Jeśli chcesz przeczytać drugą część tej serii artykułów, przejdź do Registry Keys for Tweaking Windows Update (Part 2).

Although Windows Update i WSUS są generalnie dość proste do skonfigurowania, czasami można uzyskać wyższy poziom kontroli nad nimi, dokonując kilku drobnych modyfikacji w rejestrze Windows. W tym artykule pokażę kilka kluczy rejestru, które są powiązane z Windows Update. Pokażę też różne ustawienia, które można przypisać do tych kluczy rejestru.

Zanim zacznę

Zanim zacznę, muszę uszczęśliwić prawników, informując, że modyfikowanie rejestru systemu Windows może być niebezpieczne. Nieprawidłowa modyfikacja rejestru może zniszczyć Windows i/lub twoje aplikacje. Dlatego zdecydowanie zalecam wykonanie pełnej kopii zapasowej systemu przed próbą zastosowania którejkolwiek z technik, które zamierzam ci pokazać.

Teraz, gdy już pozbyłem się standardowego zrzeczenia się odpowiedzialności, jest jeszcze jedna rzecz, o której muszę ci powiedzieć, zanim zacznę. Zmiany w rejestrze, które zamierzam ci pokazać, są przeznaczone dla maszyn z systemem Windows XP. Możesz zastosować te zmiany bezpośrednio na poszczególnych maszynach lub zastosować modyfikacje jako część skryptu logowania. Ponadto, niektóre z kluczy, o których będę mówił, mogą nie istnieć domyślnie. Jeśli chcesz użyć klucza, który nie istnieje, będziesz musiał go utworzyć. Należy również pamiętać, że zachowanie Windows Update może być kontrolowane przez zasady grupy, a jeśli zasady grupy są w mocy, mogą spowodować nadpisanie części rejestru po wprowadzeniu zmian.

Podwyższanie uprawnień

Jednym z problemów związanych z otrzymywaniem aktualizacji z serwera WSUS jest to, że użytkownicy nie mogą zatwierdzać ani odrzucać aktualizacji, chyba że są członkami grupy lokalnych administratorów. Można jednak użyć rejestru, aby nadać użytkownikom podwyższone uprawnienia, które pozwolą im zatwierdzać lub odrzucać aktualizacje niezależnie od tego, czy są lokalnymi administratorami, czy nie. Z drugiej strony, można również odmówić użytkownikom końcowym możliwości zatwierdzania aktualizacji, rezerwując to prawo dla administratorów.

Klucz rejestru, który kontroluje to zachowanie, to: HKEY_LOCAL_MACHINE ™SOFTWARE ™Policies ™Microsoft ™Windows ™WindowsUpdate ™ElevateNonAdmins

Klucz ElevateNonAdmins ma dwie możliwe wartości. Domyślna wartość 1 pozwala osobom niebędącym administratorami na zatwierdzanie lub odrzucanie aktualizacji. Jeśli zmienisz tę wartość na 0, wtedy tylko administratorzy będą mogli zatwierdzać lub odmawiać aktualizacji.

Grupy docelowe

Jedną z miłych rzeczy w WSUS jest to, że pozwala on na użycie kierowania po stronie klienta. Po stronie klienta można skonfigurować różne grupy komputerów i aktualizować je na podstawie grup. Klient po stronie docelowej nie jest używany domyślnie, ale jeśli zdecydujesz się go użyć, musisz utworzyć dwa różne klucze rejestru. Jeden z nich umo liwia kierowanie po stronie klienta, a drugi określa nazwę grupy docelowej, do której nale y komputer. Oba te klucze rejestru muszą być utworzone w: HKEY_LOCAL_MACHINE\SoftWARE\Policies\Microsoft\Windows\WindowsUpdate\

Pierwszy klucz to klucz DWORD o nazwie TargetGroupEnabled. Możesz przypisać temu kluczowi wartość 0, która wyłącza kierowanie po stronie klienta, lub wartość 1, która włącza kierowanie po stronie klienta.

Drugim kluczem, który będziesz musiał utworzyć, jest wartość łańcuchowa o nazwie TargetGroup. Wartość, którą przypiszesz do tego klucza, to nazwa grupy docelowej, do której komputer powinien być przypisany.

Przypisywanie serwera WSUS

Jeśli zajmujesz się sieciami od jakiegoś czasu, to prawdopodobnie wiesz, że projekty sieci mają tendencję do zmiany w czasie. Takie rzeczy, jak rozwój firmy, nowe wymagania dotyczące bezpieczeństwa i restrukturyzacja korporacji często zmuszają do zmiany sieci bazowej. Co to ma wspólnego z usługą Windows Update? Cóż, program WSUS jest skalowalny i może być wdrażany w sposób hierarchiczny. Oznacza to, że w organizacji może być wdrożonych wiele serwerów WSUS. Jeśli komputer zostanie przeniesiony do innej części firmy, serwer WSUS, który został początkowo skonfigurowany do korzystania z niego, może nie być już odpowiedni dla nowej lokalizacji. Na szczęście można użyć kilku prostych modyfikacji rejestru, aby zmienić serwer WSUS, z którego komputer otrzymuje aktualizacje.

Właściwie istnieją dwa klucze rejestru, które są używane podczas określania serwera WSUS. Oba te klucze znajdują się pod adresem: HKEY_LOCAL_MACHINE}SOFTWARE}Policies}Microsoft}WindowsUpdate}. Pierwszy klucz nosi nazwę WUServer. Ten klucz rejestru przechowuje wartość łańcuchową, którą należy wprowadzić jako adres URL serwera WSUS (przykład: http://servername).

Drugi klucz, który trzeba będzie zmienić, to wartość łańcuchowa o nazwie WUStatusServer. Ideą tego klucza jest to, że komputer musi zgłosić swój status do serwera WSUS, aby serwer WSUS wiedział, które aktualizacje zostały zastosowane do komputera. Klucz WUStatusServer zwykle ma dokładnie taką samą wartość jak klucz WUServer (przykład: http://servername).

Agent automatycznej aktualizacji

Do tej pory mówiłem o tym, jak połączyć komputer z określonym serwerem WSUS lub z określoną grupą docelową, ale to tylko połowa procesu. Windows Update używa agenta aktualizacji, który faktycznie instaluje aktualizacje. Istnieje kilka kluczy rejestru znajdujących się w lokalizacji HKEY_LOCAL_MACHINE, które kontrolują agenta automatycznej aktualizacji. Pierwszym z tych kluczy jest klucz AUOptions. Tej wartości DWORD można przypisać wartość 2, 3, 4 lub 5. Wartość 2 oznacza, że agent powinien powiadomić użytkownika przed pobraniem aktualizacji. Wartość 3 oznacza, że aktualizacje będą pobierane automatycznie, a użytkownik zostanie powiadomiony o ich zainstalowaniu. Wartość 4 oznacza, że aktualizacje powinny być automatycznie pobierane i instalowane zgodnie z harmonogramem. Aby ta opcja działała, klucze ScheduledInstallDay i ScheduledInstallTime muszą być również ustawione. Więcej o tych kluczach powiem później. W końcu, wartość 5 wskazuje, że automatyczne aktualizacje są wymagane, ale mogą być konfigurowane przez użytkowników końcowych.

Kolejnym kluczem, który chcę omówić jest klucz AutoInstallMinorUpdates. Ten klucz może być ustawiony na wartość 0 lub 1. Jeśli wartość klucza jest ustawiona na 0, wtedy drobne aktualizacje są traktowane tak samo jak wszystkie inne aktualizacje. Jeśli wartość klucza jest ustawiona na 1, wówczas drobne aktualizacje są cicho instalowane w tle.

Innym kluczem związanym z Agentem automatycznej aktualizacji jest klucz DetectionFrequency. Ten klucz pozwala określić, jak często agent szuka aktualizacji. Wartość klucza musi być liczbą całkowitą z zakresu od 1 do 22 i określa liczbę godzin między każdą próbą wykrycia.

Kolejnym powiązanym kluczem rejestru jest klucz DetectionFrequencyEnabled. Jak sama nazwa wskazuje, klucz ten włącza lub wyłącza funkcję Częstotliwość wykrywania. Ustawienie tego klucza na wartość 0 powoduje, że klucz Częstotliwość wykrywania jest ignorowany, natomiast ustawienie go na wartość 1 powoduje, że agent używa wartości Częstotliwość wykrywania.

Kolejnym kluczem, który chcę omówić, jest klucz NoAutoUpdate. Jeśli wartość tego klucza jest ustawiona na 0, to automatyczne aktualizacje są włączone. Jeśli wartość klucza jest ustawiona na 1, wtedy automatyczne aktualizacje są wyłączone.

Ostatnim kluczem rejestru, który chcę omówić, jest klucz NoAutoRebootWithLoggedOnUsers. Jak zapewne wiesz, niektóre aktualizacje nie mogą być zastosowane bez ponownego uruchomienia systemu. Jeśli użytkownik jest zalogowany, to ponowne uruchomienie systemu może być bardzo uciążliwe. Jest to szczególnie prawdziwe, jeśli użytkownik odszedł od swojego biurka bez zapisania swojej pracy. W tym miejscu klucz NoAutoRebootWithLoggedOnUsers wchodzi do gry. Kluczowi temu można przypisać wartość 0 lub 1. Jeśli wartość jest ustawiona na 0, wtedy użytkownicy otrzymają pięciominutowe ostrzeżenie, a następnie system automatycznie się zrestartuje. Jeśli wartość jest ustawiona na 1, wtedy użytkownicy po prostu otrzymają wiadomość z prośbą o ponowne uruchomienie systemu, ale mogą go ponownie uruchomić w wolnej chwili.

Wniosek

Jest jeszcze wiele innych kluczy rejestru związanych z aktualizacją systemu Windows. Resztę z nich omówię w części 2 tej serii artykułów.

Jeśli chcesz przeczytać drugą część tej serii artykułów, proszę przejdź do Klucze rejestru dla aktualizacji systemu Windows (Część 2).

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.