Wilt u het tweede deel van deze artikelenserie lezen, ga dan naar Registersleutels om Windows Update aan te passen (Deel 2).
Hoewel Windows Update en WSUS in het algemeen vrij eenvoudig te configureren zijn, kunt u soms meer controle over ze krijgen door een paar kleine aanpassingen in het Windows-register aan te brengen. In dit artikel, zal ik je enkele registersleutels tonen die geassocieerd zijn met Windows Update. Tegelijkertijd zal ik de verschillende instellingen laten zien die je aan deze registersleutels kunt toewijzen.
Voordat ik begin
Voordat ik begin, moet ik de advocaten tevreden houden door je te vertellen dat het wijzigen van het Windows register gevaarlijk kan zijn. Het onjuist wijzigen van het register kan Windows en/of uw toepassingen vernietigen. Ik raad u daarom ten sterkste aan om een volledige systeemback-up te maken voordat u een van de technieken probeert die ik u ga laten zien.
Nu ik de standaard disclaimer uit de weg heb, is er nog één ding dat ik u moet vertellen voordat ik aan de slag ga. De aanpassingen in het register die ik u ga laten zien zijn bedoeld voor machines met Windows XP. U kunt de aanpassingen rechtstreeks op individuele machines toepassen, of u kunt de aanpassingen als onderdeel van een aanmeldscript toepassen. Ook is het mogelijk dat sommige sleutels waar ik het over ga hebben, standaard niet bestaan. Als je een sleutel wilt gebruiken die niet bestaat, zul je die moeten aanmaken. U moet ook in gedachten houden dat het gedrag van Windows Update kan worden gecontroleerd door een groepsbeleid, en dat als een groepsbeleid van kracht is, het ervoor kan zorgen dat delen van het register worden overschreven nadat u wijzigingen hebt aangebracht.
Verhooging van Privileges
Eén van de problemen met het ontvangen van updates van een WSUS-server is dat gebruikers updates niet mogen goedkeuren of afkeuren tenzij ze lid zijn van de lokale beheerdersgroep. U kunt echter het register gebruiken om gebruikers privileges te geven waarmee ze updates kunnen goedkeuren of afkeuren, ongeacht of ze wel of geen lokale beheerder zijn. Aan de andere kant kunt u ook eindgebruikers de mogelijkheid ontzeggen om updates goed te keuren, en dat recht voorbehouden aan beheerders.
De registersleutel die dit gedrag regelt is: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins
De ElevateNonAdmins sleutel heeft twee mogelijke waarden. De standaard waarde van 1 staat niet beheerders toe om updates goed te keuren of te weigeren. Wijzigt u deze waarde in 0, dan kunnen alleen beheerders updates goed- of afkeuren.
Target Groups
Eén van de leuke dingen van WSUS is dat het u toestaat om client side targeting te gebruiken. Het idee achter client side targeting is dat je verschillende computergroepen kunt instellen, en je kunt updates uitrollen op groepsbasis. Client side targeting wordt niet standaard gebruikt, maar als je besluit het te gebruiken, dan zijn er twee verschillende registersleutels die je moet aanmaken. Eén van deze sleutels maakt client side targeting mogelijk, terwijl de andere de naam specificeert van de doelgroep waartoe de computer behoort. Beide registersleutels moeten worden aangemaakt op: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
De eerste sleutel is een DWORD sleutel met de naam TargetGroupEnabled. U kunt aan deze sleutel een waarde toekennen van 0, waarmee u client side targeting uitschakelt, of van 1, waarmee u client side targeting inschakelt.
De andere sleutel die u moet maken is een string met de naam TargetGroup. De waarde die u aan deze sleutel toekent, is de naam van de doelgroep waaraan de computer moet worden toegewezen.
Een WSUS-server toewijzen
Als u al een tijdje met netwerken bezig bent, dan weet u waarschijnlijk dat netwerkontwerpen de neiging hebben om in de loop van de tijd te veranderen. Dingen zoals bedrijfsgroei, nieuwe beveiligingseisen en bedrijfsherstructureringen dwingen vaak het onderliggende netwerk te veranderen. Dus wat heeft dit te maken met Windows Update? Wel, WSUS is schaalbaar en kan op een hiërarchische manier worden ingezet. Dit betekent dat een organisatie een veelvoud aan WSUS servers kan hebben staan. Als een PC wordt verplaatst naar een ander deel van het bedrijf, dan kan het zijn dat de WSUS server waarvoor hij oorspronkelijk was geconfigureerd niet langer geschikt is voor de nieuwe locatie. Gelukkig kunnen een paar eenvoudige register wijzigingen worden gebruikt om de WSUS server te veranderen waar de PC zijn updates van krijgt.
Er zijn eigenlijk twee registersleutels die worden gebruikt bij het specificeren van een WSUS server. Deze twee sleutels bevinden zich in: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. De eerste sleutel heet WUServer. Deze registersleutel bevat een string waarde die moet worden ingevoerd als de URL van de WSUS server (voorbeeld: http://servername).
De andere sleutel die u zult moeten wijzigen is een string waarde genaamd WUStatusServer. Het idee achter deze sleutel is dat de PC zijn status moet melden aan een WSUS server, zodat de WSUS server weet welke updates zijn toegepast op de PC. De WUStatusServer key heeft normaal gesproken exact dezelfde waarde als de WUServer key (voorbeeld: http://servername).
The Automatic Update Agent
Tot nu toe heb ik het gehad over hoe je de PC verbindt met een specifieke WSUS server of met een specifieke doelgroep, maar dit is slechts de helft van het proces. Windows Update gebruikt een update agent die daadwerkelijk de updates installeert. Er zijn een aantal registersleutels te vinden in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU die de automatische update agent aansturen.
De eerste van deze sleutels is de AUOptions sleutel. Aan deze DWORD waarde kan een waarde worden toegekend van 2, 3, 4, of 5. Een waarde van 2 geeft aan dat de agent de gebruiker moet verwittigen alvorens updates te downloaden. Een waarde van 3 geeft aan dat updates automatisch zullen worden gedownload en dat de gebruiker op de hoogte zal worden gebracht van de installatie. Een waarde van 4 geeft aan dat updates automatisch gedownload en geïnstalleerd moeten worden volgens een schema. Om deze optie te laten werken, moeten de sleutels ScheduledInstallDay en ScheduledInstallTime ook ingesteld zijn. Ik zal later meer vertellen over deze sleutels. Een waarde van 5 tenslotte geeft aan dat automatische updates vereist zijn, maar door eindgebruikers kunnen worden geconfigureerd.
De volgende sleutel waar ik het over wil hebben is de AutoInstallMinorUpdates sleutel. Deze sleutel kan worden ingesteld op een waarde van 0 of 1. Als de sleutel is ingesteld op 0, dan worden kleine updates net zo behandeld als elke andere update. Als de waarde van de sleutel op 1 wordt gezet, dan worden minor updates stilletjes op de achtergrond geïnstalleerd.
Een andere sleutel die betrekking heeft op de Automatic Update Agent is de DetectionFrequency sleutel. Met deze sleutel kunt u opgeven hoe vaak de agent naar updates zoekt. De waarde van de sleutel moet een geheel getal tussen 1 en 22 zijn, en geeft het aantal uren aan tussen elke poging tot detectie.
Een gerelateerde registersleutel is de DetectionFrequencyEnabled sleutel. Zoals de naam al aangeeft, kan met deze sleutel de functie Detectiefrequentie worden in- of uitgeschakeld. Als deze sleutel op 0 wordt gezet, wordt de DetectionFrequency sleutel genegeerd, terwijl 1 ervoor zorgt dat de agent de DetectionFrequency waarde gebruikt.
De volgende sleutel waar ik het over wil hebben is de NoAutoUpdate sleutel. Als deze sleutel is ingesteld op een waarde van 0, dan zijn automatische updates ingeschakeld. Staat de waarde op 1, dan zijn automatische updates uitgeschakeld.
De laatste registersleutel waar ik het over wil hebben is de NoAutoRebootWithLoggedOnUsers sleutel. Zoals u waarschijnlijk weet, kunnen sommige updates niet worden toegepast zonder het systeem opnieuw op te starten. Als een gebruiker toevallig ingelogd is, dan kan een verplichte herstart van het systeem erg storend zijn. Dit is vooral het geval als de gebruiker van zijn bureau is weggelopen zonder zijn werk op te slaan. Dit is waar de NoAutoRebootWithLoggedOnUsers sleutel in het spel komt. Aan deze sleutel kan een waarde van 0 of 1 worden toegekend. Als de waarde is ingesteld op 0, dan krijgen de gebruikers een waarschuwing van vijf minuten en daarna wordt het systeem automatisch opnieuw opgestart. Als de waarde is ingesteld op 1, dan krijgen gebruikers gewoon een bericht met het verzoek hun systeem opnieuw op te starten, maar ze kunnen op hun gemak opnieuw opstarten.
Conclusie
Er zijn nog veel meer registersleutels die te maken hebben met Windows update. Ik zal de rest van hen bespreken in deel 2 van deze artikelenserie.
Wilt u het tweede deel van deze artikelenserie lezen, ga dan naar Registry Keys for Tweaking Windows Update (Part 2).