jos muutat tämän arvon arvoksi 0, vain ylläpitäjät saavat hyväksyä tai kieltää päivityksiä.
Kohderyhmät
Yksi WSUS:n hienoista puolista on, että se mahdollistaa asiakaspuolen kohdentamisen. Asiakaspuolen kohdentamisen ideana on, että voit määrittää erilaisia tietokoneryhmiä, ja voit ottaa päivitykset käyttöön ryhmäkohtaisesti. Asiakaspuolen kohdentamista ei käytetä oletusarvoisesti, mutta jos päätät käyttää sitä, sinun on luotava kaksi eri rekisteriavainta. Toinen näistä avaimista mahdollistaa asiakaspuolen kohdentamisen, kun taas toinen määrittää sen kohderyhmän nimen, johon tietokone kuuluu. Molemmat rekisteriavaimet on luotava osoitteessa: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
Ensimmäinen avain on DWORD-avain nimeltä TargetGroupEnabled. Voit antaa tälle avaimelle arvon joko 0, jolloin asiakaspuolen kohdistaminen poistetaan käytöstä, tai 1, jolloin asiakaspuolen kohdistaminen otetaan käyttöön.
Toinen avain, joka sinun on luotava, on merkkijonoarvo nimeltä TargetGroup. Arvo, jonka annat tälle avaimelle, on sen kohderyhmän nimi, johon tietokone tulisi määrittää.
WSUS-palvelimen määrittäminen
Jos olet ollut jonkin aikaa tekemisissä verkkojen kanssa, tiedät luultavasti, että verkkomalleilla on tapana muuttua ajan myötä. Asiat, kuten yrityksen kasvu, uudet turvallisuusvaatimukset ja yritysjärjestelyt, pakottavat usein muuttamaan taustalla olevaa verkkoa. Miten tämä sitten liittyy Windows Updateen? WSUS on skaalautuva ja se voidaan ottaa käyttöön hierarkkisesti. Tämä tarkoittaa, että organisaatiossa voi olla käytössä useita WSUS-palvelimia. Jos tietokone siirretään eri puolelle yritystä, WSUS-palvelin, jota se oli alun perin määritetty käyttämään, ei ehkä enää sovellu sen uuteen sijaintiin. Onneksi parilla yksinkertaisella rekisterimuutoksella voidaan vaihtaa WSUS-palvelin, josta tietokone saa päivitykset.
WSUS-palvelimen määrittämisessä käytetään itse asiassa kahta rekisteriavainta. Molemmat avaimet sijaitsevat osoitteessa: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Ensimmäisen avaimen nimi on WUServer. Tässä rekisteriavaimessa on merkkijonoarvo, joka tulee syöttää WSUS-palvelimen URL-osoitteeksi (esimerkki: http://servername).
Toinen avain, jota sinun tulee muuttaa, on merkkijonoarvo nimeltä WUStatusServer. Tämän avaimen ideana on, että tietokoneen on ilmoitettava tilansa WSUS-palvelimelle, jotta WSUS-palvelin tietää, mitä päivityksiä tietokoneeseen on sovellettu. WUStatusServer-avaimella on yleensä täsmälleen sama arvo kuin WUServer-avaimella (esimerkki: http://servername).
Automaattinen päivitysagentti
Tähän mennessä olen puhunut siitä, miten PC liitetään tiettyyn WSUS-palvelimeen tai tiettyyn kohderyhmään, mutta tämä on vain puolet prosessista. Windows Update käyttää päivitysagenttia, joka itse asiassa asentaa päivitykset. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU-kohdassa on useita rekisteriavaimia, jotka ohjaavat automaattista päivitysagenttia.
Ensimmäinen näistä avaimista on AUOptions-avain. Tälle DWORD-arvolle voidaan antaa arvo 2, 3, 4 tai 5. Arvo 2 tarkoittaa, että agentin pitäisi ilmoittaa käyttäjälle ennen päivitysten lataamista. Arvo 3 tarkoittaa, että päivitykset ladataan automaattisesti ja käyttäjälle ilmoitetaan asennuksesta. Arvo 4 tarkoittaa, että päivitykset ladataan ja asennetaan automaattisesti aikataulun mukaisesti. Jotta tämä vaihtoehto toimisi, myös ScheduledInstallDay- ja ScheduledInstallTime-avaimet on asetettava. Puhun näistä avaimista lisää myöhemmin. Lopuksi arvo 5 tarkoittaa, että automaattisia päivityksiä tarvitaan, mutta loppukäyttäjät voivat määrittää ne.
Seuraava avain, josta haluan puhua, on AutoInstallMinorUpdates-avain. Tämän avaimen arvoksi voidaan asettaa joko 0 tai 1. Jos avaimen arvoksi asetetaan 0, pieniä päivityksiä käsitellään kuten mitä tahansa muuta päivitystä. Jos avaimen arvoksi asetetaan 1, pienet päivitykset asennetaan äänettömästi taustalla.
Toinen automaattiseen päivitysagenttiin liittyvä avain on DetectionFrequency-avain. Tämän avaimen avulla voit määrittää, kuinka usein agentti etsii päivityksiä. Avaimen arvon on oltava kokonaisluku väliltä 1-22, ja se ilmaisee tuntien lukumäärän kunkin havaitsemisyrityksen välillä.
Seuraava rekisteriavain on DetectionFrequencyEnabled-avain. Kuten nimestä voi päätellä, tämä avain joko ottaa Detection Frequency -toiminnon käyttöön tai poistaa sen käytöstä. Tämän avaimen asettaminen arvoon 0 saa aikaan sen, että DetectionFrequency-avainta ei oteta huomioon, kun taas sen asettaminen arvoon 1 saa agentin käyttämään DetectionFrequency-arvoa.
Seuraavana avaimena käsittelen NoAutoUpdate-avainta. Jos tämän avaimen arvoksi asetetaan 0, automaattiset päivitykset otetaan käyttöön. Jos avaimen arvoksi asetetaan 1, automaattiset päivitykset poistetaan käytöstä.
Viimeinen rekisteriavain, josta haluan puhua, on NoAutoRebootWithLoggedOnUsers-avain. Kuten luultavasti tiedät, joitakin päivityksiä ei yksinkertaisesti voi soveltaa ilman järjestelmän uudelleenkäynnistystä. Jos käyttäjä sattuu olemaan kirjautuneena sisään, järjestelmän pakollinen uudelleenkäynnistys voi olla hyvin häiritsevää. Tämä pätee erityisesti, jos käyttäjä on poistunut työpöydältään tallentamatta työtään. Tässä kohtaa NoAutoRebootWithLoggedOnUsers-avain tulee kuvaan mukaan. Avaimelle voidaan antaa joko arvo 0 tai 1. Jos arvoksi asetetaan 0, käyttäjät saavat viiden minuutin varoituksen, minkä jälkeen järjestelmä käynnistyy automaattisesti uudelleen. Jos arvoksi asetetaan 1, käyttäjät saavat vain viestin, jossa heitä pyydetään käynnistämään järjestelmä uudelleen, mutta he voivat käynnistää sen uudelleen kaikessa rauhassa.
Johtopäätös
Windowsin päivitykseen liittyviä rekisteriavaimia on paljon enemmän. Käsittelen loput niistä tämän artikkelisarjan toisessa osassa.
Jos haluat lukea tämän artikkelisarjan toisen osan, siirry osoitteeseen Rekisterin avaimet Windows-päivityksen virittämiseen (osa 2).