If you like to read the second part of this article series please go to Registry Keys for Tweaking Windows Update (Part 2).
Windows Update と WSUS は、一般的にかなり簡単に設定できますが、Windows レジストリにいくつかの小さな変更を行うことによって、それらをより高いレベルで制御できるようになる場合があります。 この記事では、Windows Updateに関連するいくつかのレジストリキーを紹介します。 その際、これらのレジストリ キーに割り当てることができるさまざまな設定も紹介します。
Before I Begin
始める前に、Windows レジストリを変更することは危険であることをお伝えして、弁護士を満足させておく必要があります。 レジストリを誤って変更すると、Windows および/またはアプリケーションを破壊する可能性があります。 したがって、これからお見せするテクニックを試す前に、システムの完全なバックアップを実行することを強くお勧めします。
さて、標準の免責事項が終わったところで、始める前にもうひとつお伝えしなければならないことがあります。 これからお見せするレジストリの調整は、Windows XP を実行しているマシンを対象としています。 個々のマシンに直接適用することもできますし、ログインスクリプトの一部として変更を適用することもできます。 また、これから説明するキーの中には、デフォルトでは存在しないものもあります。 存在しないキーを使用したい場合は、キーを作成する必要があります。 また、Windows Update の動作はグループ ポリシーによって制御可能であり、グループ ポリシーが有効な場合、変更を加えた後にレジストリの一部が上書きされる可能性があることを覚えておく必要があります。
Elevation of Privileges
WSUSサーバーから更新を受け取る際の問題の1つは、ユーザーがローカル管理者グループの一員でない限り更新を承認または不承認することが許可されていないことです。 しかし、レジストリを使用して、ユーザーがローカル管理者であるかどうかに関係なく、更新を承認または不承認できるような特権の昇格をユーザーに与えることができます。 逆に、エンド ユーザーがアップデートを承認することを拒否し、その権利を管理者に予約することもできます。 デフォルトの値である1では、管理者以外の人がアップデートを承認または拒否することができます。 この値を 0 に変更すると、管理者のみが更新の承認または拒否を許可されます。
Target Groups
WSUS の良い点の 1 つは、クライアント側ターゲット機能を使用できることです。 クライアント側ターゲティングの背後にある考え方は、異なるコンピューター グループを設定し、グループ ベースで更新をロール アウトできることです。 クライアントサイドターゲティングはデフォルトでは使用されませんが、使用する場合は、2つの異なるレジストリキーを作成する必要があります。 これらのキーの1つはクライアントサイドターゲティングを有効にし、もう1つはコンピュータが属するターゲットグループの名前を指定します。 これらのレジストリキーは、両方とも次の場所に作成する必要があります。 HKEY_LOCAL_MACHINE このキーには、クライアント側ターゲティングを無効にする 0、またはクライアント側ターゲティングを有効にする 1 のいずれかの値を割り当てることができます。 このキーに割り当てる値は、コンピュータを割り当てるターゲット グループの名前です。
WSUS サーバーの割り当て
ネットワークにしばらく携わっていれば、ネットワークの設計が時間とともに変化する傾向があることを知っているでしょう。 企業の成長、新しいセキュリティ要件、企業の再編成など、基本的なネットワークはしばしば変更を余儀なくされます。 では、これがWindows Updateとどのような関係があるのだろうか? WSUSはスケーラブルで、階層的に展開することができる。 これは、組織が多数のWSUSサーバーをデプロイできることを意味する。 PCが社内の別の場所に移動した場合、最初に使用するように設定されたWSUSサーバーは、新しい場所には適さないかもしれない。 幸いなことに、2 つの簡単なレジストリ修正により、PC が更新を取得する WSUS サーバーを変更することができます。
WSUSサーバーを指定する際に使用されるレジストリ キーが実際には 2 つあります。 これらのキーは両方とも次の場所にあります。 HKEY_LOCAL_MACHINE (ソフトウエア) 最初のキーはWUServerという名前である。 このレジストリキーは、WSUSサーバーのURLとして入力されるべき文字列値を保持します(例:http://servername)
変更する必要があるもう1つのキーは、WUStatusServerという名前の文字列値です。 このキーの背後にある考え方は、WSUSサーバーがPCに適用されたアップデートを知るために、PCがWSUSサーバーにその状態を報告する必要があることです。 WUStatusServer キーは通常、WUServer キーとまったく同じ値を保持します (例: http://servername)。
The Automatic Update Agent
これまで、PC を特定の WSUS サーバーまたは特定のターゲット グループに接続する方法を説明しましたが、これは処理の半分に過ぎません。 Windows Update では、実際に更新プログラムをインストールする更新エージェントを使用します。 HKEY_LOCAL_MACHINEにあるいくつかのレジストリキーは、自動更新エージェントを制御するHKEY_SOFTWARE ³³ Policies ³³ Microsoft³³Windows³WindowsUpdate ³³ AU³³です。 このDWORD値には、2、3、4、5のいずれかの値を割り当てることができます。 2の値は、エージェントがアップデートをダウンロードする前にユーザーに通知する必要があることを示す。 3 の値は、アップデートが自動的にダウンロードされ、インストールがユーザに通知されることを示します。 値4は、アップデートが自動的にダウンロードされ、スケジュールに従ってインストールされることを示します。 このオプションを有効にするには、ScheduledInstallDayとScheduledInstallTimeキーも設定する必要があります。 これらのキーについては、後ほど詳しく説明します。 最後に、値 5 は、自動更新が必要であるが、エンド ユーザーが設定できることを示します。
次に説明するキーは、AutoInstallMinorUpdates キーです。 このキーは、0 または 1 のいずれかの値に設定できます。 このキーが 0 に設定されている場合、マイナーアップデートは他のアップデートと同様に扱われます。 このキーの値が 1 に設定されている場合、マイナー アップデートはバックグラウンドで静かにインストールされます。
自動更新エージェントに関連するもう 1 つのキーは DetectionFrequency キーです。 このキーにより、エージェントが更新を検索する頻度を指定できます。 このキーの値は、1~22の整数でなければならず、各検知を試みる間の時間数を示します。
関連するレジストリキーは、DetectionFrequencyEnabledキーです。 その名前が示すように、このキーはDetection Frequency機能を有効または無効にします。 このキーを値0に設定すると、DetectionFrequencyキーは無視され、値1に設定すると、エージェントはDetectionFrequency値を使用します。
次に説明するキーは、NoAutoUpdateキーです。 このキーが値0に設定されている場合、自動更新が有効になります。
最後に説明するレジストリ キーは、NoAutoRebootWithLoggedOnUsers キーです。 ご存知のように、システムを再起動しないと適用できない更新プログラムがあります。 もしユーザーがログインしている場合、システムの強制再起動は非常に破壊的です。 特に、ユーザーが作業を保存せずにデスクから立ち去った場合はそうです。 そこで、NoAutoRebootWithLoggedOnUsersキーの出番となる。 このキーには、0または1の値を割り当てることができます。 この値が0に設定されている場合、ユーザーは5分間の警告を受け、その後システムが自動的に再起動されます。 値が 1 に設定されている場合、ユーザーはシステムの再起動を求めるメッセージを受け取るだけですが、自由に再起動できます。
Conclusion
Windows Update に関連するレジストリ キーは他にもたくさんあります。 この記事シリーズのパート 2 で、それらの残りの部分について説明する予定です。
If you like to read the second part of this article series please go to Registry Keys for Tweaking Windows Update (Part 2).