Ha szeretné elolvasni a cikksorozat második részét, látogasson el a Windows Update finomhangolásának beállítási kulcsai (2. rész) című cikkre.
Noha a Windows Update és a WSUS általában elég egyszerűen konfigurálható, a Windows beállításjegyzék néhány kisebb módosításával néha nagyobb fokú ellenőrzést nyerhet felettük. Ebben a cikkben bemutatok néhány, a Windows Update-hez kapcsolódó beállításkulcsot. Miközben bemutatom a különböző beállításokat, amelyeket ezekhez a beállításkulcsokhoz rendelhet.
Before I Begin
Mielőtt belekezdenék, el kell mondanom a jogászoknak, hogy a Windows rendszerleíró adatbázisának módosítása veszélyes lehet. A rendszerleíró adatbázis helytelen módosítása tönkreteheti a Windowst és/vagy az alkalmazásokat. Ezért erősen ajánlom, hogy készítsen teljes rendszermentést, mielőtt megkísérelné azokat a technikákat, amelyeket most mutatni fogok.
Most, hogy a szokásos lemondó nyilatkozaton túl vagyok, van még egy dolog, amit el kell mondanom, mielőtt belekezdenék. A rendszerleíró adatbázis-javítások, amelyeket most mutatni fogok, Windows XP-t futtató gépekre vonatkoznak. A módosításokat alkalmazhatja közvetlenül az egyes gépekre, vagy alkalmazhatja a módosításokat egy bejelentkezési szkript részeként. Az is előfordulhat, hogy néhány kulcs, amelyről beszélni fogok, alapértelmezés szerint nem létezik. Ha olyan kulcsot szeretne használni, amely nem létezik, akkor létre kell hoznia. Azt is szem előtt kell tartania, hogy a Windows Update viselkedése csoportos házirenddel is szabályozható, és ha egy csoportos házirend van érvényben, akkor a módosítások elvégzése után a rendszerleíró adatbázis egyes részei felülíródhatnak.
A jogosultságok növelése
A WSUS-kiszolgálóról érkező frissítések egyik problémája, hogy a felhasználók csak akkor hagyhatják jóvá vagy utasíthatják el a frissítéseket, ha a helyi rendszergazdák csoportjának tagjai. A rendszerleíró adatbázis segítségével azonban megadhatja a felhasználóknak a jogosultságok emelését, amely lehetővé teszi számukra a frissítések jóváhagyását vagy elutasítását, függetlenül attól, hogy helyi rendszergazdák-e vagy sem. A másik oldalról viszont megtagadhatja a végfelhasználóktól a frissítések jóváhagyását, és ezt a jogot a rendszergazdáknak tarthatja fenn.
Az ezt a viselkedést vezérlő beállításkulcs: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins
Az ElevateNonAdmins kulcsnak két lehetséges értéke van. Az 1 alapértelmezett érték lehetővé teszi a nem rendszergazdák számára a frissítések jóváhagyását vagy elutasítását. Ha ezt az értéket 0-ra módosítja, akkor csak a rendszergazdák hagyhatják jóvá vagy tagadhatják meg a frissítéseket.
Célcsoportok
A WSUS egyik szép tulajdonsága, hogy lehetővé teszi az ügyféloldali célzást. Az ügyféloldali célzás lényege, hogy különböző számítógépcsoportokat állíthat be, és a frissítéseket csoportonként telepítheti. Az ügyféloldali célzást alapértelmezés szerint nem használja, de ha úgy dönt, hogy használja, akkor két különböző beállításkulcsot kell létrehoznia. Az egyik kulcs engedélyezi az ügyféloldali célzást, a másik pedig megadja annak a célcsoportnak a nevét, amelyhez a számítógép tartozik. Mindkét beállításkulcsot a következő címen kell létrehozni: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
Az első kulcs egy DWORD kulcs, amelynek neve TargetGroupEnabled. Ehhez a kulcshoz 0 értéket rendelhet, ami letiltja az ügyféloldali célzást, vagy 1 értéket, ami engedélyezi az ügyféloldali célzást.
A másik kulcs, amelyet létre kell hoznia, a TargetGroup nevű string érték. Az érték, amelyet ehhez a kulcshoz rendel, annak a célcsoportnak a neve, amelyhez a számítógépet hozzá kell rendelni.
WSUS-kiszolgáló hozzárendelése
Ha már egy ideje foglalkozik hálózatkezeléssel, akkor valószínűleg tudja, hogy a hálózati tervek idővel változnak. Az olyan dolgok, mint a vállalat növekedése, az új biztonsági követelmények és a vállalati átszervezések gyakran változtatásra kényszerítik az alapul szolgáló hálózatot. Mi köze van ennek a Windows Update-hez? Nos, a WSUS skálázható és hierarchikusan telepíthető. Ez azt jelenti, hogy egy szervezet számos WSUS-kiszolgálót telepíthet. Ha egy számítógépet áthelyeznek a vállalat egy másik részébe, akkor előfordulhat, hogy a WSUS-kiszolgáló, amelynek használatára eredetileg be volt állítva, már nem felel meg az új helynek. Szerencsére néhány egyszerű beállításjegyzékmódosítással megváltoztatható a WSUS-kiszolgáló, amelyről a számítógép a frissítéseket kapja.
A WSUS-kiszolgáló megadásakor valójában két beállításjegyzékkulcsot használunk. Mindkét kulcs a következő címen található: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Az első kulcs neve WUServer. Ez a beállításkulcs egy karakterlánc értéket tartalmaz, amelyet a WSUS-kiszolgáló URL-jeként kell megadni (példa: http://servername).
A másik kulcs, amelyet meg kell változtatnia, a WUStatusServer nevű karakterlánc érték. Ennek a kulcsnak az a lényege, hogy a PC-nek jelentenie kell az állapotát a WSUS-kiszolgálónak, hogy a WSUS-kiszolgáló tudja, mely frissítések kerültek alkalmazásra a PC-re. A WUStatusServer kulcs általában pontosan ugyanazt az értéket tartalmazza, mint a WUServer kulcs (példa: http://servername).
Az automatikus frissítési ügynök
Az eddigiekben arról beszéltem, hogyan lehet a PC-t egy adott WSUS-kiszolgálóhoz vagy egy adott célcsoporthoz csatlakoztatni, de ez csak a folyamat fele. A Windows Update egy frissítési ügynököt használ, amely ténylegesen telepíti a frissítéseket. A HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU alatt számos olyan beállításkulcs található, amelyek az automatikus frissítési ügynököt vezérlik.
Az első ilyen kulcs az AUOptions kulcs. Ez a DWORD-érték 2, 3, 4 vagy 5 értéket kaphat. A 2 érték azt jelzi, hogy az ügynöknek értesítenie kell a felhasználót a frissítések letöltése előtt. A 3 érték azt jelzi, hogy a frissítések automatikusan letöltődnek, és a felhasználó értesítést kap a telepítésről. A 4-es érték azt jelzi, hogy a frissítések letöltése és telepítése automatikusan, ütemezés szerint történik. Ahhoz, hogy ez az opció működjön, az ScheduledInstallDay és ScheduledInstallTime kulcsokat is be kell állítani. Ezekről a kulcsokról később bővebben fogok beszélni. Végül az 5 érték azt jelzi, hogy az automatikus frissítések szükségesek, de a végfelhasználók konfigurálhatják.
A következő kulcs, amiről beszélni szeretnék, az AutoInstallMinorUpdates kulcs. Ez a kulcs 0 vagy 1 értékre állítható. Ha a kulcs 0-ra van állítva, akkor a kisebb frissítéseket ugyanúgy kezeli, mint bármely más frissítést. Ha a kulcs értéke 1, akkor a kisebb frissítések csendben települnek a háttérben.
Az automatikus frissítési ügynökkel kapcsolatos másik kulcs az DetectionFrequency kulcs. Ezzel a kulccsal megadható, hogy az ügynök milyen gyakran keressen frissítéseket. A kulcs értékének 1 és 22 közötti egész számnak kell lennie, és azt jelzi, hogy hány óra teljen el az egyes észlelési kísérletek között.
A kapcsolódó beállításjegyzékkulcs a DetectionFrequencyEnabled kulcs. Ahogy a neve is mutatja, ez a kulcs engedélyezi vagy letiltja az Érzékelési gyakoriság funkciót. Ha ezt a kulcsot 0 értékre állítjuk, akkor a DetectionFrequency kulcsot figyelmen kívül hagyjuk, míg ha 1 értékre állítjuk, akkor az ügynök a DetectionFrequency értéket használja.
A következő kulcs, amiről beszélni szeretnék, a NoAutoUpdate kulcs. Ha ez a kulcs 0 értékre van állítva, akkor az automatikus frissítések engedélyezve vannak. Ha a kulcs értéke 1, akkor az automatikus frissítések ki vannak kapcsolva.
Az utolsó beállításkulcs, amelyről beszélni szeretnék, a NoAutoRebootWithLoggedOnUsers kulcs. Mint valószínűleg tudja, egyes frissítések egyszerűen nem alkalmazhatók a rendszer újraindítása nélkül. Ha egy felhasználó történetesen be van jelentkezve, akkor a rendszer kötelező újraindítása nagyon zavaró lehet. Ez különösen akkor igaz, ha a felhasználó a munkája mentése nélkül távozott az asztalától. Itt jön a képbe a NoAutoRebootWithLoggedOnUsers kulcs. A kulcshoz 0 vagy 1 értéket lehet rendelni. Ha az érték 0-ra van állítva, akkor a felhasználók öt perces figyelmeztetést kapnak, majd a rendszer automatikusan újraindul. Ha az érték 1-re van állítva, akkor a felhasználók egyszerűen csak egy üzenetet kapnak, amely felszólítja őket a rendszerük újraindítására, de az újraindítást nyugodtan elvégezhetik.
Következtetés
A Windows frissítéshez kapcsolódóan még rengeteg beállításkulcs létezik. A többit a cikksorozat 2. részében fogom tárgyalni.
Ha szeretné elolvasni a cikksorozat második részét, kérjük, látogasson el a Windows frissítés finomhangolásához szükséges beállításkulcsok (2. rész) címre.