Ключи реестра для настройки Центра обновления Windows (часть 1)
Хотя Центр обновления Windows и WSUS, как правило, довольно просты в настройке, иногда вы можете получить более высокий уровень контроля над ними, внеся несколько незначительных изменений в реестр Windows. В этой статье я покажу вам некоторые ключи реестра, связанные с Центром обновления Windows. Пока я это делаю, я покажу вам различные настройки, которые вы можете назначить этим ключам реестра.
Прежде чем я начну
Прежде чем я начну, я должен осчастливить юристов, сказав вам, что изменение реестра Windows может быть опасным. Неправильное изменение реестра может уничтожить Windows и/или ваши приложения. Поэтому я настоятельно рекомендую вам выполнить полное резервное копирование системы, прежде чем пытаться использовать любой из методов, которые я собираюсь вам показать.
Теперь, когда я убрал стандартный отказ от ответственности, есть еще одна вещь, которую я должен сказать вам, прежде чем я начну. Подстройки реестра, которые я собираюсь вам показать, предназначены для машин под управлением Windows XP. Вы можете применить настройки к отдельным машинам напрямую или применить изменения как часть сценария входа. Кроме того, некоторые ключи, о которых я собираюсь рассказать, могут не существовать по умолчанию. Если вы хотите использовать несуществующий ключ, вам придется его создать. Вы также должны иметь в виду, что поведение Центра обновления Windows может контролироваться групповой политикой, и что если групповая политика действует, это может привести к перезаписыванию частей реестра после внесения вами изменений.
Повышение привилегий
Одна из проблем с получением обновлений с сервера WSUS заключается в том, что пользователям не разрешено одобрять или отклонять обновления, если они не являются членами группы локальных администраторов. Однако вы можете использовать реестр, чтобы предоставить пользователям более высокие привилегии, которые позволят им одобрять или отклонять обновления независимо от того, являются ли они локальными администраторами. С другой стороны, вы также можете запретить конечным пользователям утверждать обновления, оставив это право за администраторами.
Ключ реестра, управляющий этим поведением: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateElevateNonAdmins.
Ключ ElevateNonAdmins имеет два возможных значения. Значение по умолчанию 1 позволяет пользователям, не являющимся администраторами, утверждать или отклонять обновления. Если вы измените это значение на 0, только администраторы смогут утверждать или отклонять обновления.
Целевые группы
Одна из приятных особенностей WSUS заключается в том, что он позволяет использовать таргетинг на стороне клиента. Идея таргетинга на стороне клиента заключается в том, что вы можете настроить разные группы компьютеров и развертывать обновления для каждой группы. Таргетинг на стороне клиента по умолчанию не используется, но если вы решите его использовать, вам придется создать два разных ключа реестра. Один из этих ключей включает нацеливание на стороне клиента, а другой указывает имя целевой группы, к которой принадлежит компьютер. Оба эти раздела реестра должны быть созданы по адресу: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate
Первый ключ — это ключ DWORD с именем TargetGroupEnabled. Вы можете присвоить этому ключу значение либо 0, что отключает таргетинг на стороне клиента, либо 1, что включает таргетинг на стороне клиента.
Другой ключ, который вам нужно будет создать, представляет собой строковое значение с именем TargetGroup. Значение, которое вы присвоите этому ключу, — это имя целевой группы, в которую должен быть включен компьютер.
Назначение сервера WSUS
Если вы какое-то время занимались сетями, то вы, вероятно, знаете, что сетевые схемы имеют тенденцию меняться со временем. Такие факторы, как рост компании, новые требования к безопасности и корпоративная реструктуризация, часто вызывают изменения базовой сети. Так какое это имеет отношение к Центру обновления Windows? Что ж, WSUS масштабируется и может развертываться иерархически. Это означает, что в организации может быть развернуто множество серверов WSUS. Если ПК перемещается в другую часть компании, то сервер WSUS, для использования которого он изначально был настроен, может больше не подходить для его нового местоположения. К счастью, пару простых изменений в реестре можно использовать для изменения сервера WSUS, с которого ПК получает обновления.
На самом деле есть два ключа реестра, которые используются при указании сервера WSUS. Оба этих ключа находятся по адресу: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate. Первый ключ называется WUServer. Этот раздел реестра содержит строковое значение, которое следует ввести в качестве URL-адреса сервера WSUS (пример: http://имя_сервера).
Другой ключ, который вам придется изменить, — это строковое значение с именем WUSatusServer. Идея этого ключа заключается в том, что ПК должен сообщать о своем статусе серверу WSUS, чтобы сервер WSUS знал, какие обновления были применены к ПК. Ключ WUSatusServer обычно имеет то же значение, что и ключ WUServer (пример: http://имя_сервера).
Агент автоматического обновления
До сих пор я говорил о том, как подключить ПК к определенному серверу WSUS или к определенной целевой группе, но это только половина процесса. Центр обновления Windows использует агент обновлений, который фактически устанавливает обновления. В HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU находится ряд разделов реестра, которые управляют агентом автоматического обновления.
Первый из этих ключей — ключ AUOptions. Этому значению DWORD может быть присвоено значение 2, 3, 4 или 5. Значение 2 указывает, что агент должен уведомить пользователя перед загрузкой обновлений. Значение 3 указывает, что обновления будут загружаться автоматически, а пользователь будет уведомлен об установке. Значение 4 указывает, что обновления должны загружаться и устанавливаться автоматически по расписанию. Чтобы этот параметр работал, также должны быть установлены ключи ScheduledInstallDay и ScheduledInstallTime. Я расскажу больше об этих ключах позже. Наконец, значение 5 указывает, что автоматические обновления требуются, но могут быть настроены конечными пользователями.
Следующий ключ, о котором я хочу рассказать, это ключ AutoInstallMinorUpdates. Для этого ключа можно установить значение 0 или 1. Если для ключа установлено значение 0, незначительные обновления обрабатываются так же, как и любые другие обновления. Если значение ключа равно 1, то незначительные обновления автоматически устанавливаются в фоновом режиме.
Еще одним ключом, связанным с агентом автоматического обновления, является ключ DetectionFrequency. Этот ключ позволяет указать, как часто агент ищет обновления. Значение ключа должно быть целым числом от 1 до 22 и указывает количество часов между каждой попыткой обнаружения.
Связанный ключ реестра — это ключ DetectionFrequencyEnabled. Как следует из названия, эта клавиша включает или отключает функцию частоты обнаружения. Установка для этого ключа значения 0 приводит к игнорированию ключа DetectionFrequency, а установка значения 1 заставляет агент использовать значение DetectionFrequency.
Следующий ключ, о котором я хочу рассказать, это ключ NoAutoUpdate. Если для этого ключа установлено значение 0, автоматические обновления включены. Если значение ключа равно 1, автоматические обновления отключены.
Последний ключ реестра, о котором я хочу рассказать, — это ключ NoAutoRebootWithLoggedOnUsers. Как вы, наверное, знаете, некоторые обновления просто невозможно применить без перезагрузки системы. Если пользователь вошел в систему, то принудительная перезагрузка системы может быть очень разрушительной. Это особенно верно, если пользователь отошел от своего рабочего стола, не сохранив свою работу. Здесь в игру вступает ключ NoAutoRebootWithLoggedOnUsers. Ключу может быть присвоено значение 0 или 1. Если установлено значение 0, то пользователи получат пятиминутное предупреждение, а затем система автоматически перезагрузится. Если установлено значение 1, то пользователи просто получат сообщение с просьбой перезагрузить свои системы, но они могут перезагрузиться на досуге.
Вывод
Есть гораздо больше ключей реестра, связанных с обновлением Windows. Я буду обсуждать остальные из них во второй части этой серии статей.