Sunday, November 19th, 2017

Ключи реестра для тонкой настройки обновления Windows (Часть 1)

Published on Февраль 18, 2009 by   ·   Комментариев нет

В этой статье я расскажу вам о некоторых ключах реестра (registry keys), которые связаны с обновлением Windows (Windows Update). Я покажу вам различные параметры, которые могут принимать эти ключи реестра.

Если вы пропустили вторую часть этой статьи, то, пожалуйста, прочитайте

Хотя и обновление Windows (Windows Update) и WSUS, в общем, достаточно легко настраивать, иногда вы можете получить более подробный контроль, путем внесения некоторых изменений в реестре Windows. В этой статье, я покажу вам некоторые ключи реестра, которые связаны с обновлением Windows (Windows Update). Я покажу вам различные параметры, которые могут принимать эти ключи реестра.

Для начала

Для начала, я осчастливлю юристов и предупрежу, что внесение изменений в реестр (registry) может быть очень опасным. Внесение неправильных параметров реестр, может привести к уничтожению Windows и/или любых запущенных приложений на машине. Перед попыткой внесения изменений в реестр необходимо сделать полную резервную копию системы я готов показать вам, как это делается.

Есть еще одна вещь, о которой я должен вам рассказать. Тонкая настройка, о которой я хочу вам рассказать, применяется только для компьютеров, работающих под управлением Windows XP. Вы можете вносить изменения для определенных машин напрямую, или может их применить как часть сценария при входе (login script). Также некоторые ключи, о которых я расскажу, могут не существовать по умолчанию. Если вы хотите использовать ключ, который не существует, то вы должны для начала создать его. Вы также должны знать, что поведением обновления Windows можно управлять с помощью политики группы (group policy). Политики групп могут иногда модифицировать ключи реестра таким образом, что они следуют заданному ими поведению.

Повышение привилегий

Одна из проблем при получении обновлений от сервера WSUS заключается в том, что пользователи не могут утверждать или отказываться от обновлений до тех пор, пока они не являются членами группы локальных администраторов (local administrators group). Однако, вы можете использовать реестр, для того чтобы повысить привилегии пользователей таким образом, чтобы они имели возможность устанавливать или отказываться от установки изменений вне зависимости, являются ли они членами группы локальных администраторов (local administrator) или нет. С другой стороны, вы также можете запретить пользователям устанавливать обновления и оставить это право администратору (Admin).

Ключ реестра, который отвечает за это: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins

Ключ ElevateNonAdmins имеет два возможных значения. Значение по умолчанию, равное 1, позволяет пользователям, не являющимися администраторами, устанавливать обновления. Если вы измените это значение на 0, то только администраторы смогут устанавливать обновления.

Target Groups

Одна из замечательных вещей с WSUS заключается в том, что он позволяет использовать позиционирование клиентской стороны (client side targeting). Идея с позиционированием клиентской стороны заключается в том, что вы можете задавать различные компьютерные группы, и раздавать права на установку обновлений в зависимости от членства в группе. По умолчанию позиционирование клиентской стороны не используется, но если вы решите использовать его, то существуют два ключа реестра, которые помогут вам это сделать. Первый из этих ключей включает позиционирование клиентской стороны (client side targeting), а другой указывает название группы, к которой принадлежит компьютер. Оба из этих ключей должны быть созданы в: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

Первый ключ – это DWORD ключ под названием TargetGroupEnabled. Вы можете присвоить этому ключу значение 0, тем самым отключив client side targeting, или 1, что включает позиционирование клиентской стороны (client side targeting).

Другой ключ, который вы должны создать, должен называться TargetGroup и иметь строковое значение. Значением этого ключа должно быть название группы, к которой должен быть приписан компьютер.

Установка сервера WSUS

Если вы немного были вовлечены в работу с сетью, то вы, вероятно, знаете, что дизайн сети имеет тенденцию изменяться со временем. Такие вещи, как рост компании, новые требования к безопасности и корпоративные ограничения, часто лежат в основе для изменения сети. А как это касается обновления Windows? WSUS масштабируем и может устанавливаться иерархическим способом. Это значит, что в организации может быть несколько установленных серверов WSUS. Если PC перемещен в другую часть компании, то сервер WSUS, который изначально был определен для этого компьютера, может больше не подходить для нового места. К счастью, несколько простых модификаций реестра помогут изменить сервер WSUS, от которого PC получает обновления.

Есть два ключа, которые используются для определения сервера WSUS. Каждый из них расположен в: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. Первый ключ называется WUServer. Для этого ключа необходимо задать текстовое значение, описывающее URL сервера WSUS (например: http://servername).

Другой ключ, который вы должны изменить – это ключ под названием WUStatusServer. Идея с этим ключом заключается в том, что компьютер (PC) должен сообщать о своем статусе серверу WSUS таким образом, чтобы сервер WSUS мог знать, какие изменения были установлены на компьютере. Ключ WUStatusServer обычно содержит точное такое же значение, как и ключ WUServer (например: http://servername).

Агент автоматического обновления (Automatic Update Agent)

Итак, я рассказал о том, как подключить компьютер (PC) к определенному серверу WSUS или для определенной группы (target group), но это только половина процесса. Обновление Windows Update использует агент обновления (update agent), который в действительности устанавливает обновления. Есть несколько ключей реестра, которые располагаются в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU и контролируют агента автоматического обновления (automatic update agent).

Первый из этих ключей – это ключ AUOptions. Этому DWORD параметру может быть присвоено значение 2, 3, 4 или 5. Значение 2 значит, что агент должен уведомлять пользователя при загрузке обновлений. Значение 3 значит, что обновление будет загружено автоматически, а пользователю будет сообщено об установке. Значение 4 значит, что обновление должно быть автоматически загружено и установлено в соответствии с планом. Для того, чтобы работала эта опция, необходимо также установить значения для ключей ScheduledInstallDay и ScheduledInstallTime. Подробнее я расскажу об этих ключах позднее. И наконец, значение 5 означает, что автоматическое обновление требуется, но он может быть настроено конечными пользователями.

Следующий ключ, о котором я хочу поговорить – это ключ AutoInstallMinorUpdates. Это ключ может принимать значения 0 или 1. Если значение ключа 0, то незначительные обновления (minor updates) обрабатываются также как и любые другие обновления. Если значение ключа 1, то незначительные обновления (minor updates) тихо устанавливаются в фоновом режиме.

Другой ключ, относящийся к агенту автоматического обновления (Automatic Update Agent) – это ключ DetectionFrequency. Этот ключ позволяет вам задать, как часто агент должен обращаться за обновлениями. Значением ключа должно быть целое число от 1 до 22, что отражает количество часов между попытками обращения за обновлением.

Связанный с ним ключ реестра – это ключ DetectionFrequencyEnabled. Как видно из названия, этот ключ позволяет подключить или отключить функцию Detection Frequency. Если установить значение этого ключа равным 0, то значение ключа DetectionFrequency будет игнорироваться, а если установить значение ключа равным 1, то агент должен будет использовать значение ключа DetectionFrequency.

Следующий ключ, о котором я хочу рассказать – это ключ NoAutoUpdate. Если значение этого ключа 0, то автоматическое обновление подключено. Если значение ключа равно 1, то автоматическое обновление отключено.

Последний ключ реестра, о котором я хочу поговорить – это ключ NoAutoRebootWithLoggedOnUsers. Как вы, вероятно, знаете, некоторые обновления не могут вступить в силу без перезагрузки системы. Если пользователь в это время работает, то перезагрузка может быть очень нежелательной. Это особенно верно, если пользователь отошел от своего рабочего места и не сохранил свою работу. В этом случае поможет ключ NoAutoRebootWithLoggedOnUsers. Значение этого ключа может быть 0 или 1. Если значение ключа равно 0, то пользователи получат 5 минутное предупреждение перед тем, как система автоматически уйдет на перезагрузку. Если значение ключа равно 1, то пользователи просто получат сообщение, в котором спрашивается разрешение на перезагрузку, но пользователи могут осуществить его на свое усмотрение.

Заключение

Существует гораздо больше ключей реестра, касающиеся обновления Windows. Об остальных из них я расскажу во второй части этой статьи.

www.windowsnetworking.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]